2024移動(dòng)APP安全漏洞分析技術(shù)與方法

移動(dòng)APP安全漏洞分析技術(shù)與方法移動(dòng)應(yīng)用安全背景介紹

移動(dòng)應(yīng)用漏洞分析工具介紹02移動(dòng)應(yīng)用常見漏洞分析移動(dòng)應(yīng)用漏洞分析樣例分享0411章移動(dòng)應(yīng)用安全背景介紹ContentsPage2008年谷歌第一次I/O大會(huì)意味著安卓第一代產(chǎn)品正式對外，2007年蘋果也發(fā)布了iOS1！自2015年以來，各界媒體對移動(dòng)應(yīng)用的漏洞關(guān)注度也越來越高，漏洞的產(chǎn)生不僅帶來用戶設(shè)備與信息的安全影響，也給企業(yè)帶來業(yè)務(wù)或聲譽(yù)上的損失。以下數(shù)據(jù)結(jié)論來源于OWASP，Mobiletop10：平臺使用不當(dāng)不安全的數(shù)據(jù)儲存不安全的通信不安全的身份驗(yàn)證加密不足

不安全的授權(quán)客戶端代碼質(zhì)量問題代碼篡改無關(guān)的功能金融類APP安全漏洞分布（此數(shù)據(jù)來源于愛加密大數(shù)據(jù)平臺）隨機(jī)數(shù)生成函數(shù)使用拒絕服務(wù)漏洞密鑰硬編碼錯(cuò)誤

調(diào)試標(biāo)識配置金融類top10有467個(gè)漏洞，平均每個(gè)含47其中20%是AES/DES弱加密風(fēng)險(xiǎn)，可導(dǎo)致用戶應(yīng)用加密被破解；18% 是SharedPrefs任意讀寫漏洞，可導(dǎo)致用戶個(gè)人身份信息、密碼等敏感信息泄露。

6%行8%WebView明文存儲8%WebView證書9%

3% 0SharedPrefs任意讀18%

2%AES/DES弱加密20%File任意讀寫20%常規(guī)應(yīng)用類APP安全漏洞分布（此數(shù)據(jù)來源于愛加密大數(shù)據(jù)平臺）常規(guī)應(yīng)用類top10有624個(gè)漏洞，平均每個(gè)含62個(gè)漏洞。其中21%大組件配置安全，可導(dǎo)致用戶賬號密碼泄露；是AES/DES弱加密風(fēng)險(xiǎn)漏洞，可導(dǎo)致應(yīng)用加密被破解。

洞拒絕服務(wù)漏4%5%隨機(jī)數(shù)生成函數(shù)使用錯(cuò)誤5%WebView校驗(yàn)證書7%密鑰硬編碼7%WebView遠(yuǎn)程代碼執(zhí)行10%

7%3%0

四大組件配置安全21%AES/DES密20%拒絕服務(wù)漏洞14%游戲類APP安全漏洞分布（此數(shù)據(jù)來源于愛加密大數(shù)據(jù)平臺）中間游戲類top10有322

4%

代碼/引擎漏洞個(gè)漏洞，平均每個(gè)應(yīng)用含32個(gè)漏洞。其中31%碼/應(yīng)用加密被破解；12%支付漏洞，可導(dǎo)致用戶手機(jī)被遠(yuǎn)程控制、隱私泄露等風(fēng)險(xiǎn)。

