SlideShare a Scribd company logo

Android Application Security Assessment

ITEM, profile picture
ITEM

Документ посвящен оценке безопасности мобильных приложений с акцентом на уязвимости по OWASP Top 10, включая небезопасное хранение данных и аутентификацию. Описаны различные инструменты тестирования, такие как apktool и burpsuite, а также конкретные примеры уязвимостей и методов их анализа. В заключение, подчеркивается важность использования OWASP Mobile Top 10 для оценки и анализа потенциальных уязвимостей.

Technology
1 of 29
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
Android Application Security Assessment Антонишин Михаил Informational security specialist m.antonishyn@hacken.io
Вид уязвимости по OWASP Top 10 Mobile M1. Обход архитектурных ограничений (Improper Platform Usage) M2. Небезопасное хранение данных (Insecure Data Storage) M3. Небезопасная передача данных (Insecure Communication) M4. Небезопасная аутентификация (Insecure Authentication) M5. Слабая криптостойкость (Insufficient Cryptography) M6 Небезопасная авторизация (Insecure Authorization) M7 Контроль содержимого клиентских приложений (Client Code Quality) M8 Модификация данных (Code Tampering) M9 Анализ исходного кода (Reverse Engineering) M10 Скрытый функционал (Extraneous Functionality)
Инструменты тестирования  Apktool  Adb  Dex2jar  VCG scanner  JD-GUI  Genymotion  Pidcat  Drozer  BurpSuite  MobSF
Декомпиляция приложения 1. Apktool 2. Dex2Jar 3. MobSF
Декомпиляция приложения 1. Apktool 2. Dex2Jar 3. MobSF
Декомпиляция приложения 1. Apktool 2. Dex2Jar 3. MobSF
M1.Обход архитектурных ограничений (Improper Platform Usage) Файл манифеста
M1.Обход архитектурных ограничений (Improper Platform Usage) Уязвимость в WEBVIEW - ПОТЕНЦИАЛЬНАЯ $ grep -nr 'setAllowUniversalAccessFromFileURLs' java_source java_source/com/facebook/react/views/webview/ReactWebViewManager.java:227: public void setAllowUniversalAccessFromFileURLs(WebView webView, boolean bl2) { java_source/com/facebook/react/views/webview/ReactWebViewManager.java:228: webView.getSettings().setAllowUniversalAccessFromFileURLs(bl2); $grep -nr 'setJavaScriptEnabled' java_source java_source/com/facebook/react/views/webview/ReactWebViewManager.java:242: public void setJavaScriptEnabled(WebView webView, boolean bl2) { java_source/com/facebook/react/views/webview/ReactWebViewManager.java:243: webView.getSettings().setJavaScriptEnabled(bl2);
M2. Небезопасное хранение данных (Insecure Data Storage)
M2. Небезопасное хранение данных (Insecure Data Storage) Вывод чувствительной информации в лог
M2. Небезопасное хранение данных (Insecure Data Storage) Место, которое выводит в лог чувствительную информацию
M3. Небезопасная передача данных (Insecure Communication) OTP возвращается в Response
M3. Небезопасная передача данных (Insecure Communication) Выполнение транзакций от имени другого пользователя
M4. Небезопасная аутентификация (Insecure Authentication) Эта категория относится к аутентификации конечного пользователя или неверное управление сеансами. Включает следующие пункты: • Отсутствие требования проверки идентификации пользователя ; • Отсутствие проверки контроля сеанса; • Недостатки управления сессиями.
M5. Слабая криптостойкость (Insufficient Cryptography Слабый алгоритм хеширования
M5. Слабая криптостойкость (Insufficient Cryptography Хранение пароля в хешированном виде
M5. Слабая криптостойкость (Insufficient Cryptography Подбор значения хэш-суммы
M5. Слабая криптостойкость (Insufficient Cryptography Использование уязвимой библиотеки
M6. Небезопасная авторизация (Insecure Authorization) Категория описывает недостатки авторизации (проверка (валидация) на стороне клиента, принудительный просмотр и т.д.). Такие события отличаются от проблем аутентификации (например, устройства регистрации, идентификации пользователей и т.д.). Если приложение не проходит проверку подлинности пользователей при необходимости (например, предоставление анонимного доступа к некоторым ресурсам или службам, при отсутствии проверки подлинности и запрета несанкционированного доступа), это является ошибкой проверки подлинности, а не сбоем авторизации.
M7. Контроль содержимого клиентских приложений (Client Code Quality) Статический анализ VCG scanner
Проверка на потенциальную инъекцию в БД M8. Модификация данных (Code Tampering)
Попытка модифицировать данные M8. Модификация данных (Code Tampering)
M8. Модификация данных (Code Tampering) Исходники реализации метода
M9. Анализ исходного кода (Reverse Engineering) Реализации метода проверки на включение Developer mode Реализации метода проверки на включение Developer mode grep -nr "development_settings_enabled" ********_v_0.9.2 Binary file: ********_v_0.9.2/build/apk/classes.dex matches ********_v_0.9.2/smali/o/xZ$1.smali:49: const- string v1, "development_settings_enabled"
M9. Анализ исходного кода (Reverse Engineering) Место проверки в коде Модифицируем
M9. Анализ исходного кода (Reverse Engineering) Developer mode - включён Запуск приложения
M10. Скрытый функционал (Extraneous Functionality) Часто разработчики включают в код приложений скрытые функциональные возможности, бэкдоры или другие механизмы, функциональность которых предназначена для общего использования. Под эту категорию подходит известное определение «security through obscurity». Разработчик может случайно оставить пароль в качестве комментария в гибридном приложении. Либо это может быть отключение двухфакторной аутентификации во время тестирования.
Выводы 1. OWASP Mobile TOP 10 позволяет в цифрах проанализировать колличество потенциальных и реальных уязвимостей. 2. Некоторые уязвимости можно одновременно отнести к разным категориям, что усложняет присвоение статуса критичности. 3. Наглядно продемонстрировал соотношение уязвимостей и инструментов тестирования
Any questions? Антонишин Михаил Informational security specialist m.antonishyn@hacken.io

