DeviceLine Radio:Felix MatenDDoS高防aar对Android应用程序的逆向工程-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 行业资讯 > DeviceLine Radio:Felix MatenDDoS高防aar对Android应用程序的逆向工程

DeviceLine Radio:Felix MatenDDoS高防aar对Android应用程序的逆向工程

小墨安全管家 2020-11-22 20:38 行业资讯 89 ℃
DDoS防御

DeviceLine Radio:Felix Matenaar对Android应用程序的逆向工程

本周我将与Bluebox实验室的高级工程师felixmatenaar讨论Android APK文件的逆向工程。Felix和来自Bluebox的Patrick Schulz将在马上于12月12日和13日在旧金山进行的Ampion论坛上成为世界级的演说者之一。该论坛由Mocana主办,防DDoS,SAP、Forrester Research和Codenomicon共同承办。DeviceLine读者能够使用免费折扣代码DeviceLine100在那个地点注册特殊的早期折扣。假如您曾经编写过自个儿的Android应用程序,或者有机遇对其举行反向工程,这么您会发觉APK文件背后的奇妙只是是一具压缩的类似java的类和带有一些本机代码的文件。那个过程大概是在运行Linux的PC上下载一具应用程序,接着使用APKtool等工具举行反编译,以研究这些应用程序或能够做啥。这算是费利克斯所做的,我们讨论了他的想法和他发觉的一些漏洞。我们讨论了Dexter,他的公司去年2月公布的一具工具,它使反向工程Android应用变得容易。我们还谈到了他的演说"安卓逆向工程与谨防",在《来源:都柏林》,今年早些时候,他与舒尔茨共同展示了这篇演说。你能够在那个地点听见完整的对话。或者你能够在iTunes上订阅DeviceLine Radio。或者你能够阅读下面的对话全文。罗伯特瓦莫西:你能告诉我们一些对于蓝盒和你在那儿的工作吗?菲利克斯·马特纳尔:蓝盒是一家隐形模式的初创公司,特意针对企业的挪移安全领域。我为Bluebox工作,实际上是为Bluebox实验室工作,这是我们的研究团队,我个人的目标是Android挪移领域,尝试识别新的威胁,并针对有味的威胁开辟缓解措施。我差不多上算是那样做的。Vamosi:当你看一具Android应用程序,一具APK时,有两种常见的分析想法。有静态分析和动态分析,也能够包括运行时分析。你能谈谈每种想法和使用其中一种或另一种或全部的价值吗?马泰纳尔:是的。静态分析和动态分析的普通区别在于,在静态分析中,您差不多上能够查看实际的代码,同时没有任何差不多的标识,您对在运行时实际执行哪些代码没有任何限制。于是缺点是,假如你思量包代码和密码,这是外头的。例如,有一些类似于[[…]]的电脑恶意软件,DDoS防御,你通常无法看到运行时发生了啥,于是人们也使用动态分析。在动态分析中,你实际上是在执行应用程序,如此做的好处是你能够看到在执行过程中实际发生的情况,但你不能讲这是唯一发生的情况,或者,例如,在某些不同的条件下,应用程序做的情况彻底不同。于是差不多上你总是需要这两种想法的结合,以便合理地[[…]]了解应用程序的行为,并了解应用程序实际在做啥。你从哪里开始找?你去谷歌Play商店吗?或者你看看其他第三方网站上或野外的应用程序吗?马特纳尔:当我开始研究apk时,我看了我个人使用的东西。我对我个人使用的应用程序的安全性特别感兴趣。这次我从我自个儿的设备上取下了这些应用程序。你能够在机器人身上做些啥。我开始研究怎么调查这些代码,并弄知道猎取有关Android正在做啥的信息是多么容易。我发觉了一些漏洞,这让我以为应该有更多的工具,让人们懂调查应用程序的功能是多么容易,给人们提供工具,让他们可以讲服自个儿Android应用程序的安全漏洞。Vamosi:于是,关于没有做过这项工作的人来讲,在30000英尺的视野中,APK文件差不多上是一具压缩的类似Java的文件。这种抽象正确吗?马泰纳尔:是的。差不多上它是一具包含类似java代码的zip文件。于是在Android上它有些不同。所以,作为开辟人员,您就像编写java代码一样。另外,DDoS防御,还有图片之类的东西。此外,还能够包含本机代码和代码。这差不多上是三个部分。有图片和文本之类的应用程序资源。