⛰️Analyse statique (Android)

Méthodes de chiffrement faibles

L'utilisations incorrectes des algorithmes de chiffrement peuvent entraîner l'exposition de données sensibles, de clés provées, des broken authentication, une session non sécurisée ou encore une attaque par usurpation d'identité.

Commandes grep intéressantes

Recherche de hash MD5

grep -e "[0-9a-f]\{32\}"

Recherches par mots clés

grep -r "SecretKeySpec" *

grep -rli "aes" *

grep -rli "iv"

Préférences d'activités éxportées

Comme nous le savons, le composant d'activité d'Android est le ou les écrans d'application et la ou les actions qui s'appliquent à ce ou ces écrans lorsque nous utilisons l'application. Lorsqu'une activité est partagée avec d'autres applications sur l'appareil, elle est donc accessible à toute autre application sur l'appareil.

Commande grep pour les lister

cat AndroidManifest.xml | grep android:exported

Backups actifs

Cette fonctionnalité lorsqu'elle est activée permet à n'importe qui d'enregistrer un backup de l'application sur son ordinateur ce qui est considéré comme une mauvaise pratique de sécurité.

Détection avec grep

cat AndroidManifest.xml | grep android:AllowBackup

Application débogable

La fonctionnalité de débogage est interessante dans un contexte de pré-production car cela permet de connecter un débogeur à l'application afin de faire toutes sortes d'interactions avec l'application ce qui en fait ainsi un risque car un attaquant peut en profiter à des fins malicieuses.

Détection avec grep

cat AndroidManifest.xml | grep android:debuggable

Permissions

Les autorisations du système sont divisées en deux groupes : « normales » et « dangereuses ». Les groupes d'autorisation normaux sont autorisés par défaut, car ils ne présentent aucun risque pour votre vie privée. (par exemple, Android permet aux applications d'accéder à Internet sans votre permission.) Cependant, les groupes d'autorisation dangereux peuvent donner aux applications l'accès à des éléments tels que votre historique d'appels, vos messages privés, votre emplacement, votre caméra, votre microphone, etc. Par conséquent, Android vous demandera toujours d'approuver les autorisations dangereuses.

Certaine applications demandent parfois plus de permissions de nécessaires au bon fonctionnement de l'application. Il est donc important de faire attention à cette fonctionnalitée (notamment dans le cas de malwares).

Lister les permissions avec grep

cat AndroidManifest.xml | grep "android.permission."

Via abd:

$ adb shell dumpsys package com.example.xyz
...
declared permissions:
  com.google.android.youtube.permission.C2D_MESSAGE: prot=signature, INSTALLED
requested permissions:
  android.permission.INTERNET
  android.permission.ACCESS_NETWORK_STATE
install permissions:
  com.google.android.c2dm.permission.RECEIVE: granted=true
  android.permission.USE_CREDENTIALS: granted=true
  com.google.android.providers.gsf.permission.READ_GSERVICES: granted=true
...

Liste des permissions considérées dangereuses

READ_CALENDAR
WRITE_CALENDAR
READ_CALL_LOG
WRITE_CALL_LOG
PROCESS_OUTGOING_CALLS
CAMERA
READ_CONTACTS
WRITE_CONTACTS
GET_ACCOUNTS
ACCESS_FINE_LOCATION
ACCESS_COARSE_LOCATION
RECORD_AUDIO
READ_PHONE_STATE
READ_PHONE_NUMBERS
CALL_PHONE
ANSWER_PHONE_CALLS
ADD_VOICEMAIL
USE_SIP
BODY_SENSORS
SEND_SMS
RECEIVE_SMS
READ_SMS
RECEIVE_WAP_PUSH
RECEIVE_MMS
READ_EXTERNAL_STORAGE
WRITE_EXTERNAL_STORAGE

Firebase instance(s)

Le service Firebase de Google est l'une des plates-formes de développement back-end les plus populaires pour les applications mobiles et Web qui offre aux développeurs une base de données basée sur le cloud, qui stocke les données au format JSON et les synchronise en temps réel avec tous les clients connectés.

FireBaseScanner

FireBaseScanner est un outil permettant de scanner des bases de données Firebase à la recherche de problèmes de configuration.

Exemple d'utilisation:

$ python FireBaseScanner.py -p /path/to/target.apk

ressource: https://github.com/shivsahni/FireBaseScanner

Analyse de code

Secrets hardcodés, mauvaises pratiques de sécurité dans le code, leaks d'IP interne etc.

Quelques commandes grep interessantes

Recherche d'URI et d'endpoints

grep -aiRPoH ‘https?://[a-zA-Z0-9\-\_\.\~\!\*’\’’\
(\)\;\:\@\&\=\+$\, \/\?\#\[\]\%]+’|sed ‘s/:/, /

grep -Ei 'api' -Ei 'http' -Ei 'https' -Ei 'URI' -Ei 'URL' -R .

grep -Eio '(http|https)://[^/"]+' -Eio 'content://[^/"]+' -R .

Recherche de secrets

grep -aiRPoH ‘password=|key=|pass=|secret=’

Recherche de fichiers et leurs permissions

grep -Ei 'MODE_WORLD_READABLE' -Ei 'MODE_WORLD_WRITEABLE' -R .

grep -Ei 'getCacheDir' -Ei 'getExternalCacheDirs' -R .

grep -Ei 'openFileOutput' -Ei 'FileOutputStream' -Ei 'OutputStream' -Ei 'getExternalFilesDir' -R .

Recherche de base de données

grep -Ei 'localUserSecretStore' -Ei 'getWriteableDatabase' -Ei 'getReadableDatabase' -R .

grep -Ei 'realm' -Ei 'getDefaultInstance' -Ei 'beginTransaction' -Ei -R .

grep -Ei 'SQLiteDatabase' -Ei 'insert' -Ei 'query' -Ei 'delete' -Ei 'update' -R .

Recherche d'utilisateurs

grep -Ei 'username' -Ei 'user' -Ei 'pass' -Ei 'passwd' -Ei 'userid' -Ei 'password' -R .

grep -Ei '.config' -Ei 'secret' -Ei 'token' -Ei 'login' -Ei 'auth' -R .

Recherche de logs

grep -Ei 'Log.v' -Ei 'Log.d' -Ei 'Log.i' -Ei 'Log.w' -Ei 'Log.e' -R .

grep -Ei 'log' -Ei 'logger' -Ei 'printStackTrace' -Ei 'System.out.print' -Ei 'System.err.print' -R .

Recherche de content

grep -Ei 'Cursor' -Ei 'content' -Ei 'ContentResolver' -Ei 'CONTENT_URI' -Ei 'Loader' -Ei 'onCreateLoader' -Ei 'LoaderManager' -Ei -R .

Recherche de keystore

grep -Ei 'AndroidKeystore' -Ei 'KeyStore' -Ei 'crypto' -Ei 'cipher' -Ei 'store' -R .

Classes intéressantes

SharedPreferences (stock les valeurs clés par paire)
FileOutPutStream (utilise stockage interne ou externe)
NotificationManager (Vérifier si les notifications envoyés peuvent contenir des infos sensibles)

Fonctions intéressantes

getExternal* (utilise stockage externe)
getWriteableDatabase (retourne SQLiteDB pour écriture)
getReadableDatabase (retourne SQLiteDB pour lecture)
getCacheDir / getExternalCacheDirs (utiliser les fichiers en cache)

Il est aussi important de faire une analyse des librairies ".so" présentes dans le repertoire /lib avec IDA.

Outils

PrécédentDé-obfuscation SuivantDebug

Mis à jour il y a 1 an

Ce contenu vous a-t-il été utile ?