Тестирование на проникновение приложения Андроид – часть 6

Forevonly

Original poster
Pro Member
Сообщения
599
Реакции
603
Посетить сайт
51ea31372886bc38c1a54.png

А сейчас начнется веселье. Согласно Owasp все уязвимости были квалифицированы в

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.





M1 – неправильное использование платформы

M2 – небезопасное хранения данных

M3 –небезопасное общение

M4 – небезопасная аутентификация

M5 – недостаточная криптография

M6 – небезопасная

M7 – код клиента

M8 – фальсификация кода

M9 – обратная разработка

M10 – посторонние функции



Также для практики сбора уязвимых приложений-

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.





Мы используем банк Небезопасных Приложений Андроид (Insecure bank Android Application) для демонстрации уязвимостей -



Сбор информации
Используя drozer, мы можем собирать информацию о приложении Андроид



Код:
команда – run app.package.info –a <.apk name>

Детальное описание – UID, GID, разрешения пользователей, директория данных, Apk путь, разделяемые библиотеки, разделяемые пользователи, версия и название приложения.

20ef75fe2438348ca124d.png

Атакующие компоненты Aндроид

Как я уже определил, все компоненты деятельности Андроид, службы, провайдер контента и широковещательные приемники можно найти, перейдя по ссылке -

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, где мы можем искать их уязвимые места, и узнать, как эти компоненты могут быть уязвимы в приложении.



Атакующая деятельность
Экспортируемые виды деятельности


Экспортируемые виды деятельности (exported = True) – это те виды, деятельности, к которым можно получить доступ при помощи другого приложения на том же устройстве. В большинстве случаев после аутентификации в Android-приложении он переходит к новому действию, о котором, в основном, пользователи осведомлены (например, музыкальный плейлист после входа в музыкальный проигрыватель). Но разработчики сохраняют эти операции экспортированными и даже без пользовательских разрешений.



В файле манифеста Android действия упоминаются с экспортированным значением или с помощью команд drozer.



Мы можем получить информацию об экспортируемых видах деятельности.

Код:
команда – run App.activity.info –a <.apk name>

файл манифеста
Код:
<activity android:label=”@7F070040″ android:name=”com.android.insecurebankv2.LoginActivity”><intent-filter><action android:name=”android.intent.action.MAIN”><activity android:label=”@7F070040″ android:name=”com.android.insecurebankv2.LoginActivity”><intent-filter><action android:name=”android.intent.action.MAIN”> </action><category android:name=”android.intent.category.LAUNCHER”> </category></intent-filter></activity><activity android:label=”@7F070057″ android:name=”com.android.insecurebankv2.FilePrefActivity” android:windowSoftInputMode=”0x00000034″> </activity><activity android:label=”@7F070054″ android:name=”com.android.insecurebankv2.DoLogin”> </activity><activity android:label=”@7F07005B” android:name=”com.android.insecurebankv2.PostLogin” android:exported=”true”> </activity><activity android:label=”@7F07005E” android:name=”com.android.insecurebankv2.WrongLogin”> </activity><activity android:label=”@7F070055″ android:name=”com.android.insecurebankv2.DoTransfer” android:exported=”true”> </activity><activity android:label=”@7F07005D” android:name=”com.android.insecurebankv2.ViewStatement” android:exported=”true”> </activity>

Drozer

a00fcbb6e228a6a6adb0f.png

Поскольку разрешения не определены или экспортированы, значение истинно для действий после входа в систему, и, соответственно, мы можем использовать это, чтобы обойти аутентификацию.



Давайте попробуем вызывать действия после входа без учетных данных, используя drozer.



Пример – Dotransfer, Viewstatement, Changepassword

Код:
Команда в drozer – run app.activity.start –компонент <.apkname>< activityname>

run app.activity.start –component com.android.insecurebankv2 com.android.insecurebankv2. Выполните переход



До

e8ff78bc05fdc89a24c11.png

После

7ee1b5e71a4b4da3361d9.png

Использование вредоносного приложения для вызова действий других приложений

Другой способ вызова действий других приложений – написать вредоносное приложение и передать ему название пакета и активности, чтобы запустить его. В нашем случае вредоносное приложение не требует каких-либо разрешений для запуска действий «Post login» уязвимого приложения.



Защита компонента активности


Настройка Андроид: смена экспортированного значения атрибута на ложное (false)
В файле AndroidManifest.XML нашего приложения нам следует добавить следующий атрибут к компоненту приложения для гарантии безопасности. В нашем случае после произведения входа деятельность должна быть безопасна.

Код:
<activity android: label=”@7F070055″ android: name=”com.android.insecurebankv2.DoTransfer” android: exported=”false“></activity>

Правдивое (True): Провайдер доступен для других приложений. Любое приложение может использовать URI контента провайдера, чтобы получить доступ к нему, с учетом разрешений, указанных для провайдера.



Ложное (False): Провайдер недоступен для других приложений. Выставьте в Андроид: exported=”false”, чтобы ограничить доступ к провайдеру для вашего приложения. Только у тех приложений, у которых такой же ID (UID) пользователя, как у провайдера, будут иметь доступ к нему.



Вышеприведенный код ограничивает доступ к другим приложениям или любому системному компоненту, отличному от текущего приложения. Только приложения, у которых такой же id пользователя, как и у текущего приложения, смогут получить доступ к этой операции.



Ограничение доступа с помощью пользовательских разрешений

Андроид: экспортируемый Атрибут не является единственным способом ограничить воздействие активности других приложений. Мы также можем вводить ограничения, основанные на разрешениях, определяя пользовательские разрешения для активности.