WebView遠(yuǎn)程代碼執(zhí)行4%SharedPrefs任意讀寫8%密鑰硬編碼9%

拒絕服務(wù)漏洞10%

支付漏洞12%阿里移動(dòng)安全漏洞年報(bào)烏云：Android相關(guān)漏洞烏云：Android相關(guān)漏洞烏云：iOS相關(guān)漏洞銀監(jiān)會(huì)通報(bào)銀監(jiān)會(huì)通報(bào)2014年2月銀監(jiān)會(huì)就國內(nèi)眾多銀行銀行客戶端存在高位風(fēng)險(xiǎn)和漏洞，可能導(dǎo)致信息泄露，資金安全等問題給予了通報(bào)。通報(bào)涉及到被抽查的國內(nèi)多家大型國有和股份制銀行機(jī)構(gòu)，本次檢查再度強(qiáng)調(diào)了對移動(dòng)銀行的安全合規(guī)要求，其中提到了8點(diǎn)風(fēng)險(xiǎn)：SSL證書驗(yàn)證是否完整手機(jī)銀行客戶端是否存在鍵盤劫持情況Android平臺是否存在代碼反編譯、界面劫持的現(xiàn)象調(diào)試日志中是否暴露了敏感客戶信息梳理手機(jī)銀行代碼，客戶端編譯打包前要進(jìn)行代碼核查，確認(rèn)調(diào)試接口已關(guān)閉安全檢測要關(guān)注內(nèi)存、緩存信息是否及時(shí)清除應(yīng)從手機(jī)銀行安全認(rèn)證體系進(jìn)行整體安全評估要關(guān)注交易安全性以及敏感信息是否泄漏22章移動(dòng)應(yīng)用漏洞分析工具介紹ContentsPagedex文件反編譯工具dexdump、smali.jar/baksmali、dex2jar等class字節(jié)碼反編譯工具jd-gui、jd-cmd、jad等逆向分析工具IDAPro、jdb、gdb、class-dump-z、Clutch、introspy、Cycript等綜合逆向工具APKTool、APKIDE（改之理）、AndroidKiller、Xposed等協(xié)議抓包工具Wireshark、fiddler等0101快速反編譯APK并查看代碼第一步準(zhǔn)備測試工具與測試樣本。測試工具：dex2jar、jd-gui；測試樣本：sample001.apk第二步使用dex2jar對應(yīng)用APP進(jìn)行快速反編譯，獲取反編譯.jar文件。第三步使用jd-gui查看反編譯得到的.jar文件。0202快速驗(yàn)證一款A(yù)PP是否加固或采用簽名保護(hù)第一步準(zhǔn)備測試工具與測試樣本。測試工具：APKIDE；測試樣本：sample001.apk第二步將sample00.apk導(dǎo)入APKIDE中，等待APKIDE對APK進(jìn)行反編譯第三步通過APKIDE找到程序名稱，更改程序名稱第四步使用APKIDE對APK進(jìn)行重編譯、簽名再安裝到手機(jī)中第五步在手機(jī)中找到快速修改名稱的APK，運(yùn)行并查看APK是否采用保護(hù)0303快速對一款A(yù)PP進(jìn)行傳輸協(xié)議包抓取第一步準(zhǔn)備測試工具與測試樣本。測試工具：fiddler；測試樣本：sample001.apk第二步將搭建fiddler測試環(huán)境（PC與手機(jī)端）第三步在指定手機(jī)端上使用APK完成協(xié)議請求第四步在fiddler上抓取到APK的協(xié)議請求第五步分析請求協(xié)議包結(jié)構(gòu)0404使用愛加密漏洞分析平臺快速檢測一款A(yù)PP存在的漏洞第一步準(zhǔn)備測試工具與測試樣本。測試工具：愛加密漏洞分析平臺；測試樣本：sample001.apk第二步將sample001.apk上傳到愛加密漏洞分析平臺中，等待檢測第三步下載sample001.apk的漏洞檢測結(jié)果第四步對檢測結(jié)果進(jìn)行查看與分析33章移動(dòng)應(yīng)用常見漏洞分析ContentsPage移動(dòng)應(yīng)用常見漏洞分析第一節(jié)：Android客戶端常見漏洞分析移動(dòng)應(yīng)用常見漏洞分析第一節(jié)：Android客戶端常見漏洞分析第二節(jié)：iOS客戶端常見漏洞分析ContentsPage第第1節(jié)：Android客戶端常見漏洞分析數(shù)據(jù)安全WebView密碼明文保存漏洞本地?cái)?shù)據(jù)全局讀寫漏洞組件安全調(diào)試開啟安全本地拒絕服務(wù)安全WebView遠(yuǎn)程代碼執(zhí)行安全

