APP アプリケーションでハードコードされたパスワードの漏洩を発見するための APK ファイルの静的分析の分析例

今日共有する記事は、Android APP の静的分析です。安全でないストレージと APP のハードコードされたパスワードの漏洩の問題により、SMS 管理システムにログインし、 SMS インターフェイス構成をハイジャックする 以下は、関連する分析と調査です。

はじめに

パブリック テスト プロジェクトの範囲には、関連メーカーの特定の Android アプリが含まれるため、このアプリを Android スマートフォンにダウンロードして配置しました。APK ファイルは次のとおりです。静的解析のために取り出しました。推奨される 2 つのネイティブで高速な APK ダウンロード URL は次のとおりです:

#https://apk.support/apk-downloader

https://apkpure.com/

APK ファイルを取得したら、それを逆コンパイルし、分析のためにその中の Java クラス ファイルを見つける必要があります。次の 2 つのツールをここにインストールできます:

https://github. com/pxb1988/dex2jar

https://mac.filehorse.com/download-jd-gui-java-decompiler/

上記のツールをインストールした後、ターゲットを配置しますAPP APK ファイルを別のフォルダーに置き、サフィックスを .apk から .zip に変更して、zip ファイルを解凍すると、これらのファイル内に XML ドキュメント、パス ファイル、テンプレート リソース ファイルなどが表示されます。私たちのターゲットは、classes.dex ファイルです。解凍すると、通常、1 つ以上のclasses.dex ファイルが見つかります。次に、dex2jar ツールを使用して dex ファイルを Java ファイルに変換できます。具体的なコマンドは次のとおりです。は機能しません。その後、別のバージョンの dex2jar コマンドを使用できます:

d2j-dex2jar classs.dex

上記のコマンドを実行すると、classes_dex2jar は次のようになります。フォルダー内に生成された jar の Java ファイル このファイルを取得したら、別の便利なツールを使用して逆コンパイルする必要があります。個人的にはここで JD-GUI を使用するのが好きです (https://github.com/java-decompiler /jd-) gui を使用して生成された jar ファイルを開くと、多くの Java リソース ファイルが表示され、これらのさまざまなリソース ファイルを保存したり読み取ったりすることもできます。

保存されたリソース ファイル コードを使用して、そこからいくつかの問題を見つけ出す必要があります。ここでは、自動化されたモバイル セキュリティ侵入テスト フレームワークであるモバイル セキュリティ フレームワーク (MobSF) というツールをお勧めします。これは、バイナリ ファイル (APK および IPA) とソース コード圧縮パッケージをサポートするインテリジェントな統合オープン ソース モバイル アプリケーション (Android/iOS) 自動ペネトレーション テスト フレームワークであり、静的および動的分析に使用できます。

コード分析

上記の作業が完了したら、ターゲットの Android APP のコードを詳しく分析できます。チェックリストに従って分析しようと座ると、すぐに Constant.java というファイルの 1 つが見つかりました。このファイルは APP の SMS パスにあり、ユーザー名、場所、パスワード、その他のハードウェア情報などの散在する情報が含まれていました。コード化されたサービス。メッセージと SMS API の URL パス。一般的な状況は次のとおりです。
さらなる分析により、APP は商業プロモーションのために reson8 社のインスタント メッセージング プラットフォーム (https://www.reson8.ae/) を使用していることがわかりました。私は reson8 社の Web サイトを閲覧しました。で、ユーザーログインインターフェースがあることが分かったので、上記の静的解析で流出したUsernameとPasswordの情報を思いつき、ここに持ってきてログインして利用してみました。対象APP会社のSMS送信管理システム:

管理システムはSMS APIゲートウェイであり、SMSの指向性送信設定などの管理操作を行います。マーケティング アップグレードとリチャージを実装できます。さらに重要なのは、ダウンロードできるのはユーザーの携帯電話番号です。

概要

APP で動的分析やその他の分析を行う前に、静的分析を行うことをお勧めします。独自のチェック リストに従って順番に実行できます。そこから予期せぬ情報を得ることができます。 APP アプリケーション会社にとって、APP 内にパスワードや資格情報に関連する情報を保存することは避けなければならず、必要な場合でも何らかの適切な暗号化処理が必要です。

以上がAPP アプリケーションでハードコードされたパスワードの漏洩を発見するための APK ファイルの静的分析の分析例の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。