隐藏在众目睽睽之下:探索 Android 应用程序中的加密通道
介绍
这是来自2022 CCS的一篇论文《Hidden in Plain Sight:Exploring Encrypted Channels in Android Apps》,作者有:Sajjad Pourali, Nayanamana Samarasinghe, Mohammad Mannan。
这篇论文主要讲述了两部分内容
-
设计了ThirdEye,该工具可以寻找来自各种非标准和信道中的隐私泄露。该工具可以发现HTTP/HTTPS和非HTTP协议和共享存储中的隐私泄露和安全问题。
-
使用ThirdEye对AndroidRank中的Top应用进行大规模分析
威胁模型
本文针对的攻击者主要是三类攻击者
-
在路径网络中的攻击者:该攻击者可以完全访问应用程序用户和应用程序服务器之间的网络通讯,可以解密网络流量中的加密内容获得用户信息。
-
定位应用的攻击者:这个攻击者在用户设备中安装了恶意软件,攻击者可以访问同一设备中其他应用程序的共享加密文件。
-
设备所有者为攻击者:设备所有者为攻击者,它们希望访问受保护的内容,比如免费访问付费服务
工具原理
该工具主要由4个主要组件组成:设备管理器、UI交互器、操作记录器、数据流检测器
设备管理器:通过ADB启动测试桌面和Android设备的连接,并卸载所有的非系统应用程序,并清除数据,然后去应用商城下载相应的APK文件,最后启动应用程序并监控其进度。
UI交互器:通过UI交互器与应用程序进行UI互动,如进行点击等UI操作来增加代码覆盖率。
操作记录器:对于网络流量,使用tcpdump记录捕获的HTTP和非HTTP网络流量,mitmproxy捕获HTTPS。对于加密操作,通过Frida获取API的参数,将非SDK API定义为应用程序的第三方库,识别非SDK API后在两个独立的设备上测试应用程序,观察是否返回固定的密钥。
数据流检测器:检测收集到的网络流量来判断是否存在隐私安全问题,对于隐私问题,提起存储在设备的个人可识别信息和个人数据,以识别隐私泄露。对于安全问题,寻找是否是固定的密钥或是否是不安全的加密算法。对于隐蔽通道,会检查共享存储中的文件,如果多个应用程序找到具有公共路径的文件,则标记为可能存在问题的信道。
测量
1.加密通讯的特点
1)加密技术的普遍使用
2887/6075(47.52%)的应用通讯时使用加密/解密调用
2)通讯内容
3)通讯信道
4)应用是否进行加壳
121/12598应用程序在实现中进行了加壳
2.不安全的密钥管理
1)是否使用固定密钥
2421/2887(83.86%)使用固定密钥进行自定义加密发送数据
2)是否使用不安全的密码算法
262/2887(9.08%)使用不安全的密码算法
3.应用泄露地理定位信息
1)GPS和路由器SSID
2727/12598(21.65%)应用程序将GPS坐标和路由器SSID发送到远程服务器,其中4.73%使用额外的加密发送这些信息。
2)临近的路由ID
具有定位权限的应用程序可以从应用程序用户的路由器以及附近所有无线路由器收集BSSID、路由器。21.57%的应用程序仅通过自定义加密发送临近的路由ID
4.通过文件泄露
1)外部存储器文件
128个应用程序存储了设备信息,12个存储了GPS坐标,10个存储了网络信息。27/150(18.00%)的应用程序使用自定义加密存储外部存储内容;9/27(33.33%)应用程序存储设备信息
2)隐蔽通道
44个应用程序将设备信息存储在共享存储中的公共文件夹路径中。有104个应用程序检查了这些路径的存在。
ThridEye源码
https://github.com/SajjadPourali/ThirdEye
2474
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