業(yè)務(wù)安全

界面敏感數(shù)據(jù)顯示泄露調(diào)試日志泄露內(nèi)置賬號測試IP泄露HTTP/HTTPS中間人攻擊數(shù)據(jù)封包弱加密手機(jī)驗(yàn)證碼機(jī)制安全服務(wù)器權(quán)限繞過用戶敏感信息泄露手勢密碼繞過會(huì)話保持機(jī)制安全服務(wù)器請求重發(fā)攻擊第第節(jié)第類組件/控件安全Android組件安全Activity界面劫持Backup備份安全Android組件安全Activity界面劫持Backup備份安全Java調(diào)試開啟安全本地拒絕服務(wù)安全WebView遠(yuǎn)程代碼執(zhí)行安全第第節(jié)第類組件安全對于程序中的每一個(gè)界面都是一個(gè)Activity，每一個(gè)Activity有不同的功能，比如登錄、注冊、注冊碼驗(yàn)證、手勢密碼等，Activity之間的切換需要滿足一定的條件。ContentProvider數(shù)據(jù)

Activity界面Android

Service服務(wù)

Service服務(wù)是伴隨著程序啟動(dòng)，一態(tài)、時(shí)刻檢測是否異地登錄、時(shí)刻上傳用戶的操作信息。式，因?yàn)閍ndroid沒有提供所有應(yīng)用共同訪問的公共存儲區(qū)。比如通訊錄數(shù)據(jù)。

