Búsqueda de vulnerabilidades - Análisis. 22 o Escuela de Verano de Ciencias Informáticas RIO 2015

Transcripción

1 Búsqueda de vulnerabilidades - Análisis dinámico Juan Heguiabehere Joaquín Rinaudo 22 o Escuela de Verano de Ciencias Informáticas RIO 2015

2 Sobre el curso Lunes: Android como plataforma de desarrollo - Malware Martes: Malware (cont) - Diseño seguro en aplicaciones Jueves: Búsqueda de vulnerabilidades - Análisis estático Viernes: Búsqueda de vulnerabilidades - Análisis dinámico

3 Contenidos Sobre el curso Análisis dinámico Herramientas Caso 1: Incorrecta validación de certificados Caso 2: Logging de información privada Caso 3: Server local expuesto a otras apps Caso 4: Transmisión insegura de datos Caso 5: Incorrecta validación del servidor Caso 6: Almacenamiento de información privada en SD Caso 7: Inyectando Javascript en un contexto Caso 8: Interfaces Javascript-Java / comunicación HTTP

4 Qué es análisis dinámico? Análisis a partir de la ejecución del programa y observación de comportamientos Ejecución en entorno controlado Tipos de análisis dinámicos que vamos a ver: Tráfico IPC Acceso y modificaciones a recursos, archivos, etc Acceso a información privada del usuario

5 adb (Android Debug Bridge) Inspeccionar almacenamiento interno de la aplicación: /data/data/pkgname Subir o bajar archivos del dispositivo: adb push/pull Logs de aplicaciones: logcat am para comenzar Activity, Service o Receiver sqlite3 para analizar bases sql

6 Proxies Utilizar proxy para capturar y modificar HTTP/HTTPS: Burp ZAP mitmproxy Wireshark para capturar el resto del tráfico

7 mitmproxy Sitio: Instalación

8 Drozer Framework de testing de seguridad para Android Buscar vulnerabilidades asumiendo rol de app permite: Buscar información de aplicaciones instaladas Interactuar con Activities, Receivers, Content Providers y Servicios de otras apps Utilizar un shell para comunicarse con el OS de linux Buscar la superficie de ataque de otras apps y vulnerabilidades conocidas

9 Como conectarse a Drozer Instalar: Consola que corre en la PC Agente en el dispositivo o emulador Prender el agente desde el dispositivo adb forward tcp:31415 tcp:31415 drozer console connect

10 Usando la consola Drozer shell: Shell del dispositivo en el contexto del agente list: Lista módulos Drozer que se pueden ejecutar en la sesión run: Correr un módulo run app.package.attacksurface PKG: Lista componentes exportados run app.package.info PKG: Información general de la app run app.component.info -p PKG: Información detallada de cada tipo de componente exportado run run scanner.misc.readablefiles: Buscar archivos leíbles para todas las apps help MODULE: Explicación y parámetros para cada módulo

11 Cydia Substrate Instrumentación dinámica: Modifica la aplicación en Runtime Permite agregar código/hooks a métodos existentes Crear extensiones de aplicaciones modificando sus métodos Sin necesidad de desensamblar, modificar y recompilar nuevamente la aplicación No se modifica el apk Sí hay que desensamblar los apks para encontrar cosas interesantes para instrumentar

12 Extensiones de Cydia Android-SSL-TrustKiller Fuerza a las apps a no validar certificados al comunicarse con servidores via HTTPS Analizar tráfico con un proxy de apps que hacen Certificate Pinning o usan certificados válidos

13 Extensiones de Cydia IntroSpy Ayuda a entender que hace una app cuando corre Logea: Uso general criptografía Hashing Claves utilizadas Accesos a archivos en la memoria interna Lectura y escritura a SD Mecanismos de IPC utilizados e Intents enviados Lectura y escritura de shared prefs Uso de SSL, falta de validación Uso de Webviews y si hay JS, FS y JSinterfaces habilitados Accesos a base SQL

14 Creando tu propia extensión de Cydia

15 Caso 1: Incorrecta validación de certificados Si proxy captura https, la app no valida los certificados correctamente Si no, se puede instalar Android-SSL-TrustKiller o instalar el certificado del proxy en el dispositivo Una vez que se encontró que es vulnerable, estáticamente buscar la causa: TrustManager custom HostNameVerifier custom Override de onreceivesslerror SSLSocketFactory getinsecure HttpsURLConnection setdefaultsslsocketfactory

16 Caso 1: MercadoLibre MercadoLibre hasta Atacantes podían montar ataques de Man-in-the-Middle Android apps that fail to validate SSL: Documento con 23 mil apps que fallan

