Andr oid客户端安全测试指南
■
■
文档编号
版本编号
■ 密级
日期
内部使用
3.0
2015-1-6
©
2015 绿盟科技
■
版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿
盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方
式复制或引用本文的任何片断。
■
版本变更记录
时间
版本
1.0
1.1
1.2
1.3
2.0
2.2
说明
修改人
尚进,刘志伟
尚进
2
2
2
2
2
2
012-8-9
创建
012-11-26
013-04-02
013-07-31
013-09-09
014-08-25
更新
添加”代理设置“、”证书安装“章节
调整结构,内容添加
完成修订
尚进
尚进
尚进
添加 2.6.5 节,5.8 节
部分测试内容补充、更新
添加第六章内容
添加威胁等级部分
添加手势密码安全性部分
添加 2.7.6 节
尚进
2
2
014-10-10
015-01-06
2.3
3.0
尚进
黄灿
修改测试项目风险定级部分内容
Android 客户端安全测试指南
目录
.1.5 *webview 组件安全 ............................................................................
.....................................9
©
2015 绿盟科技
- 1 -
密级:内部使用
Android 客户端安全测试指南
................................... 33
©
2015 绿盟科技
- 2 -
密级:内部使用
Android 客户端安全测试指南
ANDROID 组件功能相关代码 .......................................................................
................................... 72
................................... 72
©
2015 绿盟科技
- 3 -
密级:内部使用
Android 客户端安全测试指南
一. 测试环境
SDK:Java JDK,Android SDK。
工具:7zip,dex2jar,jd-gui,apktool,IDA pro(6.1),ApkAnalyser,Eclipse,dexopt-wrapper,
0
10 editor,SQLite Studio,ApkIDE。
apk 工具:android 组件安全测试工具,activity 劫持测试工具,android 击键记录测试工具,
代理工具(proxydroid),MemSpector,Host Editor。
二. 安全测试列表
注:下面的测试项目中标记*的为可选测试项, 正式测试中可以不进行测试。
2
.1 客户端程序安全
2.1.1安装包签名
检测客户端是否经过恰当签名(正常情况下应用都应该是签名的,否则无法安装),签
名是否符合规范。
测试方法:
如图,当输出结果为“jar 已验证”时,表示签名正常。(下面的警告是因为签名密钥不在
本地密钥库中)
检测签名的 CN 及其他字段是否正确标识客户端程序的来源和发布者身份:
©
2015 绿盟科技
- 4 -
密级:内部使用
Android 客户端安全测试指南
威胁等级:
若客户端安装包签名有异常(例如签名证书为第三方开发商而不是客户端发布方),此
时高风险;若无异常则无风险。
2.1.2客户端程序保护
1
. 反编译保护
测试客户端安装程序,判断是否能反编译为源代码 ava 代码和 so 文件是否存在代码混
淆等保护措施。未作保护的 java 代码,可以轻易分析其运行逻辑,并针对代码中的缺陷对客
户端或服务器端进行攻击。
测试方法:
参考 5.1apk 解包,5.2 逆向 classes.dex,将客户端 apk 文件中的程序代码导出为 Java
代码或 smali 代码;或使用 5.1 APKAnalyser,直接打开 apk 文件。
如下图所示,经过混淆保护的代码,其最明显的特征是大部分类和变量名都被替换为简
单的 abcd 字母。
©
2015 绿盟科技
- 5 -
密级:内部使用
Android 客户端安全测试指南
客户端程序可以把关键代码以 JNI 方式放在 so 库里。so 库中是经过编译的 arm 汇编代
码,可以对其进行加壳保护,以防止逆向分析。参考 5.1apk 解包,打开 apk 文件。如果客户
端程序使用了 JNI 技术,在“lib\armeabi\”文件夹下会有相应的 so 库文件,如图所示:
然后在代码中查找是否加载了 so 库。例如 Java 代码:
Static{
system.loadLibrary("jni_pin");
system.load("./libjni_pin2.so") }
将加载 libjni_pin.so 和 libjni_pin2.so,so 的导出函数则通过 native 关键字声明,如图所示:
©
2015 绿盟科技
- 6 -
密级:内部使用
Android 客户端安全测试指南
对 so 代码的分析,可参考 5.4 反编译 so 库。
威胁等级:
若客户端进行加壳保护,此时认为无风险。
若大部分代码(包括核心代码)经过混淆,此时低风险。
若部分代码混淆,关键代码(加密或通信等)可以获知其关键代码,此时中风险。
2.1.3应用完整性检测
测试客户端程序是否对自身完整性进行校验。攻击者能够通过反编译的方法在客户端程
序中植入自己的木马,客户端程序如果没有自 验机制的话,攻击者可能会通过篡改客户端
程序窃取手机用户的隐私信息。
测试方法:
参考 5.10.2Eclipse 关于 DDMS 的文件操作和 5.7 修改已安装 apk。推荐修改apk 中 assets
目录下或 res/raw 目录下的文件 将修改后的 apk 文件导入到/data/app 目录下,覆盖原文件,
然后重启客户端,观察客户端是否会提示被篡改。
*
或在 Java 代码中查找是否包含校验功能。
威胁等级:
若应用完整性校验不使用 MANIFEST.MF 中的数据,且核心代码通过 JNI 技术写入.so
库,同时于服务端进行相关校验,此时无风险。
若应用完整性于本地进行验证而不存在其他问题或使用 MANIFEST.MF 中的数据作为验
证凭证(有新文件时提示应用完整性验证失败),此时低风险;若在本地进行验证的基础上
只通过 MANIFEST.MF 对客户端原有文件进行校验而忽略新增文件的检验,此时中风险;若
未进行应用完整性校验此时高风险。
©
2015 绿盟科技
- 7 -
密级:内部使用
Android 客户端安全测试指南
2.1.4组件安全
测试客户端是否包含后台服务、Content Provider、第三方调用和广播等组件,Intent 权
限的设置是否安全。应用不同组成部分之间的机密数据传递是否安全。
测试方法:
检查 AndroidManifest.xml 文件中各组件定义标签的安全属性是否设置恰当。如果组件无
须跨进程交互,则不应设置 exported 属性为 true。例如,如下图所示,当 MyService 的 exported
属性为 true 时,将可以被其他应用调用(当有设置权限(permissions)时,需要再考察权限属
性。如 android:protectionLevel 为 signature 或 signatureOrSystem 时,只有相同签名的 apk
才能获取权限。参考 SDK)。
可以使用“组件安全测试工 来检测组件的 exported 属性,如图所示。凡是列出来的组
件都是 exported 属性为 true 的。点击 Save 按钮可以把检测结果保存在 SD 卡上。
©
2015 绿盟科技
- 8 -
密级:内部使用
Android 客户端安全测试指南
或者使用 Dexter 在线检测环境(或 sanddroid)来做,如图所示,Exported 为对号的是
已经导出的组件,可能存在安全问题。(注意:Dexter 对 Content Provider 判断不一定准
确。)
当发现有可利用的组件导出时,可参考 5.16 drozer 测试工具进行测试。
注意:不是所有导出的组件都是不安全的,如需确定须看代码,对代码逻辑进行分析。
注:有些应用在代码中动态注册组件,这种组件无法使用“组件安全测试工具”测试,需要通过
阅读代码确定是否安全。
关于 Android SDK 中对 exported 属性的默认设置说明:对 service, activity, receiver,当没有
指定 exported 属性时,没有过滤器则该服务只能在应用程序内部使用,相当于 exported 设置
为 false。如果至少包含了一个 滤器,则意味着该服务可以给外部的其他应用提供服务,相