Broadcast廣播

Broadcast廣播是當(dāng)程序檢測到外界的某種運(yùn)行環(huán)境發(fā)生變化時(shí)，而執(zhí)行的邏輯代碼，比如程序的自啟、網(wǎng)絡(luò)變化變化、實(shí)時(shí)消息（打車軟件）。技術(shù)指標(biāo)技術(shù)指標(biāo)第第節(jié)第類組件的訪問權(quán)限控制android:exported是Android中的四大組件Activity，Service，Provider，Receiver四大組件中都會(huì)有的一個(gè)屬性，如果android:exported設(shè)置了true表示可對外進(jìn)行訪問或使用，如果android:exported設(shè)置了false表示不可對外進(jìn)行訪問或使用。漏洞如果對內(nèi)部組件進(jìn)行設(shè)置漏洞如果對內(nèi)部組件進(jìn)行設(shè)置android:exported值為true，則可能出現(xiàn)組件被外部APP進(jìn)行惡意訪問、非法操作等風(fēng)險(xiǎn)。參數(shù)默認(rèn)值如果包含有參數(shù)默認(rèn)值如果包含有intent-filter默認(rèn)值為true;沒有intent-filter默認(rèn)值為false。編碼要求業(yè)務(wù)需求中需要對組件進(jìn)行對外開放，則根據(jù)該開放性是針對于所有還是針對于個(gè)別，如果針對于所有則可設(shè)置編碼要求業(yè)務(wù)需求中需要對組件進(jìn)行對外開放，則根據(jù)該開放性是針對于所有還是針對于個(gè)別，如果針對于所有則可設(shè)置android:exported為true即可，如果是針對于個(gè)別則通過自定義權(quán)限來進(jìn)行訪問安全控制。第節(jié)第類Activity暴露風(fēng)險(xiǎn)權(quán)限繞過第節(jié)第類Activity暴露風(fēng)險(xiǎn)本地拒絕服務(wù)攻擊第節(jié)第類Service服務(wù)暴露①service②傳入PushMsg的Serializable的數(shù)據(jù)：③惡意偽造并啟動(dòng)暴露的service：第第節(jié)第類Service服務(wù)暴露偽造升級 拒絕服務(wù)第節(jié)第類廣播暴露借助廣播，監(jiān)聽【易到用車】的訂單信息“XXX城“XXX城”聊天記錄泄露第第節(jié)第類暴露“XXX“XXX支付”ContentProvider低權(quán)限訪問第第節(jié)第類–暴露導(dǎo)致敏感信息泄露演示第一步準(zhǔn)備測試工具與測試樣本。測試工具：dex2jar、jd-gui、adb使用環(huán)境；測試樣本：sample001.apk第二步使用dex2jar與jd-gui獲取測試樣本APP的代碼，獲取代碼中的ContentProvider信息第三步使用adbshell來讀取指定CotentProvider信息第四步第節(jié)第類本地?cái)?shù)據(jù)庫SQL注入兩種不同的DB數(shù)據(jù)庫查詢方法：第第節(jié)第類隱式跳轉(zhuǎn)風(fēng)險(xiǎn)顯示Intent跳轉(zhuǎn)顯示Intent跳轉(zhuǎn)顯式調(diào)用一般是用于同應(yīng)用程序之間的組件調(diào)整，它直接指定了接收參數(shù)的Activity，可以唯一確定一個(gè)Activity，意圖特別明確。隱試Intent隱試Intent跳轉(zhuǎn)隱式調(diào)用一般是用于在不同應(yīng)用程序之間的組件跳轉(zhuǎn)，因跳轉(zhuǎn)目標(biāo)是由系統(tǒng)來進(jìn)行判斷，特殊情況下會(huì)出現(xiàn)目標(biāo)錯(cuò)誤，造成傳遞數(shù)據(jù)泄露的安全風(fēng)險(xiǎn)漏洞拒絕服務(wù)、信息泄露。漏洞拒絕服務(wù)、信息泄露。第第節(jié)第類備份安全AndroidAPILevel8及其以上Android系統(tǒng)提供了為應(yīng)用程序數(shù)據(jù)的備份和恢復(fù)功能。此功能的開關(guān)決定于該應(yīng)用程序中AndroidManifest.xml文件中的allowBackup屬性值，其屬性值默認(rèn)是True。當(dāng)allowBackup標(biāo)志為true時(shí)，用戶即可通過adbbackup和adbrestore來進(jìn)行對應(yīng)用數(shù)據(jù)的備份和恢復(fù)，這可能會(huì)帶來一定的安全風(fēng)險(xiǎn)。備份指令：備份指令：adbbackup-nosystem-noshared-apk-fcom.xx.xxxxF:\Restore還原指令：還原指令：adbbackup-fF:\Restore-apkcom.xx.xxxx第第節(jié)第類Activity界面劫持APP第第節(jié)第類調(diào)試開啟風(fēng)險(xiǎn)的屬性為true，導(dǎo)致產(chǎn)生以下風(fēng)險(xiǎn)：jdb調(diào)試jdb調(diào)試獲取和篡改用戶敏感信息，甚至分析并且修改代碼實(shí)現(xiàn)的業(yè)務(wù)邏輯，例如竊取用戶密碼，繞過驗(yàn)證碼防護(hù)等和Debug的調(diào)試Release和Debug模式下，程序運(yùn)行兩種不同邏輯流程，比如：Debug則走程序中的內(nèi)測流程，使用內(nèi)網(wǎng)IP、Log日志全開；Relase下則走線上的發(fā)布版本。