UNIVERZA V MARIBORU FAKULTETA ZA ELEKTROTEHNIKO, RAČUNALNIŠTVO IN INFORMATIKO Milan Gabor Analiza varnostnih tveganj v mobilnih aplikacijah na platfor

Transkripcija

1 UNIVERZA V MARIBORU FAKULTETA ZA ELEKTROTEHNIKO, RAČUNALNIŠTVO IN INFORMATIKO Milan Gabor Analiza varnostnih tveganj v mobilnih aplikacijah na platformi Android Diplomsko delo Maribor, avgust 2016

2 ANALIZA VARNOSTNIH TVEGANJ V MOBILNIH APLIKACIJAH NA PLATFORMI ANDROID Diplomsko delo Študent: Študijski program: Smer: Mentor: Lektorica: Milan Gabor Visokošolski študijski program Računalništvo in informatika Programska oprema doc. dr. MILAN OJSTERŠEK, univ. dipl. inž. el. Maja Gabor, prof. slovenščine in angleščine

3

4 ZAHVALA Zahvaljujem se mentorju za pomoč pri izdelavi diplomskega dela. Prav tako se zahvaljujem vsej svoji širši družini za spodbujanje k dokončanju študija. Še posebej pa se zahvaljujem ženi Maji, ki je potrpežljivo spremljala moje študijsko delo, in sinu Tilnu, ki sem ga zaradi študijskih obveznosti prikrajšal za kakšno uro kvalitetnega druženja.

5 Analiza varnostnih tveganja v mobilnih aplikacijah na platformi Android Ključne besede: Android, mobilne aplikacije, varnost mobilnih naprav, varnostna analiza, varnostna tveganja UDK: : (043.2) Povzetek V diplomskem delu smo preučili nekatera tveganja, ki jih prinaša mobilna platforma Android. Na kratko so bili prikazani možni načini zaščite, ki jih ta platforma ponuja. Opisana sta bila tudi dva načina analize mobilnih aplikacij in pregled različnih orodij, ki so trenutno na razpolago. Predstavljen je bil tudi način za dinamično analizo, ki je bil predmet lastnih raziskav in razvoja znotraj podjetja. Opredeljena so bila tudi tveganja in podani so bili predlogi, kako ta tveganja na enostaven način zmanjšati. i

6 Analysis of security risks in mobile application on Android platform Key words: Android, mobile applications, security analysis, security risks, UDK: : (043.2) Abstract In the thesis work, we have examined some risks that we can encounter when using mobile platform Android. In short we presented some ways of protection that this platform offers. Two ways of analysing mobile application has been described and some automatic tools have been presented, that are currently available. Process of dynamic analysis has been presented, that is product of our research and development inside company. There have been also some other risks described and some suggestions how to mitigate them in a simple way. ii

7 KAZALO 1 UVOD PLATFORMA ANDROID Opis in zgodovina platforme Android Zgradba aplikacij na platformi Android Zaščitni mehanizmi aplikacij na platformi Android Analize mobilnih aplikacij na platformi Android PRAKTIČNI PRISTOPI K ANALIZI APLIKACIJ NA PLATFORMI ANDROID Statična analiza Obratno inženirstvo mobilne aplikacije Dinamična analiza Primer dinamične analize z orodjem Vaccine Uporaba različnih drugih orodij QARK Dexter APK analyzer VARNOSTNA TVEGANJA Varnostna tveganja na strani proizvajalcev aplikacij Pisanje občutljivih podatkov v dnevniške datoteke Neuporaba metod obfuskacije Neuporaba šifriranja pri prenosu podatkov Neuporaba zaščitnih mehanizmov Neprimerna hramba občutljivih podatkov Tveganja na strani uporabnikov Nameščanje aplikacij iz nepreverjenih virov Tveganje ob izgubi mobilne naprave iii

8 4.2.3 Pridobitev korenskega dostopa naprave (angl. rootanje) Nameščanje varnostnih popravkov Predlogi za zmanjševanja tveganj Šifriranje naprav in podatkov Izobraževanje razvijalcev in uporabnikov Izvedba varnostne analize kot dobra praksa SKLEP VIRI IN LITERATURA iv