当于 exported 为 true。对 provider,SDK 小于等于 16 时,默认 exported 为 true,大于 16
时,默认为 false。(某些广播如 android.intent.action.BOOT_COMPLETED 是例外)
威胁等级:
若不存在组件暴露的情况,此时无风险。
如存在组件暴露的情况,但暴露的组件无关客户端逻辑核心或不会泄露用户敏感信息,
此时低风险;若暴露的组件会泄露用户敏感信息(例如邮件客户端存在消息组件的暴露,攻
击者可以通过编写 APK,通过组件利用的方式读取用户邮件信息)
2.1.5 *webview 组件安全
Android 4.2 版本以下的 webview 组件存在安全漏洞(CVE-2012-6636)。检测客户端是
否采取措施避免漏洞被利用。
测试方法:
检查应用 AndroidManifest.xml 中的 targetSdkVersion 是否大于等于 17。
©
2015 绿盟科技
- 9 -
密级:内部使用
Android 客户端安全测试指南
或者使用测试网页进行测试(腾讯的测试页面链接,在被测应用中打开即可。
http://security.tencent.com/lucky/check_tools.html)。
威胁等级:
当存在 sdk 版本太低时存在 webview 组件漏洞被利用的可能,此时中风险。
当版本高时无风险。
2
.2 敏感信息安全
检测客户端是否保存明文敏感信息,能否防止用户敏感信息的非授权访问。对 android 系
统的文件导出可参考 5.10.2Eclipse。
对 android 的每一个应用,android 系统会分配一个 有目录,用于存储应用的私有数据。
此私有目录通常位于“/data/data/应用名称 ”。
在测试时,建议完全退出客户端后,再进行私有文件的测试,以确保测试结果的准确性。
(
有些客户端在退出时会清理临时文件)
2.2.1数据文件
1
.检查私有目录下的文件权限。
测试方法:
正常的文件权限最后三位应为空(类似“rw-rw----”),即除应用自己以外任何人无法读写;
目录则允许多一个执行位(类似“rwxrwx—x”)。如下图所示,script 文件的权限设置不安全,
script 可以被任意应用读取。(lib 子目录是应用安装时由 android 系统自动生成,可以略过)
©
2015 绿盟科技
- 10 -
密级:内部使用
Android 客户端安全测试指南
注意:当客户端使用 MODE_WORLD_READABLE 或 MODE_WORLD_WRITEABLE 模式创
建文件时,shared_prefs 目录下文件的权限也会多出一些,这不一定 安全问题(Google 已
不推荐使用这些模式)
2
.检查客户端程序存储在手机中的 SharedPreferences 配置文件。
威胁等级:
当权限存在问题时低风险,不存在问题时无风险。
测试方法:
对本目录下的文件内容(通常是 xml)进行检查,看是否包含敏感信息。
.检查客户端程序存储在手机 的 SQLite 数据库文件。
测试方法:
3
在私有目录及其子目录下查找以.db 结尾的数据库文件。对于使用了 webVie w 缓存的应
用,会在 databases 子目录中保存 webview.db 和 webviewCache.db,如图所示。其中有可
能会记录 cookies 和提交表单等信息。
©
2015 绿盟科技
- 11 -
密级:内部使用
Android 客户端安全测试指南
参考 5.13.8 数据库文件查看 sqlite3,或是使用 SQLite Studio,查看、修改数据库文件。
威胁等级:
若私有目录中存在存储了用户登陆密码(明文或只进行过一次单项哈希散列),手势密
码(明文或只进行过一次单项哈希散列)或曾经访问过网址的 Cookie 等敏感信息的文件,此
时为高风险,若不存在则无风险。
4
. 检查客户端程序 apk 包中是否保存有敏感信息。
测试方法:
参考 5.1apk 解包,5.4 反编译 so 库和 5. 2 逆向 classes.dex,检查 apk 包中各类文件是否
包含硬编码的的敏感信息。对可执行文件可通过逆向方法寻找,也可以直接使用 16 进制编辑
器查找。
5
.检查客户端程序的其他文件存储数据,如缓存文件和外部存储。
测试方法:
参考 5.10.2Eclipse,在应用的私有目录以及 SD 卡中包含应用名称的子目录中进行遍历,
检查是否有包含敏感信息的文件。
参考 5.13.3 系统调用记录 Strace,查找应用和文件 IO 相关的系统调用(如 open,read,
write 等),对客户端读写的文件内容进行检查
6
.检查手机客户端程序的敏感信息是否进行了加密,加密算法是否安全。
测试方法:
查找保存在应用私有目录下的文件。检查文件中的数据是否包含敏感信息。如果包含非
明文信息,在 Java 代码中查找相应的加密算法,检查加密算法是否安全。(例如,采用 base64
的编码方法是不安全的,使用硬编码密钥的加密也是不安全的。)
2.2.2 logcat 日志
检查客户端程序存储在手机中的日志。
测试方法:
参考 5.10.2Eclipse 或 5.13.9 日志查看 logcat,检查日志是否包含敏感信息。
威胁等级:
当 Logcat 日志中会显示用户输入的信息(包括用户名、明文密码或单次哈希的密码)、
用户访问服务器的 URL 和端口等核心敏感信息时为高风险;当 Logcat 日志中会显示调用逻
辑或一些可供攻击者猜测逻辑的报错时为中风险;当 Logcat 日志中会打出除上述外的一些开
发商的调试信息时为低风险;如果不存在上述情况则无风险。
©
2015 绿盟科技
- 12 -
密级:内部使用
Android 客户端安全测试指南
2
.3 密码软键盘安全性
2.3.1键盘劫持
测试客户端程序在密码等输入框是否使用自定义软键盘。安卓应用中的输入框默认使用
系统软键盘,手机安装木马后,木马可以通过替换系统软键盘,记录手机银行的密码。
测试方法:
安装 android 击键记录测试工具。然后在“ 语言和键盘设置” 中选择“Sample Soft
Keyboard”。然后启动客户端,在输入框长按,弹出提示框后选择“input method”(输入法),
选择我们安装的软键盘。
下图是书写短信息时,使用软键盘输入,在 logcat 日志中可以看到所有的击键。
©
2015 绿盟科技
- 13 -
密级:内部使用
Android 客户端安全测试指南
威胁等级:
当客户端不存在自定义而是使用系统默认键盘时为中风险,客户端存在自定义软键盘时
无风险。
2.3.2随机布局软键盘
测试客户端实现的软键盘,是否满足键位随机布放要求。
测试方法:
人工检测。
威胁等级:
当客户端软键盘未进行随机化处理时为低风险;当客户端软 盘只在某一个页面载入时
初始化一次而不是在点击输入框时重新进行随机化也为低风险。
2.3.3屏幕录像
客户端使用的随机布局软键盘是否会对用户点击产生视觉响应。当随机布局软键盘对用
户点击产生视觉响应时,安卓木马可以通过连续截屏的方式,对用户击键进行记录,从而获
得用户输入。
测试方法:
使用现有的 android 截屏工具,连续截取屏幕内容,测试能否记录客户端软键盘输入。
检测需较高安全性的窗口(如密码输入框),看代码中在窗口加载时是否有类似下图的
代码。按照 android SDK 的要求,开启 FLAG_SECURE 选项的窗口不能被截屏。
注意:FLAG_SECURE 可能存在兼容性问题,能否防护截图可能与硬件有关。
(
目前 FLAG_SECURE 测试结果:
©
2015 绿盟科技
- 14 -
密级:内部使用
Android 客户端安全测试指南
N-PASS,可截图,
ZTE 880E, 可截图
ASUS TF300T,可阻止工具及 ddms 截图)
威胁等级:
当使用第三方程序(或系统截屏)可以对客户端内容进行截屏时,为中风险;当客户端
会对截屏操作进行有效抵抗时(无法截屏或截屏结果为黑屏等无意义图片)无风险。
2.3.4 *系统底层击键记录
拥有 root 权限后,安卓木马可以通过读取系统文件/dev/input/e
N 得到键盘码,从而
获得用户输入。
注意:目前很多 android 系统不再向 event 文件输出键盘码,如需测试需先确定键盘输入对应
的 event 文件是否存在。
测试方法:
运行客户端,在输入密码的同时,参考 5.13.4 事件操作 getevent/sendevent,在 shell 中
使用命令行监控输入。
2
.4 安全策略设置
2.4.1密码复杂度检测
测试客户端程序是否检查用户输入的密码强度,禁止用户设置弱口令。
测试方法:
人工测试,尝试将密码修改为弱口令,如:123456,654321,121212,888888 等,查
看客户端是否拒绝弱口令。
*
阅读逆向后的客户端 java 代码,寻找对用户输入口令的检查方法。
威胁等级:
当系统允许用户设置弱密钥时为低风险,如果存在系统存在一定的安全策略(密码使用
数字和字母组成,至少为 8 位)时无风险。