第第節(jié)第類和Debug模式Release和Debug模式下，程序運(yùn)行兩種不同邏輯流程，比如：Debug用內(nèi)網(wǎng)IP、調(diào)試日志全開；下則走線上的發(fā)布版本。第第節(jié)第類數(shù)據(jù)安全本地?cái)?shù)據(jù)全局讀寫漏洞調(diào)試信息泄露本地?cái)?shù)據(jù)全局讀寫漏洞調(diào)試信息泄露第第節(jié)第類本地?cái)?shù)據(jù)全局讀寫漏洞APP在創(chuàng)建數(shù)據(jù)庫時(shí)，將數(shù)據(jù)庫設(shè)置了全局的可讀權(quán)限，攻擊者惡意讀取數(shù)據(jù)庫內(nèi)容，獲取敏感信息。在設(shè)置數(shù)據(jù)庫屬性時(shí)如果設(shè)置全局可寫，攻擊者可能會(huì)篡改、偽造內(nèi)容，可以能會(huì)進(jìn)行詐騙等行為，造成用戶財(cái)產(chǎn)損失。以下為數(shù)據(jù)庫全局讀寫的一種實(shí)現(xiàn)方式，漏洞代碼樣例：try{SQLiteDatabaserdb=openOrCreateDatabase("all_r_db",Context.MODE_WORLD_READABLE,null);SQLiteDatabasewdb=openOrCreateDatabase("all_w_db",Context.MODE_WORLD_WRITEABLE,null,null);}catch(SQLiteException{e.printStackTrace();}...第第節(jié)第類調(diào)試信息泄露運(yùn)行日志信息泄露第第節(jié)第類調(diào)試信息泄露測試內(nèi)網(wǎng)測試內(nèi)網(wǎng)/賬號的泄露還有些APP在發(fā)布版本內(nèi)部還嵌這測試環(huán)境代碼，當(dāng)符合某種條件時(shí)，順利調(diào)出測試流程，如某八戒外包網(wǎng)：測試數(shù)據(jù)殘留測試數(shù)據(jù)殘留第第節(jié)第類避免測試數(shù)據(jù)殘留發(fā)布版本應(yīng)對程序中所有測試數(shù)據(jù)、測試方法進(jìn)行統(tǒng)一刪除。內(nèi)網(wǎng)數(shù)據(jù)殘留發(fā)布版本應(yīng)對程序中所有的內(nèi)網(wǎng)數(shù)據(jù)進(jìn)行統(tǒng)一刪除。殘留的測試數(shù)據(jù)，例如內(nèi)網(wǎng)數(shù)據(jù)殘留發(fā)布版本應(yīng)對程序中所有的內(nèi)網(wǎng)數(shù)據(jù)進(jìn)行統(tǒng)一刪除。殘留的測試數(shù)據(jù)，例如URL地址、測試賬號、密碼等可能會(huì)被盜取并惡意使用在正式服務(wù)器上進(jìn)行攻擊，例如賬號重試，攻擊安全薄弱的測試服務(wù)器以獲取服務(wù)器安全漏洞或邏輯漏洞第第節(jié)第類業(yè)務(wù)安全HTTP/HTTPS中間人攻擊數(shù)據(jù)封包弱加密手機(jī)驗(yàn)證碼機(jī)制安全會(huì)話保持機(jī)制安全其他漏洞數(shù)據(jù)封包弱加密手機(jī)驗(yàn)證碼機(jī)制安全會(huì)話保持機(jī)制安全其他漏洞第節(jié)第類中間人攻擊HTTP下的升級劫持第第節(jié)第類中間人攻擊HTTPSHTTPS中間人攻擊1、客戶端不驗(yàn)證服務(wù)器是否可信，即checkServerTrusted()方法為空3、接受任意域名2、不檢查站點(diǎn)域名與站點(diǎn)證書的域名是否匹配第第節(jié)第類數(shù)據(jù)封包弱加密常見的對稱加密算法（AES/DES/3DES常見的對稱加密算法（AES/DES/3DES）常見的非對稱加密算法（RSA/DSA、ECB）APP網(wǎng)絡(luò)協(xié)議封包普遍存在弱加密易解密的主要原因是：密鑰的硬編碼。第節(jié)第類數(shù)據(jù)封包弱加密123第節(jié)第類-數(shù)據(jù)封包弱加密第第節(jié)第類手機(jī)驗(yàn)證碼機(jī)制安全源；驗(yàn)證碼是否可無限請求源；驗(yàn)證碼是否可無限請求驗(yàn)證碼是否可重復(fù)使用；驗(yàn)證碼是否是真正隨機(jī)驗(yàn)證碼的錯(cuò)誤次數(shù)是否限定驗(yàn)證是否可被繞過驗(yàn)證碼是否是真正隨機(jī)驗(yàn)證碼的錯(cuò)誤次數(shù)是否限定驗(yàn)證是否可被繞過第節(jié)第類-手機(jī)驗(yàn)證碼機(jī)制安全第第節(jié)第類用戶敏感信息泄露對于移動(dòng)客戶端，用戶的敏感信息泄露，一般指的是泄露其他或者可遍歷其他用戶隱私的信息，常常出現(xiàn)在發(fā)表言論的論壇、討論區(qū)、公共評價(jià)區(qū)、轉(zhuǎn)賬、加好友時(shí)的搜索結(jié)果地方，敏感信息有注冊時(shí)的郵箱、手機(jī)號碼、出生年月、甚至身份證號、住址等等。電信某內(nèi)部APP的評論區(qū)泄露敏感信息第第節(jié)第類手勢密碼安全保存在本地的手勢密碼，如果開發(fā)時(shí)判斷邏輯缺陷、組件不安全暴露、明文保存本地等都有可能造成手勢密碼的簡單繞過：Activity）/就算是MD5、SHA-1類似的單向的加密也不怕，因?yàn)槭謩菝艽a的軌跡是有限的，至少四個(gè)點(diǎn)才389112中情況，純爆破也很快。第第節(jié)第類手勢密碼安全協(xié)議中間人攻擊繞過手勢密碼第第2節(jié)：iOS客戶端常見漏洞分析數(shù)據(jù)安全

