búsqueda de vulnerabilidades en aplicaciones de android [guadalajaracon 2013]

Pwneando aplicaciones Android

("Búsqueda de vulnerabilidades en aplicaciones Android")

Paulino Calderón Pale (@calderpwn)[email protected]

http://guadalajaracon.orgGuadalajaraCON

Búsqueda de vulnerabilidades en aplicaciones AndroidPaulino Calderon [email protected]

https://twimg0-a.akamaihd.net/profile_images/3250928073/97a15cf0a018676e3150cf54c9f86860.png


http://lh6.ggpht.com/_NfTNfkovCuY/TUGXvrpiyPI/AAAAAAAADbE/5nqQR0pd2Kg/pirate_droid_icon_eyebeam.png

● Websec México http://www.websec.mx

● Me gusta codear, pwnear y contribuir al software libre.

● Mi página personal eshttp://calderonpale.com

Acerca de mí






● BCBUS● Mac2wepkey HHG5XX● IP2Hosts● LectorBunsen

Mis aplicaciones Android



http://www.droid-life.com/wp-content/uploads/2012/01/android-logo.png

http://goodereaderapps.goodereader.netdna-cdn.com/wp-content/uploads/downloads/thumbnails/2012/11/lec.png

http://m.img.brothersoft.com/android/95/1352564409_icon.png

http://img-android.lisisoft.com/imgmic/7/0/1507-i-websec.ip2hosts.jpg

http://img-android.lisisoft.com/imgmic/2/8/2382-i-com.pcalderon.hhg2xxfree.jpg




Contenido del taller

1. Introducción a la arquitectura Android2. Formato APK3. Vulnerabilidades en aplicaciones Android4. Análisis de aplicaciones

a. Análisis estáticob. Análisis dinámico






Prácticas del taller

● Extraer información importante de apks● Decompilar una aplicación● Análisis de código fuente● Detectar vulnerabilidades en almacenamiento inseguro● Hijacking de intents● Encontrar proveedores de contenido sin permisos de

lectura o escritura● Interceptar el tráfico de la aplicación● Interceptar tráfico SSL● Detectar vulnerabilidades en un proveedor de contenido● Explotar vulnerabilidades de inyección SQL






Requisitos

● Cable de datos● Conexión a internet● VirtualBox

De preferencia tener rooteado el dispositivo para poder usar apps como apkextractor y droidproxy.






Herramientas

● adb:http://developer.android.com/sdk/index.html

● apktool: http://code.google.com/p/android-apktool/

● agnitio:http://sourceforge.net/projects/agnitiotool/

● mercury:https://github.com/mwrlabs/mercury






Herramientas

● jad:http://www.varaneckas.com/jad/

● dex2jar:https://code.google.com/p/dex2jar/

● burp suite:http://portswigger.net/burp/download.html

● apkextractor:https://play.google.com/store/apps/details?

id=net.sylark.apkextractor






Introducción a la arquitectura Android






Un vistazo al mercado AndroidSistema operativo distribuido en dispositivos:● Samsung● Huawei● Sony, HTC, LG, Lenovo, etc...

72.4% del mercado mundial en el tercer cuatrimestre del 2012 según Gartner.







Situación actual e impacto

● Usuarios confían plenamente en la seguridad de las aplicaciones móviles para llevar a cabo operaciones bancarias o conectarse a cuentas que contienen información personal.

● Desarrolladores todavía siguen haciendo aplicaciones con muy mala seguridad.






Muchas compañías mexicanas con aplicaciones Android

● Telcel● Bancomer● Banco Azteca● Soriana● Aeromexico● ¿Cuales conocen ustedes?






Arquitectura Android

● Kernel Linux● Librería nativas● Dalvik● SDK● Aplicaciones






Arquitectura Android

http://developer.android.com/guide/basics/what-is-android.html






Modelo de seguridad

● UIDs y GIDs únicos para cada aplicación instalada en el sistema. Para intercomunicación se usan componentes.

● Permisos determinan las capacidades de intercomunicación de los componentes

● Aplicaciones son "self-signed".






Modelo de seguridad

● Cada aplicación lista los permisos que requiere antes de ser instalada.