17 Caso 2: Logging de información privada Clase android.util.log para logear información: Log.d(Debug)/Log.e(Error) Log.i(Info)/Log.v(Verbose)/Log.w(Warn) Permiso android.permission.read LOGS para leer adb logcat para leer los logs de todas las aplicaciones

18 Caso 2: Logging de información privada Hasta 4.0, una aplicación con READ LOGS obtenía los logs de todas las apps

19 Caso 2: Logging de información privada Ahora, una aplicación con READ LOGS NO obtiene los logs de las otras apps Pero conectando el dispositivo a una PC, se pueden seguir obteniendo todos los logs

20 Caso 2: Facebook SDK Facebook SDK permite a integrar funcionalidades de Facebook a aplicaciones de terceros Token de acceso es un identificador de FB dado a una app para hacer pedidos por el usuario Cuando un usuario se logea utilizando Facebook a la app se le da un token

21 Caso 2: Facebook SDK Vulnerabilidad: SDK logeaba los tokens cuando un usuario se logeaba con esa app Apps maliciosas podían leer los logs y obtener estos tokens y usarlos para publicar como el usuario

22 Caso 3: Server local expuesto a otras apps Algunas aplicaciones utilizan servidores locales HTTP Bind en localhost o localhost: Aplicaciones maliciosas global: Atacantes en LAN,WAN

23 Caso 3: Facebook Facebook hasta la versión 13 Incluía un servidor que funcionaba como caching proxy para los video GenericHttpServer que es escuchaba en Un atacante podía conectarse: Utilizarlo como Open Proxy Agotar la memoria del dispositivo Consumirle datos de la red 3g o LTE de la víctima Solución: Escuchar en

24 Caso 4: Transmisión insegura de datos La red es insegura: Sniffing Inyección de datos Hijacking de sesión Man-in-the-Middle DNS Poisoning SSL Strip Información privada debe utilizar protocolos seguros (no HTTP, UDP, TCP, VOIP)

25 Caso 4: Facebook Facebook hasta la versión 10 App enviaba y recibía las grabaciones de audio de mensajes privados por HTTP App enviaba pedidos a CDNs por HTTP para reproducir los videos

26 Caso 4: Instagram Instagram todavía utiliza HTTP Session Hijacking

27 Caso 5: Incorrecta validación del servidor Los servidores deberían: Validar el formato de inputs que vienen de la aplicación Prevenir ataques de replay Validar que el pedido está siguiendo la lógica esperada: Autenticación Autorización Control de recursos

28 Caso 5: PicsArt Todavía es explotable! Se puede enviar pedidos maliciosos para bypassear la autenticación Desde la cuenta, se puede obtener tokens de acceso de redes sociales asociadas

29 Caso 6: Almacenamiento de información privada en SD Almacenamiento externo (/sdcard,/mnt/sdcard) es compartido con otras aplicaciones Leíble para todas las apps hasta 4.3 y antes o las que declaren READ EXTERNAL STORAGE para 4.4 en adelante Escritura para todos bajo WRITE EXTERNAL STORAGE Si se va a guardar contenido sensible en la SD, encriptarlo

30 Caso 6: Evernote Evernote guardaba todas las notas en /sdcard/android/data/com.evernote/files/ Contenido sin encriptar

31 Caso 7: Inyectando Javascript en un contexto Aplicación con una actividad exportada con una Webview (p.e. navegadores) Actividad anotada como singletask Además intent-filter con: <data android:scheme="javascript"/> Aplicación maliciosa puede correr JS en un contexto determinado para robar cookies Ataque consiste en: Enviar un Intent para cargar la página víctima (p.e. Enviar otro Intent, usando el esquema javascript, para correr JS en el contexto de esa página

32 Caso 7: Sleipnir Browser

33 Caso 7: Sleipnir Browser

34 Caso 8: Interfaces Javascript-Java / comunicación HTTP Webview y addjavascriptinterface Utilizado en librerías de ads, Phonegap, navegadores Ataque: Inyectar JS a pedidos HTTP a librerías o código JS con MITM Abusar interfaz para correr código nativo u exfiltrar datos Código a inyectar depende de: Métodos interfaz expuesta target-sdk de la aplicación / Versión de Android Permisos de la aplicación

35 Caso 8: Interfaces Javascript-Java / comunicación HTTP

36 Bibliografía: 1. Vulnerabilidad Facebook SDK 2. Android Secure Coding: JPCERT 3. Vulnerabilidad PicsArt 4. Vulnerabilidad Facebook 5. Vulnerabilidad MercadoLibre 6. Vulnerabilidad Instagram 7. Vulnerabilidad Evernote