©
2015 绿盟科技
- 15 -
密级:内部使用
Android 客户端安全测试指南
2.4.2帐号登录限制
测试一个帐号是否可以同时在多个设备上成功登录客户端,进行操作。
测试方法:
人工测试。
威胁等级:
若同一个账号可以同时在多台移动终端设备上登陆时为低风险,若不可以则无风险。
2.4.3帐户锁定策略
测试客户端是否限制登录尝试次数。防止木马使用穷举法暴力破解用户密码。
测试方法:
人工测试。
威胁等级:
当系统不存在账户锁定策略时为中风险,若存在则无风险。
2.4.4 *私密问题验证
测试对账号某些信息(如单次支付限额)的修改是否有私密问题验证。私密问题验证是
否将问题和答案一一对应。私密问题是否足够私密。
测试方法:
人工测试。
威胁等级:
当用户进行忘记密码操作时,在发送邮件给用户邮箱前是否进行私密问题的验证,若验
证则无风险;若不验证则低风险。
2.4.5会话安全设置
测试客户端在超过 20 分钟无操作后,是否会使会话超时并要求重新登录。超时时间设置
是否合理。
©
2015 绿盟科技
- 16 -
密级:内部使用
Android 客户端安全测试指南
测试方法:
人工测试。
威胁等级:
当系统不存在会话超时逻辑判断时为低风险,若存在则无风险。
2.4.6界面切换保护
检查客户端程序在切换到其他应用时,已经填写的账号密码等敏感信息是否会清空,防
止用户敏感信息泄露。如果切换前处于已登录状态,切换后一定时间内是否会自动退出当前
会话。
测试方法:
人工检测。在登录界面(或者转账界面等涉及密码的功能)填写登录名和密码,然后切
出,再进入客户端,看输入的登录名和密码是否清除。登录后切出,5 分钟内自动退出为安全。
威胁等级:
当移动终端设备进行进程切换操作,显示 面不为客户端页面时,若客户端提示用户确
认是否为本人操作,则无风险;若无相应提示则为低风险。
2.4.7 UI 信息泄漏
检查客户端的各种功能,看是否存在敏感信息泄露问题。
测试方法:
人工测试。使用错误的登录名或密码登录,看客户端提示是否不同。在显示卡号等敏感
信息时是否进行部分遮挡。
威胁等级:
若在用户名输入错误和密码输入错误时提示信息不同则存在 UI 信息泄露问题,此时为低
风险,否则无风险。
2.4.8验证码安全性
测试客户端在登录和交易时是否使用图形验证码。验证码是否符合如下要求:由数字和
字母等字符混合组成;采取图片底纹干扰、颜色变换、设置非连续性及旋转图片字体、变异
©
2015 绿盟科技
- 17 -
密级:内部使用
Android 客户端安全测试指南
字体显示样式等有效方式,防范恶意代码自动识别图片上的信息;具有使用时间限制并仅能
使用一次;验证码由服务器生成,客户端文件中不包含图形验证码文本内容。
测试方法:
人工测试。
威胁等级:
当图形验证码由本地生成而不是从服务器获取时为中风险;当验证码安全性低或不存在
验证码时为中风险;不存在以上两个问题时无风险。
2.4.9安全退出
测试客户端退出时是否正常终止会话。
测试方法:
检查客户端在退出时,是否向服务端发送终止会话请求。客户端退出后,还能否使用退
出前的会话 id 访问登录后才能访问的页面。
威胁等级:
若客户端退出登录时不会和服务器进行Lo ut的相关通信则为中风险,否则无风险。
2.4.10 密码修改验证
测试客户端在修改密码时是 验证旧密码正确性。
测试方法:
人工测试。
威胁等级:
当进行密码修改时是否要求输入原密码已验证其正确性,若需要输入则无风险;如不需
输入原密码则中风险。
2.4.11 Activity 界面劫持
检查是否存在 activity 劫持风险,确认客户端是否能够发现并提示用户存在劫持。
测试方法:
使用 activity 界面劫持工具,在工具中指定要劫持的应用进程名称。进程名的获取可参考
.13.2 进程查看和监视 ps/top。如图所示,从列表中选择被测试的应用,点击 OK。打开应用,
©
2015 绿盟科技
- 18 -
密级:内部使用
Android 客户端安全测试指南
测试工具会尝试用自己的窗口覆盖被测的应用。当测试工具试图显示自己的窗口时,安全的
客户端应该弹出警告提示。
威胁等级:
若客户端无法抵抗 Activity 界面劫持攻击时为中风险;若可以抵抗攻击则无风险。
2
.5 手势密码安全性
2.5.1手势密码复杂度
测试客户端手势密码复杂度,观察是否有点位数量判断逻辑。
测试方法:
1
2
3
. 进入客户端设置手势密码的页面进行手势密码设置。
. 进行手势密码设置,观察客户端手势密码设置逻辑是否存在最少点位的判断。
. 反编译 APK 为 jar 包,通过 jd-gui 观察对应代码逻辑是否有相应的判断和限制条件。(一
般设置手势密码若输入点数过少时会有相应的文字提示,通过此文字提示可以快速定位到
代码位置)
威胁等级:
©
2015 绿盟科技
- 19 -
密级:内部使用
Android 客户端安全测试指南
当用户设置或修改手势密码时服务器会对手势密码安全性(使用点数)进行判断时无风
险,否则低风险。
2.5.2手势密码修改和取消
检测客户端在取消手势密码时是否会验证之前设置的手势密码,检测是否存在其他导致
手势密码取消的逻辑问题。
测试方法:
1
2
. 进入客户端设置手势密码的位置,一般在个人设置或安全中心等
。
. 进行手势密码修改或取消操作,观察进行此类操作时是否需 输入之前的手势密码或普通
密码。
3
4
5
. 观察在忘记手势密码等其他客户端业务逻辑中是否存在无需原始手势或普通密码即可修
改或取消手势密码的情况。
. 多次尝试客户端各类业务,观察是否存在客户端逻辑缺陷使得客户端可以跳转回之前业务
流程所对应页面。若存在此类逻辑(例如手势密码设置 ),观察能否修改或取消手势密码。
. 反编译 APK 为 jar 包 ,通过 jd-gui 观察对应代码逻辑,寻找客户端对于手势密码的修改和
删除是否存在相应的安全策
。
威胁等级:
当取消或修改手势密码时,如果不会验证之前的手势密码则为中风险;若存在验证则无
风险。
2.5.3手势密码本地信息保存
检测在输入手势密码以后客户端是否会在本地记录一些相关信息,例如明文或加密过的
手势密码。
测试方法:
1
.
首先通过正常的操作流程设置一个手势密码并完整一次完整的登陆过程。
©
2015 绿盟科技
- 20 -
密级:内部使用
Android 客户端安全测试指南
2
3
.
.
寻找/data/data 的私有目录下是否存在手势密码对应敏感文件,若进行了相关的信息保
存,基本在此目录下。(关键词为 gesture,key 等)
若找到对应的文件,观察其存储方式,为明文还是二进制形式存储,若为二进制形式,
观察其具体位数是否对应进行 MD5(二进制 128 位,十六进制 32 位或 16 位)、SHA-1
(
二进制 160 位,十六进制 40 位)等散列后的位数。如果位数对应,即可在反编译的 jar
包中搜索对应的关键字以迅速对应代码。
4
.
通过代码定位确认其是否进行了除单项哈希散列之外的加密算法,若客户端未将手势密
码进行加密或变形直接进行散列处理可认为其不安全,一是因为现阶段 MD5、SHA-1 等
常用的哈希算法已被发现碰撞漏洞,二是网络中存在 www.cmd5.com 等散列值查询网站
可以通过大数据查询的方式获取散列前的明文手势密码。
安全建议:
建议不在客户端保存任何与手势密码相关的敏感信息(最好也不要加密存储)。建议在
保证通信安全的情况每次由服务器对手势密码正确性进行验证。
威胁等级:
当本地保存了明文存储(数组形式)的手 密码时为高风险;当本地保存了只进行单项
哈希散列的手势密码时为中风险。
2.5.4手势密码锁定策略
测试客户端是否存在手势密码多次输入错误被锁定的安全策略。防止木马使用穷举法暴
力破解用户密码。因为手势密码的存储容量非常小,一共只有 9!=362880 种不同手势,若手
势密码不存在锁定策略,木马可以轻易跑出手势密码结果。
手势密码在输入时通常以 a[2][2]这种 3*3 的二维数组方式保存,在进行客户端同服务器
的数据交互时通常将此二维数组中数字转化为类似手机数字键盘的 b[8]这种一维形式,之后进
行一系列的处理进行发送。
测试方法:
1
. 首先通过正常的操作流程设置一个手势密码。
©
2015 绿盟科技
- 21 -
密级:内部使用
Android 客户端安全测试指南
2
3
.
.
输入不同于步骤 1 中的手势密码,观察客户端的登陆状态及相应提示。若连续输入多次
手势密码错误,观察当用户处于登陆状态时是否退出当前的登陆状态并关闭客户端;当
客户未处于登录状态时是否关闭客户端并进行一定时间的输入锁定。
反编译 APK 为 jar 包,通过 jd-gui 观察对应代码逻辑,寻找客户端是否针对输入次数及
锁定时间有相应的逻辑处理。
威胁等级:
当服务器不会验证手势密码输入错误次数时为中风险,会进行验证时无风险。
2.5.5手势密码抗攻击测试
验证是否可以通过插件绕过手势密码的验证页面。
测试方法:
1
. 下载并安装 Xposed 框架及 SwipeBack 插件。
2
3
.
.