More Related Content

PPT
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
vGate R2
 
PDF
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
OWASP Russia
 
PPTX
Продуктовая линейка компании «Код Безопасности»
LETA IT-company
 
PPTX
Угрозы ИБ - retail edition (2016)
Alexey Kachalin
 
PPTX
Stonesoft: Безопасный удаленный доступ - это просто!
Expolink
 
PPT
введение в проблематику Pa dss
Informzaschita
 
DOC
PT Penetration Testing Report (sample)
Dmitry Evteev
 
PDF
тест на проникновение
a_a_a
 
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
vGate R2
 
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
OWASP Russia
 
Продуктовая линейка компании «Код Безопасности»
LETA IT-company
 
Угрозы ИБ - retail edition (2016)
Alexey Kachalin
 
Stonesoft: Безопасный удаленный доступ - это просто!
Expolink
 
введение в проблематику Pa dss
Informzaschita
 
PT Penetration Testing Report (sample)
Dmitry Evteev
 
тест на проникновение
a_a_a
 

What's hot (19)

PPTX
Электронная аутентификация в государственных системах
Mikhail Vanin
 
PDF
ИБ Стратегия обороны. Серия №4 ч.2
Компания УЦСБ
 
PPTX
дмитрий кузнецов (2)
Positive Hack Days
 
PPTX
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
Positive Hack Days
 
PPTX
ТОИБАС. Семинар 2. Идентификация и аутентификация
Mikhail Vanin
 
PDF
Secure bank-brochure-rus
Group-IB
 
PDF
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Yulia Sedova
 
DOC
Pentest Report Sample
Training center "Echelon"
 
PPTX
Анализатор событий для предотвращения событий. Р. Мустафаев.
Expolink
 
PPTX
PHDays 2012: Future Now
Dmitry Evteev
 
PDF
Trust screen и mac токен как элементы доверенной среды для противодействия хи...
Expolink
 
