Мобильная «безопасность»

Ярослав Александров, Ленар Сафинк.ф.-м.н. Катерина Трошина, к.ф.-м.н. Александр Чернов

PHDays V, 26 мая 2015

Introduction

Android: market share

Анализ приложений

50 приложений: банки, почта, билеты

Методика анализа

• Декомпиляция (apk → java)• Автоматический статический анализ• Экспертный статический анализ• Экспертный динамический анализ– Соединения– Файловая система, логи– Система авторизации

Инструмент: inCode

Анализ вручную

Инструментальное средство: inCode

Бинарный анализ

Статический анализ

• Поиск по шаблонам• Анализ графа потока управления• Анализ потока данных:– Компиляторы (alias, DU&UD,

межпроцедурный, …)– taint-анализ, интервальный,

строковый

Уязвимости

• M3, M4: Передача данных (http, weak SSL)

• M2, M4: Хранение данных (home dir, SD)

Уязвимости

• Небезопасное межпроцессное взаимодействие – Service– Activity– Intent– ContentProvider– BroadcastReceiver

Уязвимости

• M6: Небезопасная криптография (MD4, MD5, DES/3DES, ECB-mode, …)

• M7, M8: Недостаточная проверка и обработка входных данных

Демо

Приложение (Google Play)

Статический анализдля поиска уязвимостей

Уязвимость: SSL

Эксплоит (Fiddler)

Заключение

• Исследование приложений• inCode: бинарный анализ Android

Спасибо за внимание!info@smartdec.ru

alexandrov@smartdec.rusmartdec.ru