启动客户端并进入手势密码输入页。
启动 SwipeBack 插件,观察是否可以通过滑动关闭手势密码输入页的方式进入登陆后的
页面。
威胁等级:
若客户端采用附着的方式将手势密码放置于登陆后的界面上时,如果无法抵抗
SwipeBack 插件的滑动攻击则高风险,如果可以抵抗则无风险。
2
.6 进程保护
2.6.1内存访问和修改
通过对客户端内存的访问,木马将有可能会得到保存在内存中的敏感信息(如登录密码,
帐号等)。测试客户端内存中是否存在的敏感信息(卡号、明文密码等等)。
测试方法:
需要 root 权限,可以使用 MemSpector 查看、搜索和修改客户端内存数据,如图所示。
用户名、密码等数据通常会在/dev/ashmem/dalvik-heap 内存段。(目前大多数工具都是通过
ptrace 接口修改客户端内存,可以使用 ptrace 机制本身防护。)
©
2015 绿盟科技
- 22 -
密级:内部使用
Android 客户端安全测试指南
威胁等级:
当进行敏感操作后在内存中可以搜索到用 输入的敏感信息时为高风险,否则无风险。
2.6.2 *动态注入
通过注入动态链接库,hoo
测试方法:
户端某些关键函数,从而获取敏感信息或者改变程序执行。
检测 LD_PRELOAD 环境变量。使用 LD_PRELOAD 环境变量,可以让进程预先加载任
意 so,劫持函数。如图是劫持 ls 命令__libc_init()函数的效果。(可参考此链接)
或者使用工具动态注入应用进程内存。参考 https://github.com/crmulliner/ddi。
或者使用 hook 框架来进行测试。对于 Android 上比较完善的 hook 框架可参考 5.9Android
威胁等级:
当客户端存在动态注入隐患时高风险,否则无风险。
©
2015 绿盟科技
- 23 -
密级:内部使用
Android 客户端安全测试指南
2
.7 通信安全
2.7.1通信加密
客户端和服务端通信是否强制采用 https 加密。
测试方法:
参考 5.13.1.2 嗅探流量 tcpdump,使用tcpdump 嗅探客户端提交的数据,将其保存为 pcap
文件。使用 Wireshark 打开 pcap 文件,检查交互数据是否是 https。
将客户端链接到的地址改为 http(将所有 URL 开头的 https 改为 http),查看客户端是
否会提示连接错误。
威胁等级:
当客户端和服务器的通信不经过 SSL 加密(或没有参考 TLS 协议,RFC4346 等实现加
密信道)时为高风险;当自实现通信算法存在漏洞可被解析或绕过时为高风险;使用低版本
SSL 协议(SSLV2,SSLV3 均存在漏洞,至少使用 TLSV1.1 以上算法)时为高风险;以上
问题均不存在时无风险。
2.7.2证书有效性
1
.
客户端程序和服务器端 SS
信是否严格检查服务器端证书有效性。避免手机银行用户
受到 SSL 中间人攻击后,密码等敏感信息被嗅探到。
测试方法:
通过 wifi 将手机和测试 PC 连接到同一子网。参考 5.14android 代理配置在手机上配置好
代理,代理 IP 为测试 PC IP 地址,端口为代理的监听端口,如图所示。此时,客户端通信将
会转发给测试 PC 上的 fiddler 代理。
©
2015 绿盟科技
- 24 -
密级:内部使用
Android 客户端安全测试指南
然后使用客户端访问服务端,查看客户端是否会提示证书问题。
*测试客户端程序是否严格检查服务器端证书信息,避免手机银行用户访问钓鱼网站后,
2
.
泄露密码等敏感信息。
测试方法:
通过修改 DNS,将客户端链接到的主页地址改为 https://mail.qq.com/,然后使用客户端
访问服务端,查看客户端是否会提示连接错误。此项测试主要针对客户端是否对 SSL 证书中
的域名进行确认。
*
查阅代码中是否有 SSL 验证。下图是 Java 中进行服务端 SSL 证书验证的一种方式。
关键函数为: java.net.ssl.HttpsURLConnection.setDefaultHostnameVerifier(),通过此函数
查找 HostnameVerifier 的 verify 函数。如 verify()函数总返回 true,则客户端对服务端 SSL 证
书无验证。(可能还有其他 SSL 实现,需要验证)
©
2015 绿盟科技
- 25 -
密级:内部使用
Android 客户端安全测试指南
详情请参考 Android SDK。
(
在代码中添加证书的代码如下,证书保存在资源 R.raw.mystore 中。
KeyStore trusted = KeyStore.getInstance("BKS");
InputStream in = _resources.openRawResource(R.raw.mystore);
try {
trusted.load(in, "pwd".toCharArray());
}
finally {
in.close();
}
3
.
SSL 协议安全性。检测客户端使用的 SSL 版本号是否不小 3.0(或 TLS v1),加密算
法是否安全。(安全规范要求)
测试方法:
使用 openssl,指定域名和端口,可以看到 SSL 连接的类型和版本。如下图所示,使用
了 TLSv1,加密算法为 AES 256 位密钥。(也 以使用这个网站检测)(RC4,DES 等算法
被认为是不安全的)
威胁等级:
当客户端和服务器互相不验证证书时高风险,当只有客户端验证服务器证书时为中风险;
当服务器不通过白名单的方式验证客户端时为中风险;当客户端和服务器进行双向认证,并
且服务器通过白名单方式验证客户端证书时无风险。
©
2015 绿盟科技
- 26 -
密级:内部使用
Android 客户端安全测试指南
2.7.3关键数据加密和校验
1
.
测试客户端程序提交数据给服务端时,密码、收款人信息等关键字段是否进行了加密,
防止恶意用户嗅探到用户数据包中的密码等敏感信息。
测试方法:
参考 5.14android 代理配置在手机上配置好代理,观察客户端和服务端的交互数据。检查
关键字端是否加密。
如果客户端对根证书进行了严格检测,导致代理无法使用。则可以参考 5.15 手机根证书
安装将代理的根证书安装到设备上,使根证书可信。或是参考 5.7 修改已安装 apk 和 5.15 手
机根证书安装,替换客户端 apk 中的根证书文件。
如果上述方法均失效,则只能参考 5.2.1 反编译为 java 代码,将
java 代码的方式寻找客户端程序向服务端提交数据的代码,检查 否存在加密的代码。
测试客户端程序提交数据给服务端时,是否对提交数据进行签名,防止提交的数据被木
端逆向后,通过阅读
2
.
马恶意篡改。
测试方法:
参考 5.14android 代理配置一节配置代理。使用代理观察交互数据,确认是否包含签名字
段。尝试在代理中篡改客户端提交的数据,检查服务端是否能检测到篡改。
威胁等级:
当账号,密码,卡号等数据明文传输,未进行二次加密时为高风险;当密码只进行了单
项散列而未经过加密时为高风险;当返回数据中包含更新的 URL 且数据不加密时为高风险;
当校验字段删除后服务器仍会处理所发送的数据包时为高风险;当校验字段的散列中不包含
随机因子时为高风险。以上问题均不存在时无风险。
2.7.4 *访问控制
测试客户端访问的 URL 是否仅能由手机客户端访问。是否可以绕过登录限制直接访问登
录后才能访问的页面,对需要二次验证的页面(如私密问题验证),能否绕过验证。
测试方法:
人工测试。在 PC 机的浏览器里输入 URL,尝试访问手机银行页面。
威胁等级:
当 PC 端也可访问手机页面时低风险,当可以绕过登陆限制访问登陆后才能访问的页面时
中风险。
©
2015 绿盟科技
- 27 -
密级:内部使用
Android 客户端安全测试指南
2.7.5客户端更新安全性
测试客户端自动更新机制是否安全。如果客户端更新没有使用官方应用商店的更新方式,
就可能导致用户下载并安装恶意应用,从而引入安全风险。
测试方法:
使用代理抓取检测更新的数据包,尝试将服务器返回的更新 url 替换为恶意链接。看客户
端是否会直接打开此链接并下载应用。
在应用下载完毕后,测试能否替换下载的 apk 文件,测试客户端是否会安装替换后的应
用。
威胁等级:
当客户端返回明文 URL 地址并可以通过篡改的方式控制用 下载恶意 APK 包进行安装,
则高风险;若返回数据包经过二次加密则无风险。
2.7.6短信重放攻击
检测应用中是否存在数据包重放攻击的安全问题。是否会对客户端用户造成短信轰炸的
困扰。
测试方法:
尝试重放短信验证码数据包是否可以进行短信轰炸攻击。
威胁等级:
当存在短信轰炸的情况时为中风险,若短信网关会检测短时间内发送给某一手机号的短
信数量则无风险。
2
.8 业务功能测试
对于可以通过代理的方式对交互数据进行分析的客户端,可以对涉及到敏感信息操作的
具体业务功能进行测试。
测试方法:
根据客户端的业务流程,使用代理截获客户端每个功能进行的通信数据,测试对数据的
篡改或重放所导致的问题。
