Android глазами хакера

Рютин Борис @dukebarman

Esage Lab {neúron}

Checkpoint’ы семинара

Esage Lab {neúron}

1. ОС Android2. Инструменты для исследования3. Инструменты для разработки4. Анализ уязвимости CVE-2011-1823

Архитектура ОС Android

Esage Lab {neúron}

Структура файлов формата .apk

Esage Lab {neúron}

• Директория META-INF: – MANIFEST.MF– CERT.RSA– CERT.SF

• Директория res• Директория assets• AndroidManifest.xml• classes.dex• resources.arsc

Цели malware-программ

Esage Lab {neúron}

• GPS• Доступ к веб-сайтам• Работа с SMS• Детализация звонков• И т.д.

Типы угроз для android

Esage Lab {neúron}

• На уровне приложений(spyware, malware, …)• Веб-угрозы (фишинг, браузеры)• Сетевые (Wi-Fi-сниффинг, network-эксплойты)

Отличия от linux-программ

Esage Lab {neúron}

• Content Providers — обмен данными между приложениями

• Resource Manager — доступ к таким ресурсам, как файлы xml, png

• Notification Manager — доступ к строке состояния

• Activity Manager — управление активными приложениями

Checkpoint’ы семинара

Esage Lab {neúron}

1. ОС Android2. Инструменты для исследования3. Инструменты для разработки4. Анализ уязвимости CVE-2011-1823

Пути исследования

Esage Lab {neúron}

• Статистический анализ

• Динамический анализ

ApkTool

Esage Lab {neúron}

Сайт:http://code.google.com/p/android-apktool/

Особенности:• Дизассемблирование приложения практически до

оригинальных исходников с возможностью пересобрать• Дебаг smali-кода.• Тулза будет полезна переводчикам и тем, кто занимается

переносом приложения на другие платформы.

APK Inspector

Esage Lab {neúron}

Сайт: http://code.google.com/p/apkinspector/

Особенности:• GUI-интерфейс• Написан на python• Объединяет в себе работу различных программ

для реверсинга: dex2jar, apktool, androguard

dex2jar

Esage Lab {neúron}

Сайт: http://code.google.com/p/dex2jar

Особенности:• Простое преобразование файлов формата *.dex в

*.jar

Jar-декомпиляторы

Esage Lab {neúron}

JadСайт: http://www.kpdus.com/jad.html

JD-GUI Сайт: http://java.decompiler.free.fr

ScanDroid

Esage Lab {neúron}

Сайт: http://blueinfy.com/ScanDroid.zip

Особенности:• Написан на Ruby• Проверяет именно приложения на уязвимости

Пример использования:http://forum.reverse4you.org/showthread.php?t=1175

AREvm

Esage Lab {neúron}

Сайт: https://redmine.honeynet.org/projects/are

Включает в себя:• androguard • android sdk/ndk • apkinspector • apktool • axmlprinter

• ded • dex2jar • droidbox • ded • smali/baksmali

Android SDK

Esage Lab {neúron}

Сайт: http://developer.android.com/sdk/

Особенности:• Дебаггер• Туториалы по разработке• Эмулятор• Нужные библиотеки• Примеры программ• Документация по Android API

Android SDK

Esage Lab {neúron}

Приложения Android SDK:• Dalvik Debug Monitor Service (ddms)• Android Debug Bridge (adb)• Android Asset Packaging Tool (aapt)

• Android Interface Description Language (aidl)

• Sqlite3

• Traceview

• mksdcard

• dx

• activityCreator

IDA PRO 6.1

Esage Lab {neúron}

Сайт: http://developer.android.com/sdk/

В IDA 6.1 появилась возможность дизассемблировать байткод Android (Dalvik) (Один из пользователей IDA любезно предоставил процессорный модуль и загрузчик )

Особенности:• Дизассемблер Dalvik теперь доступен в Расширенной Версии (Advanced Edition)• Нативный код ARM доступен для отладки• Поддерживает смешанный код ARM/Thumb и может работать с

многопоточными приложениями

Checkpoint’ы семинара

Esage Lab {neúron}

1. ОС Android2. Инструменты для исследования3. Инструменты для разработки4. Анализ уязвимости CVE-2011-1823

Среды для разработоки

Esage Lab {neúron}

Eclipse ADT-pluginСайт: http://developer.android.com/sdk/eclipse-adt.html

NetBeans pluginСайт: http://www.nbandroid.org/

IntelliJ IDEA pluginСайт: http://code.google.com/p/idea-android/

Android NDK

Esage Lab {neúron}

Сайт: http://developer.android.com/sdk/ndk/index.html

Пакет инструментариев и библиотек позволяющий вести разработку приложений на языке С/С++. NDK рекомендуется использовать для разработки участков кода критичных к скорости.

Эмуляторы

Esage Lab {neúron}

• Входящие в состав Android SDK• Собранные из исходников:

– http://source.android.com/source/index.html – http://www.android-x86.org/

Checkpoint’ы семинара

Esage Lab {neúron}

1. ОС Android2. Инструменты для исследования3. Инструменты для разработки4. Анализ уязвимости CVE-2011-1823

CVE-2011-1823

Esage Lab {neúron}

• Описание:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1823

• Уязвимая функция: DirectVolume::handlePartitionAdded• Тип уязвимости: LPE (вектор повышения привелегий)• Уязвимые системы:

– Android 2.x – 2.3.3– Android 3.0

• Требования:– Установленная карта памяти– Вкл. Usb debugging

CVE-2011-1823

Esage Lab {neúron}

Полезные ссылки по теме анализа Gingerbreak:• http://c-skills.blogspot.com/2011/04/yummy-yummy-gingerbreak.html• http://android-dls.com/wiki/index.php?title=Compiling_for_Android• http://plausible.org/andy/agcc• http://source.android.com/source/download.html

Материалы

Esage Lab {neúron}

ENG: 1. "Reverse Engineering Of Malware On Android", автор Vibha Manjunath

http://www.sans.org/reading_room/whitepapers/pda/reverse-engineering-malware-android_337692. "Android Reverse Engineering - A Kick Start", автор Dhanesh - разбор crackme "Deurus Android crackme

03" 3. http://mylifewithandroid.blogspot.com/2009/01/disassembling-dex-files.html 4. ".dex format to .jar format" http://androidorigin.blogspot.com/2011/02/dex-format-to-jar-format.html5. http://thomascannon.net/projects/android-reversing/ 6. http://androidcracking.blogspot.com/2011/02/smali-syntax-highlighting-for-notepad.html

RU: 1. http://habrahabr.ru2. Журнал "Хакер" выпуски:

Сентябрь 2011 (152) "Android-убийца«Ноябрь 2011 (154) "Больные роботы“

Спасибо!

Esage Lab {neúron}

Esagelab.ru Neuronspace.ru Drakonoid.ru