Android 安全测试思路总结(攻击面)

  接触Android安全测试一年有余,被同被人问到给你一个App,你如何确定其中的安全问题。平时真的缺乏一份总结,这里简单总结一下。博客中的提到的部分攻击面,我比较熟悉,也有很多不太清楚的地方,不妨先简单记录下吧。

  根据攻击设备的代价,我们做了如下分类。

  • 远程攻击面
  • 物理邻接攻击面
  • 本地攻击面
  • 物理攻击面

    一、远程攻击面

      最巨大的、最危险的、最有吸引力的攻击界面,攻击者无需本地物理接触受害者。

    1、Networking Stacks(网络协议)

      Android系统使用的Linux内核提供的TCP/IP协议栈可能会引入攻击面,1)Linux底层的网络协议栈由C/C++编写,其存在的“缓冲区溢出”等代码问题可能导致远程执行任意代码,2)协议处理过程中某些字段没有判断而导致拒绝服务

    检查方法:代码review,并搜索不安全函数

2、Exposed Network Services(暴露的网络服务)

  Android本身很少暴露网络服务,多是由应用程序暴露,如开启WIFI热点功能后,会监听TCP 53端口。

检查方法:通过nmap扫描或者本地执行netstat -na|grep LISTEN可以获得暴露的服务,再进行分析。

例子:百度系WormHole算这类漏洞。

3、Moblie Technologies

  这类漏洞指的是通过手机专有的服务进入的远程攻击面,例如通过短信、wap服务这是其他操作系统例如windows、linux不具有的。

这里指SMS、MMS、电话等蜂窝网络服务暴露的攻击面。

SMS、MMS服务使用WAP协议,其中的WAP PUSH消息可被用来发送Service Loading request (SL消息),SL消息可以去调用USSD(Unstructured Supplementary Service Data)功能来执行充值、语音邮箱查询等操作

USSD指令:当你使用手机键盘输入一些网络已预先制定的数字或者符号比如*#等,再按send也就是拨号键就可以向网络发送一条指令,网络根据你的指令选择你需要的服务提供给你。可以用来打电话、修改PUK等 http://baike.baidu.com/link?url=ImBFOug4QRZFJHhypYHxY1i2ZPzzsgQw5Fq-LhWuGD1Bmcvry02IMXqG3QyP7sgZ

WAP PUSH:服务信息或推入信息,是种特殊格式短信 WAP PUSH某站点或某业务链接通短信发送支持WAP PUSH功能手机,通过阅读条短信(服务信息)打短信链接直接访问业务,节省寻找业务时间

WAP Push的内容有两种,一种是SI,service indication;另一种 SL,service loading。这两种内容类型的目的都是发送URL链接到手机上。SI是以异步方式发送一个通知、警示、提醒等信息到手机上,用户会看到屏幕上显示这条通知文字内容,然后,提示你是否去那个页面,如果去,手机将激活为WAP浏览器,打开这个链接,浏览其内容。SL则是直接发送一个 URL链接到手机上,手机不会给用户任何提示,自动地启动WAP微浏览器,下载这个URL对应的内容,显示在手机上。让人觉得好像是推送了一个页面下来了似的。MMS就是利用这个机制实现的,已知攻击是发送tel://开头的SL指令可触发手机打电话 http://www.cnblogs.com/edward259/archive/2010/01/29/1659415.html

4、Client-side Attack Surface(客户端攻击面)

指由于Android上安装的App或者系统提供的服务(App)引入的远程攻击面。

4.1 Browser Attack Surface(浏览器攻击面)

主要有URL钓鱼、MitM、XSS、CSRF方面的威胁

android 4.1之前版本使用的是android browser,4.4之前使用chrome for android ,4.4之后使用基于chromium的web browser(libwebview-chromium.so存在于framework层,为上层应用提供API,由于是随framework更新,因此更新慢,容易受到half day攻击)

另外,还有其他第三方浏览器由于存在漏洞而引人的攻击面

4.2 Web-Powered Mobile Apps(web引擎移动应用)

使用webview技术而引人的攻击面 利用WEB View的攻击:例如 addJavascriptInterface和Android AD network。客户端使用webview的xss、csrf等。

4.3 其他

包括:

  • Ad Networks(广告)
  • Media and Document Processing(媒体推送)(处理图片、文档的开源库,如(libpng、libjpeg),包括最近的png攻击和stagefright攻击)
  • Electronic Mail(电子邮件)
  • Googel Infrastructure(Google基础服务)
  • Google Play
  • Third-Party App Ecosystems

二、Physical Adjacency(物理邻接攻击)

  广义上也算远程攻的一种,只是攻击的范围受到限制。 包括:

  • GPS

1.用户位置信息被APP滥用,泄露用户隐私
2.GPS spoofing : 发送虚假GPS信号导致GPS设备定位错误

  • Baseband

基带处理芯片(CP)及android.telephony.stack协议栈

1.假基站
2.针对RIL层的攻击:相关硬软件如USRP,BladeRF,开源协议栈OSmocom

  • Bluetooth

包含近30种Profile,每一个profile描述了蓝牙的一种功能

比如:
1.HFP(Hand-free profile)/HSP(Headset profile)定义了如何控制麦克风、外放等外设
2.FTP(File transfer profile)
3.DUN(Dial-up Networking profile)
4.HID(Human Interface Device profile)
5.AVRCP(audio/video Remote Control profile)

可能的攻击方法:Bluejacking,Bluesnarfing,Bluebugging

使用的此等协议栈:L2CAP/RFCOMM 4.2之后使用Bluedroid在Framework层对上层导出API接口
https://source.android.com/devices/bluetooth.html

  • Wi-Fi

功能点:连接internet,WIFI直连

协议和算法:WEP、WPA、WPA2、开源协议栈:wpa_supplicant

可能的攻击:Rogue热点、MITM

  • NFC

读取Tag,数据传输(Beam)、移动支付

调用关系:物理NFC芯片->内核:libpn544_fs.so->
Native:libnfc_jni.so,libnfc.so,libnfc_ndef.so->
Framework:com.android.nfc ->上层APP

三、本地攻击面

攻击者通过安装本地App达到攻击的效果。

Exploring the File System

文件系统访问权限设置、SUID/SGUID设置,Owner设置

检查工具:adb shell和Canhazaxs

Applications life cycle

应用生命周期中引入的攻击面

install

安装流程中引入的攻击面,如超长应用名攻击,畸形AndroidManifest.xml标签,APK占位攻击,签名漏洞等。

Applications run

运行流程中引入的攻击面

backup

应用备份恢复时引入的攻击面,如ALLOW-BACKUP漏洞

Finding Other Local Attack Surface

System Calls

在源码中以“SYSCALL_DEFINE”定义

Sockets

sockets恶意调用

Binder

Shared Memory

Baseband Interface

Attacking Hardware Support Services

API

JAVA Native Interface

JNI恶意调用,JNI-DOS

AIDL service Calls

TrustZone Proxy

TurstZone Proxy是链接非安全世界和安全世界的代理

CDEV file_operations

驱动源码中file_operations中定义了驱动节点的接口,如open/write/read/mmap/ioctl

四、物理攻击

USB、adb等。

参考文献:http://colbert337.github.io/2015/08/24/android-attack-surface/

发布了33 篇原创文章 · 获赞 21 · 访问量 8万+
展开阅读全文

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 大白 设计师: CSDN官方博客

分享到微信朋友圈

×

扫一扫,手机浏览