©
2015 绿盟科技
- 28 -
密级:内部使用
Android 客户端安全测试指南
具体测试内容包括但不限于:篡改造成的越权操作(如跨帐户查询),交易篡改(如修
改金额,转帐金额为负值),特殊数据提交(如各种注入问题),重放导致的多次交易,以
及用户枚举和暴力密码破解,等等。
(
有条件的话可以使用扫描器工具来进行测试)
1
2
. 重放
. 篡改
3
. 越权
©
2015 绿盟科技
- 29 -
密级:内部使用
Android 客户端安全测试指南
三. 测试项目风险定级
此表格列举了第二章中各个测试项在存在安全风险时,对其风险等级定级的参考标准。
测试分类
测试项目
风险等级
*
安装包签名
客户端程序保护
应用完整性检测
--
低
高
客户端程序
安全
高:可获得密码等敏感
,可篡改敏感数据;
组件安全
中或低:仅不恰当导出,不能获取敏感信息
webview 组件安全
高
高:保存明文或简单编码的密码、cookies、包
数据文件
敏感信息安全
含敏感信息的网页缓存、用户其他敏感信息等;
logcat 日志
中:保存登录用户名、其他非敏感信息。
键盘劫持
高:可以劫持(使用系统软键盘)
高:使用系统软键盘;中:使用自带软键盘,但
密码软键盘
安全性
随机布局软键盘
键盘布局不随机。
屏幕录像
高:输入时有视觉回显
内存访问和修改
高:内存中可以搜索到明文密码
进程保护
*
动态注入
高
手势密码复杂度
手势密码修改和取消
手势密码本地信息保存
手势密码锁定策略
手势密码抗攻击测试
密码复杂度检测
中:没有复杂度检测
高
手势密码
安全性
高
高
高
中:没有复杂度检测;低:有检测,不全面
帐号登录限制
高
高
中
高
中
帐户锁定策略
安全策略
*
私密问题验证
会话安全设置
界面切换保护
©
2015 绿盟科技
- 30 -
密级:内部使用
Android 客户端安全测试指南
UI 信息泄露
验证码安全性
安全退出
中
中
高
高
中
密码修改验证
activity 界面劫持
通信加密
高:未使用 HTTPS 且没有加密
证书有效性检测
关键数据加密和校验
高
高
中
高
中
高
通信安全
*
访问控制
客户端更新安全性
短信重放攻击
越权查询/修改账户信息
其他
业务功能测试
©
2015 绿盟科技
- 31 -
密级:内部使用
Android 客户端安全测试指南
四. 合规性参考
下表是《网上银行系统信息安全通用规范》(2012)中关于客户端安全方面的要求。
分类
要求项
对应编号
a) 金融机构应采取有效技术措施保证客户端处理的敏感信息、
客户端与服务器交互的重要信息的机密性和完整性;应保证所提 2.1.2,2.1.3,2.6.3
供的客户端程序的真实性和完整性,以及敏感程序逻辑的机密性
b) 客户端程序上线前应进行严格的代码安全测试,如果客
程序是外包给第三方机构开发的,金融机构应要求开发商 代
码安全测试。金融机构应建立定期对客户端程序进行安全检测的
-
-
机制
c) 客户端程序应通过指定的第三方中立测试机构的安全检测,
-
-
每年至少开展一次。
客户端d)程应序对客户端程序进行签名,标识客户端程序的来源和发布者,
保证客户所下载的客户端程序来源于所信任的 构。
e) 客户端程序在启动和更新时应进行真实性和完整性校验,防
范客户端程序被篡改或替换。
基本要f)求客户端程序的临时文件中不应出现敏感信息,临时文件包括
但不限于 Cookies。客户端程序应禁止在身份认证结束后存储敏 2.2
感信息,防止敏感信息的泄露。
g) 客户端程序应提供客户输入敏感信息的即时加密功能,例如
采用密码保护控件。
h) 客户端程序应具有 逆向分析、抗反汇编等安全性防护措施,
防范攻击者对客户端程序的调试、分析和篡改。
i) 客户端程序应防范恶意程序获取或篡改敏感信息,例如使用 (针对 PC客户
浏览器接口保护控件进行防范。
端)
j) 客户端程序应防范键盘窃听敏感信息,例如防范采用挂钩
Windows键盘消息等方式进行键盘窃听,并应具有对通过挂钩窃
听键盘信息进行预警的功能。
(针对 PC客户
端)
k) 客户端程序应提供敏感信息机密性、完整性保护功能,例如
采取随机布放按键位置、防范键盘窃听技术、计算 MAC校验码等 2.3
措施。
客户端程序
a)客户端程序应保护在客户端启动的用于访问网上银行的进程,
防止非法程序获取该进程的访问权限。
b) 客户端程序应采用反屏幕录像技术,防范非法程序获取敏感
信息。
增强要求
c) 客户端程序应采取代码混淆等技术手段,防范攻击者对客户
端程序的调试、分析和篡改。
d) 客户端程序开发设计过程中应注意规避各终端平台存在的安
全漏洞,例如,按键输入记录、自动拷屏机制、文档显示缓存等。
©
2015 绿盟科技
- 32 -
密级:内部使用
Android 客户端安全测试指南
五. android 应用分析
5
.1 apk 解包
android的apk文件是使用zip算法的压缩包,可以使用任何支持zip格式的工具(winRAR,
zip 等等)解压缩。
7
5
.2 逆向 classes.dex
5.2.1反编译为 java 代码
1
.使用 dex2jar 工具,以 classes.dex 为参数运行 dex2jar.bat。成功运行后,在当前文件夹
会生成 classes_dex2jar.jar 文件。
2
.使用 jd-gui 工具查看、搜索并保存 jar 中的 java 代码。
©
2015 绿盟科技
- 33 -
密级:内部使用
Android 客户端安全测试指南
5.2.2反编译为 smali 代码
使用 apktool 工具可以对 apk 进行解包。具体的解包命令格式为:apktool d[ecode] [OPTS]
file.apk> [<dir>]。例如,对 CQRCBank_2.1.1.1121.apk 进行解包的命令如下:
<
1
.
如果只需要修改 smali 代码,不涉及资源文件的修改,可以在解包时加入 -r 选项(也可
以直接使用 baksmali 将 dex 反编译为 smali 代码,见 5.3),不解码 apk 中的资源。在打
包时可以避免资源方面的问题(如 aapt 报的各种错误)。
2
3
.
.
如果只需要反编译资源文件,可以在解包时加入-s 选项,不对 classes.dex进行反编译。
如果在 5.6.1 使用 apktool 打包 smali 代码中出现资源相关的错误,可能是需要较新的
framework 文件。可参考此处,添加 framework 文件。例如,添加 Android 4.4.2 SDK 中
的 framework 文件,命令如下:
©
2015 绿盟科技
- 34 -
密级:内部使用
Android 客户端安全测试指南
4
.
解包时指定相应的 framework(上面命令中的 tag0 是对添加的 framework 的标记,用于
标识不同的 framework),如图所示:
解包完成后,会将结果生成在指定的输出路径中,其中,smali文
下就是最终生成的
Dalvik VM 汇编代码,AndroidManifest.xml 文件以及 res 目录下的资源文件也已被解码。如
图:
5
.3 处理 odex 文件
odex 是 android 系统中对 dex 文件优化后生成的文件。关于 odex 的生成可以参考 5.7 修
改已安装 apk 第 5.步。如果要使用上述反编译方法,需要先将 odex 转换成 dex。
1
2
.下载 smali 工具(https://code.google.com/p/smali/)。
. 将虚拟机中/system/framework/中的 jar 文件复制出来,放到一个文件夹中。所需的虚拟机
版本可参考 odex 生成的环境(如 odex 是在 android 4.4 中生成的,就复制 4.4 虚拟机,
如果在真机中生成,则可以复制真机的)。
©
2015 绿盟科技
- 35 -
密级:内部使用
Android 客户端安全测试指南
3
.运行 baksmali.jar,将 odex 解析为 smali 代码。-x 选项表示输入
ex 文件,-d 选项指
定上个步骤中复制出来的 jar 文件路径,如下图所示。当命令成功执行后,在当前目录会
创建一个 out 文件夹,里面就是 smali 代码。
4
.运行 smali.jar,可生成 dex。如下图所示
5
.4 反编译 so 库
apk 解压缩后,将 lib\armeabi\目录下的 so 文件直接拖入 IDA 中,可以对 so 文件进行静
态分析。可以看到 so 文件中包含的函数,ARM 汇编代码,导入导出函数等信息。
©
2015 绿盟科技
- 36 -
密级:内部使用
Android 客户端安全测试指南
5
.5 处理 xml
apk 中的 xml 大部分是经过编译的,无法直接查看和修改。
1
.
如果需要查看 xml 文件,可以参考 5.2.2 反编译为 smali 代码部分,使用 apktool 将整个
apk 解包。或者是使用 AXMLPrinter 或 APKParser 工具对要查看的 xml 进行解码。如图:
2
.
