Description

L'utilisation d'un emultateur android laisse des traces dans le contenu de l'appareil. Des fichiers/pipes peuvent être retrouvé pour chaque technologie d'emulation (Genymotion, Andy, Nox, Qemu).

La partie de code suivant référence par exemple un certain nombre de fichiers laissés par chaque type de technologie d'emulation qui peuvent ainsi être vérifiés un par un afin de s'assurer qu'aucune de ces technologies ne sont utilisées par l'appareil.

Contournement

Comme le montre la capture ci-dessus, l'application a détecté la présence des pipes /dev/goldfish_pipe et /dev/qemu_pipe sur le système.

On va alors aller rechercher la chaîne de caractères "/dev/goldfish_pipe" dans le code afin de retrouver la partie de code s'occupant de cette vérification.

Ce système est donc simple à contourner. Il s'agit alors de décompiler le fichier apk, de retrouver la partie de code qu'on voit ci-dessus à l'aide d'une commande grep par exemple.

Puis de tout simplement remplacer les chemins vérifiés par l'application dans le tableau "PIPES" de la figure 1 afin de remplacer les chemins existants sur notre machine par des chemins n'existant pas. L'application constatera alors que les fichiers/pipes recherchés n'existent pas et le booléen "checkFiles4" sera alors à 0 renvoyant ainsi le flag.

La dernière étape est alors de recompiler et réinstaller l'application puis de relancer la vérification.