有Java代码,也有本地代码。你讲你特别快就发觉了一些漏洞。这是啥类型的课程?你发觉了啥样的缺陷?我能够给你举两个例子。有一具,相当有名的messenger应用程序。我两年前看过。此应用程序尝试使用身份验证代码对用户举行身份验证,该代码经过短消息(如文本消息)发送到设备。应用程序会从短信中提取代码来验证用户是否在注册我们至少有她假装的电话号码。咨询题是服务器,在验证之前,服务器基本给设备上的应用程序正确的代码。当我看到那个,DDoS防御,我差不多上能够注册任何人谁使用那个信使应用程序的任何帐户。我花了三个小时才弄知道。第二个例子是一具类似DropBox的文件共享应用程序。你能够做的是…他们在上传时犯了一具错误,上传的代码,于是你能够删除一具恶意文件,而那个恶意文件在上传到云存储设备上的时候是不一样的。其阻碍是,差不多上我能够发送一具精心编制的文件给我的受害者,受害者打开看起来彻底合法的PDF文件。因为它是上传到挪移设备上的,于是上传到云存储的挪移设备能够像其他apk一样丢弃任意文件,包括恶意代码或PDF文件,包括漏洞攻击之类的。你有没有看到过恶意软件利用这些漏洞的其他媒介或方式?马泰纳尔:我没有看到恶意软件利用这些漏洞。我的意思是讲,他们如今最容易赚钞票的方式算是利用恶意软件。我以为如今最简单的想法算是使用一些高级短信之类的东西。我还没有看到恶意软件特意利用应用程序中的缺陷。有一些恶意软件试图让设备根名目之类的东西,然而,我个人还没有看到攻击者攻击特定漏洞并在使用恶意软件时手动利用它的威胁。Vamosi:有一件事是对一具现有的应用程序举行重新打包,同时有一些用来注册应用程序的ID,比如Play Store,但这是能够规避的。你能谈谈如何做吗?马特纳尔:是的,于是,差不多上,咨询题是每个应用程序基本上由开辟者签名的,然而用户能够使用那个签名来确定……应用程序的来源是否合法。作为一具攻击者,我能做的是在我的设备上安装一具应用程序并下载它,接着你差不多上重新打包,捆绑代码并添加额外的代码,于是有一具闻名的take叫做APKtool,特别多黑客都使用它来修改应用程序。此外,在标准的Android工具集中,还有一些工具能够将现有的java字节码合并到应用程序的上下文中。接着你必须用任意生成的密钥重新签署应用程序。而真正的咨询题是重新公布应用程序。我想在googleplay中重新公布同样的应用程序会特别艰难,这算是为啥经常建议用户坚持使用googleplay商店,不允许不可信的来源。瓦莫西:在我们打电话之前,你提到了安卓系统固有的一些设计缺陷,谷歌大概会想解决这些咨询题。你能谈谈这些吗?马泰纳尔:是的,固然。例如,特别多人不懂的一件事是,几年前的事情是,每个应用程序都能够访咨询你的SD卡存储。目前那个缺陷基本得到了一定程度的修复,然而经过引入每个应用程序必须获得的权限,如此用户至少懂应用程序可以读取外部存储器。然而,由于Google必须保持向后兼容性,作为一具攻击者,我不想让用户懂我正在读取外部存储,于是我会将我的应用程序标记为针对旧的SDK,同时由于向后兼容性,我将允许访咨询外部存储卡。假如你看过你的外部存储卡,里面有你正在下载的PDF文件和你用相机拍摄的所有照片之类的数据,于是你能够思量任何应用程序都能够访咨询你所有的照片。于是这是一具设计缺陷。另一具是我最近读到一篇对于Android中的信任源漏洞的文章,这篇文章是对于Android必须使用进程间通信,这种通信经过一种称为意图的东西举行通信。所以,应用程序能够在另一具应用程序上启动意图并在那儿触发一些函数。所以,设计的局限性在于,它针对的是接收到该意图的应用程序,所以无法检查该意图的来源,从而导致不同的漏洞。在这篇文章中,我以为他们设法破坏了DropBox帐户之类的东西。这真的是一具设计上的缺陷,我以为这是谷歌今后的目标。Vamosi:于是今年早些时候你在SOURCE:Dublin联合发表了一具演说,在那儿你谈到了防篡改的Android APK。你能从那次谈话中提供一些建议,告诉开辟者怎么切实地防止这些应用程序被篡改?马泰纳尔:是的,固然。在前面的例子中,我们讨论过,在游戏中使用的爱护工具,比如讲


DDoS防御

当前位置:主页 > 行业资讯 > DeviceLine Radio:Felix MatenDDoS高防aar对Android应用程序的逆向工程

猜你喜欢

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119