PPTX
Услуги PT для банков
Dmitry Evteev
 
PDF
Kaspersky Endpoint Security and Control - RUSSIAN
Kirill Kertsenbaum
 
PDF
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
Expolink
 
PPTX
Abashev
Andrew Paymushkin
 
PPT
Безопасность CMS
1С-Битрикс
 
PDF
BYOD и решения для контроля мобильных устройств (MDM).
Cisco Russia
 
PDF
M2M to IoT - standartization_and_security #iotconfua
Andy Shutka
 
PDF
ИБ Стратегия обороны. Серия №1
Компания УЦСБ
 
Электронная аутентификация в государственных системах
Mikhail Vanin
 
ИБ Стратегия обороны. Серия №4 ч.2
Компания УЦСБ
 
дмитрий кузнецов (2)
Positive Hack Days
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
Positive Hack Days
 
ТОИБАС. Семинар 2. Идентификация и аутентификация
Mikhail Vanin
 
Secure bank-brochure-rus
Group-IB
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Yulia Sedova
 
Pentest Report Sample
Training center "Echelon"
 
Анализатор событий для предотвращения событий. Р. Мустафаев.
Expolink
 
PHDays 2012: Future Now
Dmitry Evteev
 
Trust screen и mac токен как элементы доверенной среды для противодействия хи...
Expolink
 
Услуги PT для банков
Dmitry Evteev
 
Kaspersky Endpoint Security and Control - RUSSIAN
Kirill Kertsenbaum
 
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
Expolink
 
Abashev
Andrew Paymushkin
 
Безопасность CMS
1С-Битрикс
 
BYOD и решения для контроля мобильных устройств (MDM).
Cisco Russia
 
M2M to IoT - standartization_and_security #iotconfua
Andy Shutka
 
ИБ Стратегия обороны. Серия №1
Компания УЦСБ
 
Ad

Similar to Android Application Security Assessment (20)

PPTX
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QAFest
 
PDF
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»
Yandex
 
PPTX
Certifi-Gate: атака в теории и на практике
Positive Hack Days
 
PPTX
Мобильная «безопасность»
Positive Hack Days
 
PPTX
Угрозы ИБ мобильным устройствам (2014)
Alexey Kachalin
 
PDF
Выставка трофеев: итоги «охоты за ошибками» в мобильных приложениях, Юрий Лео...
Yandex
 
PDF
10 уязвимостей в мобильном ПО
jet_information_security
 
PPTX
Безопасность мобильных приложений. Что тестировать?
SQALab
 
PPTX
Mobile security testing
Zestranec
 
PPTX
Тестирование безопасности мобильных приложений
Igor Bondarenko
 
PDF
Mobile 123'"><banking security_2012
Mike Yakobs
 
PPT
Оценка защищенности Web-приложений
SQALab
 
PPT
Sergey Gordeychik SQADays 2008
guest5b66888
 
PDF
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Positive Hack Days
 
PDF
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Positive Development User Group
 
PPTX
Мобильные устройства + BYOD + Критичные данные = ?
Positive Hack Days
 
PDF
2013 09 21 безопасность веб-приложений
Yandex
 
PPT
Sergey Gordeychik, Application Security in real word
qqlan
 
PPTX
Уязвимости мобильных коммуникаций (2012)
Alexey Kachalin
 
PDF
бешков андрей. сравнение безопасности мобильных платформ
elenae00
 
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QAFest
 
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»
Yandex
 
Certifi-Gate: атака в теории и на практике
Positive Hack Days
 
Мобильная «безопасность»
Positive Hack Days
 
Угрозы ИБ мобильным устройствам (2014)
Alexey Kachalin
 
Выставка трофеев: итоги «охоты за ошибками» в мобильных приложениях, Юрий Лео...
Yandex
 
10 уязвимостей в мобильном ПО
jet_information_security
 
Безопасность мобильных приложений. Что тестировать?
SQALab
 
Mobile security testing
Zestranec
 
Тестирование безопасности мобильных приложений
Igor Bondarenko
 
Mobile 123'"><banking security_2012
Mike Yakobs
 
Оценка защищенности Web-приложений
SQALab
 
Sergey Gordeychik SQADays 2008
guest5b66888
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Positive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Positive Development User Group
 
Мобильные устройства + BYOD + Критичные данные = ?
Positive Hack Days
 
2013 09 21 безопасность веб-приложений
Yandex
 
Sergey Gordeychik, Application Security in real word
qqlan
 
Уязвимости мобильных коммуникаций (2012)
Alexey Kachalin
 
бешков андрей. сравнение безопасности мобильных платформ
elenae00
 
Ad

More from ITEM (20)