如果需要将修改后的 xml 重新打包到 apk 中,则可以参考 5.6.1 节,使用 apktool 打包。
目前还没有发现可以单独编译一个 xml 文件的方法。对于已经解包的 apk,也可以直接使
用 android SDK 中的 aapt 直接编译资源文件(包括 xml)。命令格式如下,apk-src 是
apk 的解包目录,output.zip 是输出的 zip 文件(编译好的资源文件都会打包到里面),-I
选项指定相应版本的 android.jar。
©
2015 绿盟科技
- 37 -
密级:内部使用
Android 客户端安全测试指南
"
-
ANDROID-SDK\build-tools\20.0.0\aapt.exe" package -f -M [apk-src\AndroidManifest.xml]
I "ANDROID-SDK\platforms\android-19\android.jar" -S [apk-src\res] -F [output.zip]
注:上述 aapt 和 android.jar 的路径为安装 android SDK build-tools rev.20,android 4.4.2 SDK
platform 后才存在。如果没有安装上述版本的组件,可将路径改为其他版本相应的路径。(通
常较新版本的 SDK 出错的可能性会小一些。)
5
.6 打包 apk
5.6.1使用 apktool 打包 smali 代码
使用 apktool 打包 apk 文件的命令格式为:b[uild] [OPTS] [<app_path>] [<out_file>]。其
中<app_path>是apk已经被解包后的目录,打包成功后会将生成的apk文件输出到<out_file>。
其过程如图:
如果在打包过程中出错,可以参考命令给出的错误提示进行解决。如一个不是 png 格式
的图形文件扩展名是.png 时,apktool 打包时就会报错(NOT A PNG file)。可以根据图片格
式修改图片的扩展名,或者将图片转换为 png 格式。
如果有其他资源类错误发生,可参考 5.2.2 的第 3 步处理。
5.6.2签名和优化
Android 系统要求每一个 apk 安装包都必须经过数字证书签名。与 Windows 程序的数字
证书签名不同,apk 安装包的数字证书不需要权威的数字证书签名机构认证。数字证书签名,
一可以判断 apk 安装包在签名后是否被篡改过,二可以识别 apk 安装包的作者。程序升级时,
只有当新版程序和旧版程序的数字证书相同时,Android 系统才会认为这两个程序是同一个程
©
2015 绿盟科技
- 38 -
密级:内部使用
Android 客户端安全测试指南
序的不同版本,并使用新版覆盖旧版程序;否则认为二者是不同的程序,会要求新程序更改
包名。使用 apktool 重新打包的 apk 文件并不能直接安装,因为在 apk 中缺少签名。
1
. 首先用 JDK 中的 keytool 生成一个签名文件。其中,-alias 是指定签名的别名,-keyalg
选项指定了签名加密的算法(对于 Android APK 文件必须指定为 RSA 算法),-validity
选项指定签名的有效天数。
2
. 然后使用 JDK 中的 jarsigner 工具将生成的签名签署在 apk 文件中。其中,-keystore 选项
指定密钥库的位置,-signedjar 选项指定签名后产生的文件,另外两个参数为要签名的文
件 out.apk 和密钥库 test.keystore。对于 java 版本大于等于 1.7.0 的,还需要添加选项
“
-digestalg SHA1 -sigalg M withRSA”。
©
2015 绿盟科技
- 39 -
密级:内部使用
Android 客户端安全测试指南
生成的 out_signed.apk 文件是已被签名可以直接安装的 apk 文件。
3
. 签名后的 apk 文件可以使用 Android SDK 附带的 zipalign 工具进一步做对齐优化。详细
命令为:zipalign -v 4 <out_signed.apk> <final.apk>
5
.7 修改已安装 apk
apk 安装到手机后,会在如下目录安装文件:/data/dalvik-cache: 优化后的 dex 文件;
/
data/app: apk 文件。修改文件后注意被修改文件的文件权限要和修改前保持一致。
1
.修改 apk 中 assets 目录中的文件,使用 zip 压缩工具打开 apk,然后直接修改并覆盖
data/app 中的原有 apk 即可。
/
2
3
.修改 apk 中的 dex 文件,需要同时更新/data/dalvik-cache 和/data/app 目录中的文件。
. 首先导出/data/app 目录中的 apk 文 件,将 classes.dex 解压出来,进行修改。如图是使用
0
10 Editor 修改 dex 中的字符串资源(注意:dex 里字符串的顺序很重要,如果修改后字
符串顺序有变化,第 5 步优化的时候会报错。如原字符串是“change”,下一个字符串是
close”,则原字符串可以改为“cllggg”,而不能改成”cyyggg”。猜测 dex 里的字符串可能是
按照 ASCII 排序的,“cyyggg”在“close”的后面。)。
“
©
2015 绿盟科技
- 40 -
密级:内部使用
Android 客户端安全测试指南
4
.dex 修改完毕,使用工具更新 dex 的 checksum 和 SHA-1 签 ,如图所示。然后覆盖 apk
里的原有 classes.dex 文件。
5
. 将修改后的 apk 导入到手机中,使用 dexopt-wrapper 工具生成优化的 odex 文件,如图所
示。(当/data/dalvik-cache 的 dex 文件所有人可写时,此步可跳过,android 系统会自
动更新 dex 文件)
6
.使用修改的 apk 覆盖/data/app 目录中的 apk,使用生成的 dex 文件覆盖/data/dalvik-cache
中的 dex 文件。
©
2015 绿盟科技
- 41 -
密级:内部使用
Android 客户端安全测试指南
5
.8 内存获取 classes.dex
针对某些加固过的应用,通过上述方法无法获得真正的 classes.dex,从而无法对 apk 应
用进行静态分析。此时,可以通过应用运行时的内存数据还原 classes.dex。具体方法有如下
几种。
5.8.1内存转储
5.8.2 ZjDroid 工具
ZjDroid 是一个基于 Xpose framework 的逆向分析工具。可以通过此工具获得加固应用的
真实 dex 文件。
1
2
3
4
. 首先,安装 Xpose framework,确定 Xpose framewo 正常工作(可参考 5.9Android Hook
.然后从官网(https://github.com/BaiduSecurityLabs/ZjDroid)下载代码,使用 Eclipse 编
译(参考 5.10.2Eclipse 导入代码步骤),安装。
. 安装完重启 android 系统后,进入 adb shell。同时打开 Android debug monitor(5.10.3
Android debug monitor)或 lipse,以便随时可以查看 logcat 日志。
.在 adb shell 中输入命令获取 dex 的信息:am broadcast -a com.zjdroid.invoke --ei target
pid --es cmd '{"action":"dump_dexinfo"}',其中 pid 为目标应用的 PID。logcat 输出如图:
5
. 上面的 dex 文件列表中有多个文件(filepath),可以先查看对应文件的类信息,使用命
令 am broadcast -a com.zjdroid.invoke --ei target pid --es cmd
'
{"action":"dump_class","dexpath":"path"}',此处输入命令如图:
©
2015 绿盟科技
- 42 -
密级:内部使用
Android 客户端安全测试指南
6
.在 logcat 中看到输出,其中包含了我们想要的类。
7
. 转储上述 dex的数据,命令格式为:am broadcast -a com.zjdroid.invoke --ei target pid --es
cmd '{"action":"dump_dexfile","dexpath":"path"}',实际输入如图:
8
.logcta 中日志如图,转储文件已保存在应用的私有目录的 files 子目录下。
9
1
.转储下来的文件是 odex 格式的,可参考 5.3 处理 odex 文件将其转换为 dex 格式,以便于
分析。
0.am broadcast -a com.zjdroid.invoke --ei target pid --es cmd
'
{"action":"backsmali","dexpath":"*****"}'
5
.9 Android Hook 框架
Android 下的 hook 框架通过修改 android 系统,挂钩底层函数,可实现很多个性化功能,
类似于 iOS 下的 Mobile Substrate。目前 android 下常用的 hook 框架是 Xposed Framework
©
2015 绿盟科技
- 43 -
密级:内部使用
Android 客户端安全测试指南
5.9.1 Xposed Framework
安装 Xposed 框架。框架支持 4.0.3 或更高版本的 android 系统。
5
.10 集成分析工具
5.10.1 APKAnalyser
APKAnalyser 可用于直接查看 apk 文件的 smali 代码,类结构,
给 apk 里各个类函
数添加日志记录等。
1
. 使用 java -Xmx1024m -jar ApkAnalyser.jar 来启动 APKAna ser。因为分析 APK 时会使
用大量内存,可能会导致内存耗尽,所以需要用- Xmx1024m 指定 APKAnalyser 最多可以
使用的内存数量。程序的主界面如下:
2
. 在使用前需要先配置 APKAnalyser 的环境。
a) 在 File->Settings 中选择 adb 命令的路径。
b) 在 File->Set paths 中,首先设置 Classpaths,点击“Add…”添加被分析程序的类
库文件(android.jar 一般是必须有的),然后设置Android SDK,选中SDK 中platforms
下的与手机执行环境匹配的版本目录。(此步骤非必须)
©
2015 绿盟科技
- 44 -
密级:内部使用
Android 客户端安全测试指南
c) 在右侧“MIDlets or APK”中添加要被分析的 APK 文件。
3
. 点击 File->Analyse 开始分析过程。分析结束后会生成所有类的结构视图。
©
2015 绿盟科技
- 45 -
密级:内部使用
Android 客户端安全测试指南
4
5
. 点击右上区域树形结构的 xml 文件可以查看其文件内容(已被解码)。
. 点击树形结构某个类中某个方法,可以查看其 smali 汇编代码。
©
2015 绿盟科技
- 46 -
密级:内部使用
Android 客户端安全测试指南
6
. 在菜单栏中的 Modifications 按钮里,可以对 smali 代码进行修改,比如可以在每个方法进
入和退出时打印 log。
7
8
. 修改完后,点击
按钮保存。可以在设备上安装修改后的 APK 文件。
. 修改后的 APK 文件在执行时 会在 logcat 中打印修改时添加的信息。
©
2015 绿盟科技
- 47 -
密级:内部使用
Android 客户端安全测试指南
5.10.2 Eclipse
Eclipse 是用于 Java 开发的集成环境,在安装 ADT 插件后可以用于 android 应用的开发、
调试和监控。
1
.