敏感界面明文顯示截屏安全界面切換沒有緩存模糊處理程序安全砸殼解包分析安全日志安全Mach-o程序源代碼安全

本地?cái)?shù)據(jù)儲存安全第第節(jié)第類程序安全iPA砸殼解包分析源碼頭DumpiPA砸殼解包分析源碼頭Dump安全系統(tǒng)Log日志安全Mach-o程序源代碼安全第第節(jié)第類砸殼解包分析。Apple公司為了保護(hù)開發(fā)者原創(chuàng)不被竊取，維護(hù)其運(yùn)營生態(tài)，每款iOSAPP上架成功后，都會(huì)在外面加一層“保護(hù)殼”，這種保護(hù)在一定程度上防止了逆向工程的進(jìn)行。第第節(jié)第類砸殼解包分析但同時(shí)又由于系統(tǒng)運(yùn)行解密的機(jī)制，逆向界也出現(xiàn)了多款對APPStore程序砸殼的破解工具，如Clutch、dumpdecrypted等。第節(jié)第類-源碼頭Dump安全iOS程序iPA使用的是第節(jié)第類-源碼頭Dump安全Dump源碼頭的工具叫class-dump-z，dumpMach-o文件的指令：class-dump-z.exe-H<Mach-o文件>-o<文件夾>第第節(jié)第類-源碼頭Dump安全dump處理ipa后生成很多的.h類文件每個(gè).h類中的控件、方法類、字段第第節(jié)第類系統(tǒng)Log日志在APPlogAPP第第節(jié)第類Mach-o程序源碼安全Win下使用IDA查看Mach-o，源代碼為做混淆狀態(tài)第節(jié)第類源碼字符串暴露第第節(jié)第類數(shù)據(jù)安全敏感界面明文顯示截屏安全界面切換緩存沒有模糊處理本地?cái)?shù)據(jù)儲存安全敏感界面明文顯示截屏安全界面切換緩存沒有模糊處理本地?cái)?shù)據(jù)儲存安全第第節(jié)第類敏感界面明文顯示截屏安全登錄、注冊、找回密碼、手勢密碼、支付等敏感界面截圖操作第第節(jié)第類界面切換緩存沒有模糊處理將APP切換至后臺，檢測APP的界面是否做模糊處理。 未進(jìn)行模糊處理效果 進(jìn)行模糊處理效果第第節(jié)第類本地?cái)?shù)據(jù)儲存安全在plist文件中明文存儲敏感信息在SQLite數(shù)據(jù)庫中明文存儲敏感信息緩存文件中存在其他敏感信息44章移動(dòng)應(yīng)用漏洞分析樣例分享Co