USB 디버깅을 활성화하면 Android에서 어떤 수준의 공격을 수행할 수 있나요?

0x01 원래 의도와 적용 가능한 시나리오

Android의 USB 디버깅 모드는 개발자를 위해 설계되었습니다. 개발자는 이를 사용하여 애플리케이션 개발 중에 애플리케이션을 디버그하거나 테스트할 수 있습니다.

adb는 애플리케이션 설치 및 제거, 백업 및 복구, 로그 출력 및 필터링 등 개발에 도움이 되는 일련의 기능을 제공하며, 상당한 권한을 가진 매우 사용자 친화적인 adb 쉘도 제공합니다.

개발자 외에도 역분석가도 애플리케이션의 역분석 및 동적 디버깅을 수행할 때 adb 인터페이스를 사용합니다. 예를 들어 이 인터페이스를 통해 so 또는 smali를 동적으로 디버그 및 추적하고 일부 기능을 동적으로 수행할 수 있습니다. 인증코드 등

그러나 편의성과 보안은 어느 정도 반비례합니다. 그 풍부한 기능에도 불구하고 보안 문제도 잇따릅니다.

0x02 adb 정보 유출 및 권한 유출 문제

logcat 출시 시 애플리케이션이 출력한 디버깅 정보를 삭제하지 않을 경우, 민감한 정보 유출이 발생할 가능성이 매우 높으며, 경미한 예를 들어, logcat은 애플리케이션이 방문한 웹 링크나 다른 중간 변수를 출력할 수도 있고, 계정 비밀번호를 유출할 수도 있습니다. 결국 안드로이드 개발의 문턱이 낮고, 개발자의 수준도 고르지 않을 수 밖에 없습니다.

디버깅을 용이하게 하기 위해 개발자는 다음과 같이 작성할 수도 있습니다.

과거 Android logcat 정보 유출은 다음과 같이 여러 번 공개되었습니다.

WooYun: Tuniu.com 앱 logcat 정보가 사용자 그룹 채팅 내용 유출

WooYun: 서핑 브라우저 logcat에서 사용자 문자 메시지 공개

WooYun: Hangzhou Bank Android 클라이언트 로그인 계정 및 비밀번호 정보

또한 현재 시중에 나와 있는 많은 Android 애플리케이션 취약점 스캐닝 플랫폼도 Logcat 남용 스캐닝에 중점을 두고 Tencent King Kong Audit System, Alibaba Security, 360 Danger 등 보고서에 이를 제시할 것입니다. 거울(전 곤충사냥꾼) 등 이는 또한 이 문제의 보편성을 측면에서 반영합니다.

개발자의 실수 외에도 adb 자체의 설계에도 몇 가지 결함이 있습니다. 이 문제를 구체적으로 연구한 논문인 "Bittersweet ADB: Attacks and Defenses"가 있었습니다.

ADB 또는 ADB 권한을 신청한 Android 애플리케이션을 통해 권한 신청 없이 문자 메시지, 통화 기록 등 개인 정보를 모니터링하고, 화면 클릭 이벤트를 모니터링/시뮬레이트하고, 다른 사람의 개인 디렉터리에 접근할 수 있습니다. 애플리케이션, Android 기기 등에 DoS 공격을 수행합니다.

위 동작의 대부분은 adb shell dumpsys 명령을 통해 얻을 수 있습니다. 자세한 내용은 참조 링크 [2]를 참조하세요.

0x03 안드로이드 백업 문제

낮은 버전의 안드로이드 시스템에서는 애플리케이션을 백업할 때 해당 애플리케이션의 개인 데이터가 포함되어 백업된 후 추출되는 매우 오래된 문제입니다. 아래와 같이 특정 도구를 통해 이를 수행합니다.

그럼 애플리케이션의 개인 데이터에는 일반적으로 무엇이 포함됩니까? 우선 개인 데이터 신원 정보, 계정 비밀번호가 있습니까? 일반적으로 애플리케이션은 개인 데이터에 대해 더 확신을 가지고 있습니다. 결국 이를 "개인 데이터"라고 부르기 때문에 많은 애플리케이션은 이를 일반 텍스트로 직접 저장하지만, 애플리케이션의 역분석을 통해 예를 들어 특정 클라이언트에서 백업된 콘텐츠에는 다음 파일이 포함되어 있습니다.

apk를 리버스 엔지니어링하면 암호 해독 프로세스를 찾을 수 있으며 해독 클래스와 방법을 복사하여 해독할 수 있습니다.

또 다른 예는 WeChat 데이터베이스의 암호화 프로세스와 방법을 분석한 것입니다. 암호화 키 생성이 제공됩니다. WeChat 로컬 데이터베이스, uin 및 imei를 동시에 획득하면 후자의 두 가지를 기반으로 데이터베이스의 암호화 키를 계산할 수 있으며 이때 암호화된 데이터베이스를 해독할 수 있습니다. , 당신의 모든 채팅 기록은 태양에 직접 노출되었습니다.