在 eclipse 里安装 ADT 插件。
2
.
切换到 eclipse 的 DDMS 视图,如下图所示。可以进行文件浏览,进程查看/管理,logcat
日志查看等等。
3
.
在文件浏览窗口,可以实现 android 中文件的上传和下载。在选择要保存的文件或文件夹
后,点击右上角的保存图标即可,如下图所示。
©
2015 绿盟科技
- 48 -
密级:内部使用
Android 客户端安全测试指南
4
.
在下方的 logcat 窗口,可以查看日志,还可以自定义过滤器,对日志进行过滤。
5
.
导入已有的 android 项目。新建 project,如图所示
©
2015 绿盟科技
- 49 -
密级:内部使用
Android 客户端安全测试指南
6
.
选择从已有代码新建。
7
.
接下来将项目根目录指向代码的根目录。点击“finish”完成代码的导入。
©
2015 绿盟科技
- 50 -
密级:内部使用
Android 客户端安全测试指南
5.10.3 Android debug monitor
Android debug monitor 是 android 较新版 SDK 中自带的 GUI 工具,启动
android-sdk\tools\monitor.bat 即可运行。其功能与 Eclipse DDMS 界面基本相同。
©
2015 绿盟科技
- 51 -
密级:内部使用
Android 客户端安全测试指南
5.10.4 apk 编辑工具
1
.
ApkIDE,中文名 APK 改之理。
2
.
Virtuous Ten Studio,国外的一款类似于改之理的工具。
©
2015 绿盟科技
- 52 -
密级:内部使用
Android 客户端安全测试指南
5
.11 ant 编译源代码
对于指定使用 ant 编译的源代码,可以参考如下步骤:
1
.设置环境变量。JAVA_HOME 指向 JDK 的安装路径,PATH 中添加 android SDK 和 ant
可执行文件目录。
2
3
.检测编译环境。在代码的根目录输入“android update project -p .” 。
.编译,安装。在代码的根目录,命令行输入“ant debug install”。将会以 debug 模式编译代
码并将编译好的 apk 安装到默认的设备或虚拟机上。
5
.12 动态调试
5.12.1 使用 eclipse+ADT
当得到的 java 代码可以编译通过时,可以使用本方法。
1
2
.参考 5.2.1 反编译为 java 代码得到 java 代码。
.参考 5.2.2 反编译为 smali 代码得到解码的资源文件。
©
2015 绿盟科技
- 53 -
密级:内部使用
Android 客户端安全测试指南
3
.参考 5.10.2Eclipse 将上两步得到的应用代码导入到 eclipse 项目中,编译通过,生成 apk
包,就可以开始调试。
5.12.2 使用 IDA pro
介绍使用 IDA pro 调试在 Android SDK 虚拟机中运行的应用。
1
.将 IDA pro 自带的 android_server 拷贝到 android 系统中,运行
2
3
.连接本机到虚拟机,telnet localhost 5554,然后如下图输入
.在 IDA 中选择“remote android server”,设 连接参数:
4
. 连接成功后出现 android 系统的进程列表,可以附加到要调试的 apk 应用进程上调试了。
5.12.3 andbug 调试
此处介绍在 linux 系统中使用 andbug 调试 java 应用的方法。
1
. 下载并编译 AndBug 源代码。
git clone https://github.com/swdunlop/AndBug.git
make
©
2015 绿盟科技
- 54 -
密级:内部使用
Android 客户端安全测试指南
需要注意的是编译和使用 AndBug 需要先安装 python。
. 配置环境变量 PYTHONPATH。
2
export PYTHONPATH=<AndBug-DIR>/lib
3
4
. 在 Android 系统中启动要调试的程序,在命令行下输入 adb shell ps,找到相应的进程 pid。
. 进入 AndBug 目录,执行 ./andbug 可以查看详细的用法,说明环境配置成功。
5
. 可以通过 pid 来 attach 正在运行的进程。首先通过 adb shell ps 得到要调试的程序 pid。
例如这里我们得到 networkdemo2 的 pid 3581。
6
. 在 AndBug 目录下执行命令./andbug shell -p 3581 即可进入 andbug 控制台。
©
2015 绿盟科技
- 55 -
密级:内部使用
Android 客户端安全测试指南
常用的指令有:
classes: 查看加载的 class
break:
下断点
suspend: 暂停进程
resume: 恢复进程运行
7
. 输入 classes java.net 可以查看 java.net 包下所有已被加载的类。
8
. 在 networkdemo2 这个例子中,我们可以对 java.net.URL 这个类下断点来获取程序要访
问的网络资源。输入 break java.net.URL:
©
2015 绿盟科技
- 56 -
密级:内部使用
Android 客户端安全测试指南
这条命令会对 URL 类中的所有方法下断点,如果只想断其中某一个方法,可以在参数后
面加上方法名。
9
. 回到 Android 程序的界面,执行相应的操作,就会在 AndBug 中触发断点:
可以看到程序断在了 URL 的 init 方法处。
0. 启动 navi server,输入 navi 命令:
1
可以看到 server 的地址 http://localhost:8080。
如果输入 navi 命令提示:
则说明系统没有安装 python-bottle 包,需要先执行 sudo apt-get install python-bottle 下载
安装 python-bottle。
1
1. 启动 navi server 后,通过浏览器打开 http://localhost:8080。在这里可以观察到当前被加
载的线程及其状态,以及线程内的方法和变量。在本例中,从 init 方法中的 spec 成员变
量可以读出程序要访问的资源地址。
©
2015 绿盟科技
- 57 -
密级:内部使用
Android 客户端安全测试指南
注:代码中调用 SetDebugMode(false),即可防护 andbug。
5
.13 adb shell 命令
注意:很多手机厂商会将用不到 shell 命令移除。下面的命令大部分可以在虚拟机中执行。
5.13.1 网络工具(root)
5
.13.1.1
网络接口设备配置 netcfg
没有参数时,netcfg 可以列举当前设备的网络接口属性和状态,如图:
©
2015 绿盟科技
- 58 -
密级:内部使用
Android 客户端安全测试指南
通过”netcfg rmnet0 up”可以打开 rmnet0 设备,与 ifconfig 类似。
5
.13.1.2
嗅探流量 tcpdump
tcpdump 程序可以嗅探指定网络接口的所有网络流量。常用命令行如下图所示。选项-i
指定监听所有网络接口,-p 指定禁用混杂模式,-s 0 指定捕获完整数据包,-w 指定输出文件。
执行命令后就会开始抓包,用 Ctrl+C 结束 tcpd mp 的执行。得到 SD 卡上的 capture.pcap 文
件后,可以在 pc 上结合 Wireshark 进一步分析。
5
.13.1.3
监控流量 iftop
Android 系统中的 iftop 命令可以用来监控网卡的实时流量。
©
2015 绿盟科技
- 59 -
密级:内部使用
Android 客户端安全测试指南
5.13.2 进程查看和监视 ps/top
ps 列举进程,如下图所示,最后一列为进程名,第二列是 PID。使用“ps -t”可以查看进程
的线程信息。
top 用于监控系统中所有进程的状态。如下图所示,第一行是系统的 CPU 占用情况。
©
2015 绿盟科技
- 60 -
密级:内部使用
Android 客户端安全测试指南
5.13.3 系统调用记录 Strace
strace 命令可以截获并记录 程执行的系统调用以及进程接收的信号。每个系统调用的名
称、参数以及返回值都将被输出。strace 命令有很多参数,常用命令行“strace -f -ff -x -v -F -s
12 -o logfile -p pid”,即监控进程号 pid 的进程中所有线程的系统调用,输出到以 logfile 为起
5
始的多个文件中(每个进程一个文件)。
strace 的-e 选项可以过滤记录。如“strace -e trace=file”将只跟踪以文件名为参数的函数
调用,“strace -e trace=open,close,rean,write”将只跟踪 open,close,rean,write 四个系统调用。
5.13.4 事件操作 getevent/sendevent
此命令需要 root 权限。可监控和模拟鼠标事件,按键事件,拖动滑动等等。使用-p 选项
可得到设备属性,如图所示。
©
2015 绿盟科技
- 61 -
密级:内部使用
Android 客户端安全测试指南
指定设备文件,则监听相应设备的事件。
sendevent 可向指定设备发送事件。如图是向 event0 发送 keycode 2,也就是数字 1。
©
2015 绿盟科技
- 62 -
密级:内部使用
Android 客户端安全测试指南
5.13.5 截图工具 Fbtool
可以使用adb shell /system/bin/fbtool -d /sdcard/screen.bmp命令将当前屏幕截图并保存
为 screen.bmp。此工具需要 root 权限,而且不是所有手机上都有此程序。
5.13.6 用户切换 Run-as/su
此命令需要 root 或 shell 用户权限,且 apk 为 debuggable。命令行为:run-as <应用
名>。运行后 shell 会切换到应用使用的用户,当前目录也会切换到应 的私有目录。需要注
意的是,run-as 命令在包名小于 3 层的情况下会出现 Package is unk wn 的现象,这可能算
是一个 bug。
su 是 Linux 的标准命令行工具,用于“运行替换用户和组标识的 shell”。su 仅执行简单的
用户切换,没有其他多余操作。命令行为:su <用户名>。如图所示:
©
2015 绿盟科技
- 63 -
密级:内部使用
Android 客户端安全测试指南
5.13.7 文件列举 lsof
Android 中的 lsof 命令可以显示所有进程打开的文件。其中第一列为打开文件的进程 pid,
第二列是进程名,第三列是打开的文件名。
5.13.8 数据库文件查看 sqlite3
sqlite3 的命令可以让用户手工输入并执行面向 SQLite 数据库的 SQL 命令。系统命令以.