PPTX
Тестирование искусственного интеллекта: с какой стороны подступиться?
ITEM
 
PPTX
Сделать свой продукт, или убить в себе перфекциониста
ITEM
 
PPTX
Upwork as a service company incubator
ITEM
 
PPTX
Как глобальные тренды и инновации повлияют на аутсорсинг в Украине
ITEM
 
PDF
Внедрение локационных сервисов: теория vs практика
ITEM
 
PDF
Automated Vulnerability Assessment and Management
ITEM
 
PDF
Как понять в кого вкладывать деньги?
ITEM
 
PDF
Как аутсорсинговые компании свои продукты разрабатывали и что из этого вышло.
ITEM
 
PDF
Внутренние стартапы. Долго, дорого, никогда.
ITEM
 
PDF
First steps in digitalization and modernization of (huge) non-IT company
ITEM
 
PDF
Redesign of management methodologies
ITEM
 
PDF
Through Trial and Error: How to Prepare a Trainee to the Wild World of Custom...
ITEM
 
PDF
Тернистый путь к самоорганизации
ITEM
 
PDF
Lessons learned scrum mastering distributed teams
ITEM
 
PPTX
Превращая риски в продажи
ITEM
 
PPTX
Internet marketing for IT companies
ITEM
 
PPTX
Success of foreign investment attraction by outsource/service companies.
ITEM
 
PPTX
Outsourcing is a dead-end
ITEM
 
PDF
Communication with clients
ITEM
 
PDF
Harnessing the creative genius within your organization
ITEM
 
Тестирование искусственного интеллекта: с какой стороны подступиться?
ITEM
 
Сделать свой продукт, или убить в себе перфекциониста
ITEM
 
Upwork as a service company incubator
ITEM
 
Как глобальные тренды и инновации повлияют на аутсорсинг в Украине
ITEM
 
Внедрение локационных сервисов: теория vs практика
ITEM
 
Automated Vulnerability Assessment and Management
ITEM
 
Как понять в кого вкладывать деньги?
ITEM
 
Как аутсорсинговые компании свои продукты разрабатывали и что из этого вышло.
ITEM
 
Внутренние стартапы. Долго, дорого, никогда.
ITEM
 
First steps in digitalization and modernization of (huge) non-IT company
ITEM
 
Redesign of management methodologies
ITEM
 
Through Trial and Error: How to Prepare a Trainee to the Wild World of Custom...
ITEM
 