● Aplicaciones deben establecer que permisos van a necesitar.






DALVIK

● Escrito especificamente para Android.● Optimizado para dispositivos con limitantes de

espacio y CPU.● Bytecode .dex ( Dalvik Executable ).● Un .class comprimido es normalmente más

grande que bytecode .dex DEScomprimido.

Más información sobre hacer ingeniería inversa a dalvik bytecode: http://www.slideshare.net/jserv/practice-of-android-reverse-engineering






Modelo de aplicaciones Android

Formato de un contenedor APK ● Variante del formato JAR

Dentro del archivo APK encontramos:● META-INF● res● AndroidManifest.xml (Encodeado)● classes.dex● resources.arsc






Aplicaciones Androidhttp://guadalajaracon.org

GuadalajaraCON





AndroidManifest.xml

● Nombre del paquete Java● Versión del APK● Permisos y reglas de acceso● Actividades, servicios, proveedores de

contenido y receptores de anuncios● Listado de librerías






AndroidManifest.xml

Cosas que debemos analizar en el archivo AndroidManifest.xml:1. Declaraciones de intenciones (Intents),

servicios, actividades y proveedores de contenido

2. Permisos de componentes3. Flag de depuración4. Versión SDK






AndroidManifest.xmlhttp://guadalajaracon.org

GuadalajaraCON





Trojan/Android.SMSZombie.*http://guadalajaracon.org

GuadalajaraCON





classes.dex

Código dalvik de la aplicación:● Se puede decompilar y parchar

Para obtener este archivo simplemente necesitamos extraerlo del apk.






Componentes1. Actividades ( "Activity" )Pantallas de la aplicación con interfaz gráfica.

2. Servicios ( "Services" )Corre en el fondo para operaciones largas o que no deben obstruir.

3. Receptor de mensajes ( "Broadcast receivers" )Responden a alertas o mensajes del sistema.

4. Proveedor de contenido ( "Content providers" )Maneja y comparte datos de una aplicación con otros componentes






Intents

● Mensajero que llama a un componente como una actividad, servicio o receptor de mensajes y opcionalmente entrega información.

● Conectan a diferentes componentes cuando una aplicación es ejecutada.

● Son explícitos cuando especifican que actividad debe responder.

● Son implícitos cuando simplemente son declarados y el sistema decide que actividad usar.






Componentes

¿Por qué nos importan?Vectores de ataques a aplicaciones Android:

○ Intent hijacking○ Intent spoofing○ Sticky Broadcast tampering○ Broadcast hijacking






Comunicación entre componentes

Los componentes dependen de la complejidad de la aplicación. Algunos eventos interesantes:● android.provider.Telephony.SMS_RECEIVED● android.intent.action._BOOT_COMPLETED● android.provider.Telephony.SMS_RECEIVED






Más Intents

android.intent.action.ACTION_POWER_CONNECTEDandroid.intent.action.ACTION_POWER_DISCONNECTEDandroid.intent.action.ACTION_SHUTDOWNandroid.intent.action.BATTERY_CHANGEDandroid.intent.action.BATTERY_LOWandroid.intent.action.BATTERY_OKAYandroid.intent.action.BOOT_COMPLETEDandroid.intent.action.CONFIGURATION_CHANGEDandroid.intent.action.DEVICE_STORAGE_LOWandroid.intent.action.DEVICE_STORAGE_OK






Vulnerabilidades en aplicaciones Android






OWASP Mobile Top 10 riskshttp://guadalajaracon.org

GuadalajaraCON


https://www.owasp.org/images/thumb/a/aa/Topten.png/550px-Topten.png




2. Vulnerabilidades en aplicaciones Android● Hijacking y Spoofind de Intents● Sticky Broadcast tampering● Almacenamiento inseguro● Tráfico inseguro● SQL Injection● Privilegios excesivos

Además BoFs pueden encontrarse en librerías nativas.






Evaluación de vulnerabilidades

● Recolección de información: Definimos alcance y secciones a evaluar.● Análisis estático: Analizamos el código fuente/decompilado/ desensamblado.● Análisis dinámico: Ejecutamos la aplicación y observamos.