직접 수동으로 데이터를 복호화하는 것 외에도 adb Restore를 통해 다른 휴대폰에 데이터를 그대로 복원할 수도 있어 droidsec 기사 "주변 여신의 웨이보를 두 개로 훔쳐라"라는 기사처럼 신원을 위조할 수도 있습니다. 분" 계정》(참조 링크 [4])

adb 백업을 사용할 때 백업하기 전에 수동으로 확인을 클릭해야 한다는 것을 누군가가 알아차렸습니다. 공격자가 화면을 클릭할 기회가 없다면, 문제는 없지만 Android에는 입력 및 출력 하위 시스템이라는 메커니즘이 있습니다. sendevent 명령은 adb 셸에서 실행될 수 있으며 각 모델은 서로 다르며 다음 이벤트를 보냅니다. 클릭을 시뮬레이션하고 작업을 허용할 수 있습니다:

#EV_KEY       BTN_TOUCH            DOWN 
sendevent /dev/input/event7 1 330 1 
#EV_ABS       ABS_MT_POSITION_X    366 
sendevent /dev/input/event7 3 53 366 
#EV_ABS       ABS_MT_POSITION_Y    690 
sendevent /dev/input/event7 3 54 690 
#EV_SYN       SYN_REPORT           00000000 
sendevent /dev/input/event7 0 0 0 
#EV_KEY       BTN_TOUCH            UP 
sendevent /dev/input/event7 1 330 0 
#EV_SYN       SYN_REPORT           00000000 
sendevent /dev/input/event7 0 0 0

0x04 adb를 통한 지연

애플리케이션은 adb를 통해 설치할 수 있고 조용하므로 자연스럽게 설치될 수 있습니다. 사용자가 이를 인지하고 있습니다.

단, 일반 말에는 발견 가능성을 높이기 위한 아이콘과 인터페이스가 없을 수 있으며, 실행되지 않은 애플리케이션은 실행될 수 없습니다. 즉, 등록한 BroadcastReceiver는 아무것도 수신할 수 없다는 의미입니다.

다행히 adb 쉘은 이 웨이크업 프로세스도 구현할 수 있습니다. adb 쉘 am 명령은 특정 애플리케이션 패키지의 특정 구성요소를 시작할 수 있으므로 포니가 성공적으로 실행될 수 있습니다.

물론, 공격자가 adb에서 직접 익스플로잇을 푸시하고 권한을 루트로 승격시키는 등 더 강력한 방법을 사용한다면 더 간단하고 조악해질 것입니다.

0x05 악성 코드 주입

이 방법은 비교적 우아합니다. USB 디버깅에 연결하면 일련의 명령을 사용하여 휴대폰에 설치된 애플리케이션에 코드 조각을 주입할 수 있습니다. 악성 코드인 경우, 이 코드는 단순한 인사말일 수도 있고 매우 복잡한 원격 제어일 수도 있습니다.

신뢰도를 더욱 높이기 위해 높은 주입 권한을 적용한 애플리케이션을 선택할 수 있습니다. 예를 들어 주소록 관리 소프트웨어를 주입한 후 연락처 목록을 읽도록 요청합니다. 일어나서.

학계 및 업계에서는 리패키징을 방지하기 위한 많은 대책을 마련하고 있지만, 실제 테스트에서 이 공격 방식의 성공률은 정말 낮지 않으며, 애플리케이션에 대한 인젝션이 실패하더라도 가장 잔혹한 방법을 사용할 수도 있습니다. pm list packages -3 모든 패키지를 나열하고 다시 시도하세요.

아래에서는 USB 디버깅이 활성화된 휴대폰의 애플리케이션에 Metasploit Meterpreter http 리버스 쉘 페이로드를 삽입하는 간단한 프로그램을 작성했습니다. 전체 프로세스 동안 휴대폰에서 어떤 작업도 수행할 필요가 없습니다. . 일반적인 작업 흐름은 다음과 같습니다.

삽입된 애플리케이션을 다시 클릭하면 수신 서버에서 열린 핸들러에서 미터프리터 셸을 받게 됩니다.

위 내용을 사용하면 Android 미터프리터 셸을 얻은 후 개인정보 도용을 비롯한 다양한 작업을 수행할 수 있습니다. 문자 메시지를 보내고, 웹페이지를 열고, 스크린샷을 찍고, 사진을 찍으세요.

심지어 전면, 후면 카메라를 호출하여 실시간 모니터링도 가능합니다.

지원되는 일부 명령은 다음과 같습니다.

0x06 마지막으로

Android 4.4 이후 버전에서는 연결하려는 경우 Android 장치 adbd에는 호스트 시스템의 지문 확인이 필요하므로 이러한 방법을 통해 공격받을 가능성이 크게 줄어듭니다. 그러나 현재 PC의 Android 관리 소프트웨어는 USB 디버깅을 켜도록 강력히 권장하고 있으며, 켜는 방법을 단계별로 가르쳐주기 때문에 상당수의 사람들이 여전히 이러한 위험에 노출되어 있습니다.

위에서 볼 수 있듯이 아직 adb를 통해 수행할 수 있는 작업이 많이 있습니다. 위의 내용은 일부일 뿐이며 완전히 방지하려는 경우 일반적으로 사용되는 몇 가지 작은 방법입니다. 위 방법의 공격을 받는 가장 간단하고 효과적인 방법은 USB 디버깅을 끄고 일반 애플리케이션 시장에서 신뢰할 수 있는 애플리케이션을 다운로드하는 것입니다.