Тернистый путь к самоорганизации
ITEM
 
Lessons learned scrum mastering distributed teams
ITEM
 
Превращая риски в продажи
ITEM
 
Internet marketing for IT companies
ITEM
 
Success of foreign investment attraction by outsource/service companies.
ITEM
 
Outsourcing is a dead-end
ITEM
 
Communication with clients
ITEM
 
Harnessing the creative genius within your organization
ITEM
 

Android Application Security Assessment

  • 1. Android Application Security Assessment Антонишин Михаил Informational security specialist m.antonishyn@hacken.io
  • 2. Вид уязвимости по OWASP Top 10 Mobile M1. Обход архитектурных ограничений (Improper Platform Usage) M2. Небезопасное хранение данных (Insecure Data Storage) M3. Небезопасная передача данных (Insecure Communication) M4. Небезопасная аутентификация (Insecure Authentication) M5. Слабая криптостойкость (Insufficient Cryptography) M6 Небезопасная авторизация (Insecure Authorization) M7 Контроль содержимого клиентских приложений (Client Code Quality) M8 Модификация данных (Code Tampering) M9 Анализ исходного кода (Reverse Engineering) M10 Скрытый функционал (Extraneous Functionality)
  • 3. Инструменты тестирования  Apktool  Adb  Dex2jar  VCG scanner  JD-GUI  Genymotion  Pidcat  Drozer  BurpSuite  MobSF
  • 8. M1.Обход архитектурных ограничений (Improper Platform Usage) Уязвимость в WEBVIEW - ПОТЕНЦИАЛЬНАЯ $ grep -nr 'setAllowUniversalAccessFromFileURLs' java_source java_source/com/facebook/react/views/webview/ReactWebViewManager.java:227: public void setAllowUniversalAccessFromFileURLs(WebView webView, boolean bl2) { java_source/com/facebook/react/views/webview/ReactWebViewManager.java:228: webView.getSettings().setAllowUniversalAccessFromFileURLs(bl2); $grep -nr 'setJavaScriptEnabled' java_source java_source/com/facebook/react/views/webview/ReactWebViewManager.java:242: public void setJavaScriptEnabled(WebView webView, boolean bl2) { java_source/com/facebook/react/views/webview/ReactWebViewManager.java:243: webView.getSettings().setJavaScriptEnabled(bl2);
  • 10. M2. Небезопасное хранение данных (Insecure Data Storage) Вывод чувствительной информации в лог
  • 11. M2. Небезопасное хранение данных (Insecure Data Storage) Место, которое выводит в лог чувствительную информацию
  • 12. M3. Небезопасная передача данных (Insecure Communication) OTP возвращается в Response
  • 13. M3. Небезопасная передача данных (Insecure Communication) Выполнение транзакций от имени другого пользователя
  • 14. M4. Небезопасная аутентификация (Insecure Authentication) Эта категория относится к аутентификации конечного пользователя или неверное управление сеансами. Включает следующие пункты: • Отсутствие требования проверки идентификации пользователя ; • Отсутствие проверки контроля сеанса; • Недостатки управления сессиями.
  • 15. M5. Слабая криптостойкость (Insufficient Cryptography Слабый алгоритм хеширования
  • 16. M5. Слабая криптостойкость (Insufficient Cryptography Хранение пароля в хешированном виде
  • 17. M5. Слабая криптостойкость (Insufficient Cryptography Подбор значения хэш-суммы
  • 18. M5. Слабая криптостойкость (Insufficient Cryptography Использование уязвимой библиотеки
  • 19. M6. Небезопасная авторизация (Insecure Authorization) Категория описывает недостатки авторизации (проверка (валидация) на стороне клиента, принудительный просмотр и т.д.). Такие события отличаются от проблем аутентификации (например, устройства регистрации, идентификации пользователей и т.д.). Если приложение не проходит проверку подлинности пользователей при необходимости (например, предоставление анонимного доступа к некоторым ресурсам или службам, при отсутствии проверки подлинности и запрета несанкционированного доступа), это является ошибкой проверки подлинности, а не сбоем авторизации.
  • 20. M7. Контроль содержимого клиентских приложений (Client Code Quality) Статический анализ VCG scanner
  • 21. Проверка на потенциальную инъекцию в БД M8. Модификация данных (Code Tampering)
  • 22. Попытка модифицировать данные M8. Модификация данных (Code Tampering)
  • 23. M8. Модификация данных (Code Tampering) Исходники реализации метода
  • 24. M9. Анализ исходного кода (Reverse Engineering) Реализации метода проверки на включение Developer mode Реализации метода проверки на включение Developer mode grep -nr "development_settings_enabled" ********_v_0.9.2 Binary file: ********_v_0.9.2/build/apk/classes.dex matches ********_v_0.9.2/smali/o/xZ$1.smali:49: const- string v1, "development_settings_enabled"
  • 25. M9. Анализ исходного кода (Reverse Engineering) Место проверки в коде Модифицируем
  • 26. M9. Анализ исходного кода (Reverse Engineering) Developer mode - включён Запуск приложения
  • 27. M10. Скрытый функционал (Extraneous Functionality) Часто разработчики включают в код приложений скрытые функциональные возможности, бэкдоры или другие механизмы, функциональность которых предназначена для общего использования. Под эту категорию подходит известное определение «security through obscurity». Разработчик может случайно оставить пароль в качестве комментария в гибридном приложении. Либо это может быть отключение двухфакторной аутентификации во время тестирования.
  • 28. Выводы 1. OWASP Mobile TOP 10 позволяет в цифрах проанализировать колличество потенциальных и реальных уязвимостей. 2. Некоторые уязвимости можно одновременно отнести к разным категориям, что усложняет присвоение статуса критичности. 3. Наглядно продемонстрировал соотношение уязвимостей и инструментов тестирования
  • 29. Any questions? Антонишин Михаил Informational security specialist m.antonishyn@hacken.io