Это может быть полезно, если разработчик хочет ограничить доступ к компонентам своего приложения для тех приложений, у которых есть разрешения.
 
Название темы
Автор Заголовок Раздел Ответы Дата
Admin Взламываем сайты / Тестирование на проникновение с нуля Уязвимости и взлом 4
kdroshev [Udemy.com] [Все части] Взламываем сайты / Тестирование на проникновение с нуля Русская озвучка Другое 0
Forevonly Тестирование на проникновение приложения Android – Часть 12 Полезные статьи 0
Forevonly Тестирование на проникновение приложения Android – Часть 11 – Контрольный список Android Полезные статьи 0
kdroshev PentestIT-Тестирование на проникновение с использованием Metasploit Framework https://cloud.mail.ru/public/HQgW/7oreizmBV Другое 0
kdroshev Тестирование на проникновение с нуля Другое 0
kdroshev Тестирование на проникновение с помощью Kali Linux 2.0 Другое 0
Forevonly Тестирование на проникновение приложения Андроид – часть 10 Полезные статьи 0
Forevonly Тестирование на проникновение приложения Андроид – часть 9 Полезные статьи 0
Forevonly Тестирование на проникновение приложения Андроид – часть 8 Полезные статьи 0
Forevonly Тестирование на проникновение приложения Андроид – часть 7 Полезные статьи 0
Forevonly Тестирование на проникновение приложения для Android - часть 5 Полезные статьи 0
Forevonly Тестирование на проникновение приложений для Android - часть 4 Полезные статьи 0
Forevonly Тестирование на проникновение приложений для Android - часть 3 Полезные статьи 0
Forevonly Тестирование на проникновение для Android приложений - часть 2 Полезные статьи 0
Forevonly Тестирование на проникновение приложений для Android - часть 1 Полезные статьи 0
Forevonly Взламываем сайты Тестирование на проникновение с нуля - Часть 2 из 7 Уязвимости и взлом 1
K Тестирование на проникновение с помощью Kali Linux 2.0 + Бонус Софт для работы с текстом/Другой софт 2
A Тестирование приложений Powershell вместе с Perl6 и Sparrow6 Другие ЯП 0
kdroshev Корпоративные Лаборатории - Тестирование На Проникновение (эксперт) https://cloud.mail.ru/public/LeTY/nqyf9hawb Другое 0
kdroshev [GeekBrains.ru] Курс Тестирование ПО Другое 1
kdroshev Тестирование На Проникновение С Помощью Kali Linux 2.0 Другое 0
Forevonly Тестирование мобильной безопасности для защиты ваших приложений от кибер-угроз Полезные статьи 0
C Cryex.pro - Обмен криптовалюты на наличные в России Обменники 0
balof Windscribe VPN – 30 ГБ в месяц на 1 год Другое 0
O obmen.one - обмен криптовалюты на наличные в Екатеринбурге Обменники 0
F Заработок на p2p связках крипта Способы заработка 3
T Арбитраж трафика. Правильный залив на гемблу Корзина 0
script_deneg Пишу скрипты для BAS только на запросах Бруты/Парсеры/Чекеры 0
Bot_zarplata На проверке Пишу скрипты для BAS только на запросах Услуги дизайнеров/веб-разработчиков 1
DohodNaAvtomate Пишу скрипты для BAS только на запросах С/C++ 0
khrebtov Фармим от 5к рублей на БОНУСХАНТИНГЕ Другое 0
prizrak11 На проверке Размещу 10 Вечных ссылок на форумах США 600 рублей Ищу работу. Предлагаю свои услуги. 1
ksev78 Пишу скрипты для BAS только на запросах Другие ЯП 0
mento [P.K] Пак проектов с выводом на крипту Продажа софта 1
zladey1986 На проверке Спам рассылка на Email с помощью Youtube Обучения, схемы, мануалы 1
P Куплю Ищу информацию по приему денежный средств на сим карты Куплю/Обменяю 1
DEAMONDXXX Продам Отрисовка документов/Печать на пластике/Без Предоплаты Аккаунты/Админки/Документы 4
semsvm Интересно Пассивный заработок от 2$+ в сутки - на своем ПК, Android, Linux! Корзина 1
A Делаем от 5000 рублей на БОНУСХАНТИНГЕ Корзина 0
Mr Crabs На проверке Telegram Первонах - скрипт на PHP Сайты/Хостинг/Сервера 1
DevTeam На проверке Услуги программиста. Напишу софт на c/c++/c# Продажа софта 1
D Куплю Чекну ваши логи на свои запросы 40 % с прибыли вам Куплю/Обменяю 1
MrMinister На проверке Сделаем много поискового трафика Google ads на любые ваши ленды. Трафик, загрузки, инсталлы, iframe 1
A На проверке Ежедневные 10$ к выводу на бонусе Forex брокера без риска! | Июль 2022 Обучения, схемы, мануалы 1
prizrak11 На проверке ⚡️15 Ссылок на АНГЛ форумах, ручное и быстрое размещение⚡️ Все что не подошло по разделу 1
D Заработок на бездепозитных бонусах Корзина 0
B Заработок на бонусах казино Корзина 0
D Требуется люди на должность обнальщика Корзина 1
MrMinister На проверке Обучение Google ADS. Как лить на любые фейки без суспенда. + Продам логи без соседей + гугл разбаны ручной фарм Обучения, схемы, мануалы 2

Название темы