开头,可以通过.help 命令详细查看。SQL 命令须以;结尾。首先以 db 文件为参数进入 sqlite3
命令行,然后就可以对挂载的数据库进行操作。
©
2015 绿盟科技
- 64 -
密级:内部使用
Android 客户端安全测试指南
5.13.9 日志查看 logcat
命令行输入 adb logcat 可以查看 android 输出的日志记录。Android SDK 中的 DDMS 可
以查看日志记录。
5.13.10 测试工具 Monkey
Monkey 是一个命令行工具,可以运行在模拟器里或实际设备中。它向系统发送伪随机的
用户事件流,实现对正在开发的应用程序进行压力测试。-p 选项指定了测试的包名,参数 100
是随机模拟事件的次数。在命令执行过程中,设备会接受 monkey 产生的随机时间,画面也
会随机切换。
©
2015 绿盟科技
- 65 -
密级:内部使用
Android 客户端安全测试指南
5
.14 android 代理配置
android 代理有两种选择,一是 android 自带,另一种是 apk 工具。
1
.android 虚拟机,在设置->移动网络->access point names(APN)中,有代理 ip 和端口设置。
这种方式可以截获到所有 http(s)通信,与 http 通信采用的端口无关。
©
2015 绿盟科技
- 66 -
密级:内部使用
Android 客户端安全测试指南
2
. 在手机上安装 ProxyDroid 工具,运行后如图所示。在 Host 里指定代理 ip,Port 指定代理
监听端口。此代理工具仅对 80,443,5228 等标准 http(s) 口有效。
3
.对于采用非标准端口的 http 通信,因为 ProxyDroid 本身就是通过 iptables 实现的透明代
理,所以可手动输入 iptables 命令实现 ProxyDroid 代理。在打开 proxydroid 的代理功能后,
对 http 通信,在手机中运行如下命令:
iptables -t nat -A OUTPUT -p tcp --dport SERVER_PORT -m tcp -j REDIRECT --to-ports
8
123 或
©
2015 绿盟科技
- 67 -
密级:内部使用
Android 客户端安全测试指南
iptables -t nat -A OUTPUT -p tcp --dport SERVER_PORT -j DNAT --to-destination
27.0.0.1:8123
对 https 通信,在手机中运行如下命令:
iptables -t nat -A OUTPUT -p tcp --dport SERVER_PORT -m tcp -j REDIRECT --to-ports
124 或
iptables -t nat -A OUTPUT -p tcp --dport SERVER_PORT -j DNAT --to-destination
27.0.0.1:8124
1
8
1
其中 SERVER_PORT 是 http 服务端的端口。(因为有些手机的内核不支持“-j REDIRECT”,
所以提供两种命令。)如果有多个端口,可以按照上述格式,为每个端口运行一次 iptables
命令。(android 虚拟机默认不支持 iptables,需要重新编译内核才能
proxydroid)
5
.15 手机根证书安装
Android 将可信根证书存储在/system/etc/security/c certs.bks 文件(高版本 android,如
android 4.0 则在/system/etc/security/cacerts 件夹中)。android 系统使用
. 将 burpsuit 的根证书导出,过程参考
http://portswigger.net/burp/help/proxy_options_installingcacert.html#firefox。
. 在 adb shell 中运行 adb pull /system/etc/security/cacerts.bks,得到手机中的根证书包
android 4.0 可以跳过 2/3/4 步
. 使用 Portecle 打开 cacerts.bks,当提示“Enter Password”时,直接点击 ok。打开文件后
选择“Import Trusted Certificate”,将 burpsuit 的根证书导入到 bks 文件中。
1
2
(
。
3
©
2015 绿盟科技
- 68 -
密级:内部使用
Android 客户端安全测试指南
4
. adb shell 中运行 su;mount -o remount,rw /system。将 bks 文件上传到手机上,覆
盖原文件:adb push cacerts.bks /system/etc/security/ 。然后重启手机。
. android 4.0 及以上版本本身已包含根证书管理工具。将证书放置到 SD 卡根目录中,然
后选择“设置->安全->从 SD 卡安装(Install from SD card)”即可。安装/禁用的证书都放置在
data/misc/keystore/(或 keychain)目录下的相应子目录下。
5
/
5
.16 drozer 组 件 测试工具
drozer 是一个测试 android 应用组件的安全工具,可以对应用导出的各类组件进行测试。
drozer 具体使用方法可参考官网上的文档。
1
.安装 drozer 后,首先运行 drozer.bat,连接目标 android 系统。然后运行“ run
app.package.attacksurfacepkgname ”,获取应用的导出组件,如图:
©
2015 绿盟科技
- 69 -
密级:内部使用
Android 客户端安全测试指南
2
.测试 content provider。使用的命令为(用于 cp 的命令有很多,测试时请参考文档)
run app.provider.info -a pkgname ,获取导出信息
run scanner.provider.finduris -a pkgname ,枚举 URI
run app.provider.query URI 请求数据
下图为测试 android 邮件应用的 content provider:
©
2015 绿盟科技
- 70 -
密级:内部使用
Android 客户端安全测试指南
当需要加入查询条件时,命令格式为:run app.provider.query uri --selection-args rows
-
-projection columns
3
.测试 activity。使用的命令为
run app.activity.info -a pkgname ,导出的 activity
run app.activity.start --component pkgname activity ,打开 activity
下图是测试微信的 activity:
4
.测试 service。使用的命令为
run app.service.info -a pkgname ,导出的 service
run app.service.send p
下图是测试微信的 service:
ame service ,访问 service
5
.测试 broadcast。使用的命令为
run app.broadcast.info -a pkgname
©
2015 绿盟科技
- 71 -
密级:内部使用
Android 客户端安全测试指南
run app.broadcast.send
六. Android 代码分析
6
.1 Android 组 件 功 能相关代码
6.1.1 Content provider
在 AndroidManifest.xml 中对 Content provider 的声明如下图所示。name 属性指示 java
代码类,authorities 指示访问的 uri。
代码中的声明(斜体为搜索的关键词,下同)。下面 addURI 方法的参数说明访问这个
cp 使用的 URI 为 content://com.test.provider/table1/。
import android.content.ContentProvider;
import android.content.ContentValues;
import android.content.Uri
cher;
import android.database.Cursor;
import android.net.Uri;
public class MMPluginProvider
extends ContentProvider
{
private static final UriMatcher ehF;
static
{
UriMatcher localUriMatcher = new UriMatcher(-1);
ehF = localUriMatcher;
localUriMatcher.addURI("com.test.provider", "table1", 2);
}
public Cursor query(Uri paramUri, String[] projection, String selection, String[]
selectionArgs, String sortOrder)
{
…
…
}
.
.....
©
2015 绿盟科技
- 72 -
密级:内部使用
Android 客户端安全测试指南
}
©
2015 绿盟科技
- 73 -
密级:内部使用