Análisis estático

Podemos hacer análisis estático a partir de:● Código fuente● Archivo APK

Algunas aplicaciones usan ProGuard:https://developer.android.com/tools/help/proguard.html






Análisis de código fuente

● Siempre es buen punto de inicio listar todas las llamadas a funciones que podrían ser usadas inseguramente como:○ putString○ setJavaScriptEnabled(true)○ getExternalStorageDirectory()○ getBundleExtra()

Afortunadamente podemos ayudarnos de herramientas ( grep FTW ).






ScriptDroid

Script muy sencillo para detectar funciones peligrosas relacionadas con:● sharedPreferences● TapJacking ● Almacenamiento● Inyecciones● Algoritmos débiles● Tráfico inseguro● Flag de depuración● Y más...DESCARGA: http://t.co/d3uA1jd7






ScriptDroidhttp://guadalajaracon.org

GuadalajaraCON





Agnitiohttp://guadalajaracon.org

GuadalajaraCON


http://www.net-security.org/images/articles/agnitio2.jpg




Agnitio

Herramienta de análisis de código fuente que puede decompilar APKs y buscar llamadas a funciones peligrosas.

Descarga: http://sourceforge.net/projects/agnitiotool/






Prácticas

Ejecuten la máquina virtual Windows y realiza las siguientes acciones:● Ejecuta ScriptDroid● Analiza una aplicación dentro de agnitio● Encuentra una vulnerabilidad de

almacenamiento inseguro en la aplicación InsecureBanking.






PrácticasEn el escritorio de la máquina virtual esta:● Zipfile con ScriptDroid

ScriptDroid.zip● Instalador de Agnitio (x86)

/Agnitio x86/Install.exe● Muestra de output de ScriptDroid ejecutado contra InsecureBanking

/OUTPUT/● Código fuente de la app InsecureBanking

InsecureBank.zip● APKs para que jueguen:

/apks/






Analizando APKs

$unzip app.apk






Analizando APKs

Necesitamos decompilar la aplicación en caso de no tener el código fuente con:● apktool● dex2jar● jd-gui






Extrayendo APKs de dispositivos

Varias formas de extraer el contenedor APK:● Usando apps como como apkextractor

(https://play.google.com/store/apps/details?id=net.sylark.apkextractor)

● Adb:$ adb pull data/app/mx.websec.mac2wepkey.hhg5xx-2.apk






Decompilando APKs

Prácticas: ● Extraer recursos y AndroidManifest con

apktool.● Convierte bytecode dalvik a .class con d2j-

dex2jar.sh● Analiza bytecode de Java con jd-gui






Decompilando APKs

Prácticas: ● Extraer recursos y AndroidManifest con

apktool.apktool d app.apk● Convierte bytecode dalvik a .class con d2j-

dex2jar.shd2j-dex2jar.sh classes.dex● Analiza bytecode de Java con jd-guijd-gui dex2jar.class






Inter-comunicación segura

La seguridad de la intercomunicación entre componentes puede verse afectada debido a la falta de permisos y declaraciones públicas de los componentes.

Noten el valor "exported", si el valor es verdadero esto permite a cualquier componente comunicarse.






Componentes seguros

<activity android:name=".TestActivity"android:exported="false"></activity>

<activity android:name=".TestActivity2"android:exported="true">android:permission="my.permission"><intent-filter><action android:name="my.action.TEST"/></intent-filter></activity>






Intents explícitos

Especifícan que paquete se encargará de ellos:

Intent i = new Intent();i.setClassName("some.package.name","some.package.name.TestActivity");






Hijacking Activities

Se pueden hijackear actividades que tengan permisos públicos:Intent read1=new Intent();read1.setAction(android.content.Intent.ACTION_VIEW);read1.setData(ContactsContract.Contacts.CONTENT_URI);startActivity(read1);






Inter-comunicación segura

Práctica: Listar broadcast en el sistema






Identificando vulnerabilidades estáticamente

ComDroid ( http://comdroid.org ): Herramienta online para el análisis estático de inter comunicaciones.






Análisis dinámico

Navegar la aplicación manualmente para generar logs y tráfico.

Logcat da muchísima información:$adb logcato$adb logcat -s "tag"






Análisis de tráfico

Aplicaciones complejas normalmente interactúan con servicios web remotos.

Aplicaciones como:Taxi seguro: Yaxi, ClicabTelefonia: Mi TelcelBanco: Bancomer






Análisis de tráfico

Podemos analizar el tráfico de red:● Desde un proxy● Desde el Android ( tcpdump )

Filtros útiles de wireshark:● http or dns● http.request






Práctica: Identificando comunicaciones inseguras






Análisis de tráfico SSL

Práctica: Interceptar comunicación cifrada SSL de la aplicación instagram.






Certificate Pinning

● Programadores hardcodean el certificado ● Ya no se necesita un CA● Muy pocas apps implementan esto.

Sin embargo... existe research donde se demuestra que también puede ser bypasseado:https://github.com/iSECPartners/android-ssl-bypass






Almacenamiento inseguro

Problemas: 1. Todos los archivos del SD card pueden ser

leídos por cualquier aplicación.2. Programadores erróneamente guardan

información sensible.3. sharedPrefs es un simple archivo XML que

puede ser extraído






Almacenamiento inseguro

/data/data/nombre.de.paquete/:● cache

● databases● lib● shared_prefs

Práctica: Descargar una base de datos de sharedPrefs






Proveedores de contenido

Interfaces que manejan el acceso a cierta información que programadores desean compartir entre diferentes componentes.

Formato:content://<paquete>.<accion>







CONTENT PROVIDER

SQLITEFILES INTERNET






Proveedores de contenido<provider android:name="com.websec.providers.Pwnage" android:authorities="com.websec.providers.Pwnage" />

Práctica: Lista todos los content providers de una aplicación.






Proveedores de contenido: Problemas

● Permisos incorrectos● Vulnerables a SQL injection● A veces erróneamente revelan información

sensible.







Práctica: Leer un content provider con información sensible.Práctica #2: Listar los content providers del sistema.






Content providers: SQL InjectionmCursor = getContentResolver().query( URI, // The content URI of the words table mProjection, // The columns to return

for each row mSelectionClause // Selection criteria mSelectionArgs, // Selection criteria mSortOrder); // The sort order for the

returned rows






Content providers

Práctica: Explotando vulnerabilidades de tipo SQLi con Mercury






Aplicaciones depurables

Desarrolladores olvidan desactivar el flag "debuggable" en sus aplicaciones.

Aplicaciones con el mínimo de permisos pueden ejecutar código usando el socket @jwpd






Aplicaciones depurables

Práctica: Detectar aplicaciones que sean depurables en sus dispositivos.

Solucion 1:$aapt d xmltree app.apk AndroidManifest.xml | grep debuggableOtras soluciones:Mercury, apktool, manual, etc






La práctica hace al maestro...

● Revisa tus dispositivos.● Explota vulnerabilidades conocidas. Existen

librerías de versiones de las aplicaciones más populares.

● Apps mexicanas: Telcel, Bancomer, Banco Azteca, Soriana, Aeromexico.






Apps de práctica

InsecureBank: http://www.paladion.net/downloadapp.htmlGoatDROID:https://github.com/jackMannino/OWASP-GoatDroid-ProjectExploitME:http://securitycompass.github.com/AndroidLabs/Hacme Bank:http://www.mcafee.com/us/downloads/free-tools/hacme-bank-android.aspx






Recursos

F-droid: http://f-droid.org/repository/browse/Comdroid : http://www.comdroid.org/Agnitio: http://sourceforge.net/projects/agnitiotoolhttp://developer.android.com/training/articles/security-tips.htmlDex2jar, Jd-gui, apktool, androguard, or IDA.https://github.com/iSECPartners/android-ssl-bypass






Referencias

● http://www.cs.berkeley.edu/~afelt/intentsecurity-mobisys.pdf

● http://www.paladion.net/downloadapp.html● SANS Institute: Malicious Android

Applications: Risks and Exploitation● Seven ways to hang yourself with Android Y.

ONeil and E. Chin.






#halt

Paulino Calderón PaleWWW: http://calderonpale.comEmail: [email protected]: @calderpwn






búsqueda de vulnerabilidades en aplicaciones de android [guadalajaracon 2013]

Technology