9 KAZALO SLIK Slika 2.1: Globalni delež mobilnih platform [1]... 2 Slika 2.2: Arhitektura platforme Android [3]... 3 Slika 2.3: Prikaz razmerja različic platforme Android [4]... 4 Slika 2.4: Shematski prikaz grajenja APK paketa [5]... 5 Slika 2.5: Vsebina paketa APK... 6 Slika 2.6: Primer skrivanja izvorne kode Android aplikacije... 9 Slika 2.7: Prikaz nekaterih preverjanj mobilne aplikacije [7] Slika 2.8: Primer OWASP Mobile Top 10 varnostnih pomanjkljivosti [8] Slika 3.1: Primer delne pridobitve izvorne kode Slika 3.2: Primer odkritja pomanjkljivosti na podlagi statične analize Slika 3.3: Prikaz rezultatov orodja Apkyzer Slika 3.4: Shema orodja Vaccine Slika 3.5: Grafični vmesnik Vaccine Slika 3.6: Primer zagona orodja QARK Slika 3.7: Primer rezultata analize z orodjem QARK Slika 3.8: Osnovni prikaz analize z orodjem Dexter Slika 3.9: Prikaz brskanja po razredih aplikacije z orodjem Dexter Slika 3.10: Prikaz rasti števila škodljive kode za Android Slika 3.11: Prikaz rezultata potencialno škodljive mobilne aplikacije Slika 4.1: Primer mobilne aplikacije za učenje KAZALO TABEL Tabela 1: Vsebina v APK datoteki... 6 Tabela 2: Zaščitni mehanizmi platforme Android [6]... 7 Tabela 3: Seznam kontrolnih točk v

10 UPORABLJENE KRATICE ART Android Runt Time APK Android Application Package format OWASP The Open Web Application Security Project QARK Quick Android Review Kit API Application Program Interface vi

11 1 UVOD Hitrost rasti števila mobilnih telefonov vpliva na še hitrejši razvoj aplikacij za te mobilne platforme, tako se povpraševanje po mobilnih aplikacijah za platformo Android zelo povečuje. K temu je veliko pripomogla tudi brezplačna in odprtokodna mobilna platforma Android, ki jo podpira in razvija Google, saj omogoča hiter ter enostaven razvoj mobilnih aplikacij. Tako lahko razvijalci samo s pomočjo spleta in kakšnega tečaja hitro ter enostavno razvijajo različne aplikacije za platformo Android. Hiter in enostaven razvoj takšnih aplikacij je ključnega pomena za hitro rast števila aplikacij v spletni trgovini. Tako je v času priprave diplomskega dela v mobilni trgovini Google Play že več kot 2 milijona različnih aplikacij. V kolikor mobilna platforma ni podprta s kopico aplikacij in enostavnim razvojem, lahko to pomeni bistveno manjše zanimanje zanjo in posledično tudi manj razvoja ter slabšo uporabniško izkušnjo mobilne platforme. Cilj diplomske naloge je prikazati nekatera varnostna tveganja v mobilnih aplikacijah na platformi Android in hkrati prikazati nekaj načinov, kako analizirati mobilne aplikacije in zmanjšati varnostna tveganja že pri samem snovanju mobilnih aplikacij. V prikazu analize mobilnih aplikacij se bomo osredotočili na dva vidika analize in ju podrobneje obdelali. V prvem delu se bomo dotaknili statične analize mobilnih aplikacij in prikazali, da je možno večino mobilnih aplikacij prevesti v izvorno kodo. Ta koda je lahko potem primerna za statično analizo. V drugem delu pa bomo prikazali možnosti dinamične analize, ki se izvaja med samim delovanjem aplikacije in lahko omogoča dinamično spreminjanje delovanja aplikacije. Takšen dinamičen način testiranja omogoča varnostnim strokovnjakom in testerjem aktivno testiranje programov ter omogoča lažji dostop do internih struktur v sami aplikaciji. Na podlagi možnih analiz smo preučili tudi varnostna tveganja in podali svoja opažanja. V sklopu praktičnega dela je prikazan rezultat lastnega razvoja. Izdelali smo orodje, ki je prosto dostopno in omogoča enostavno, a zelo zanimivo možnost dinamične analize mobilne aplikacije na platformi Android. 1

12 2 PLATFORMA ANDROID 2.1 Opis in zgodovina platforme Android Platforma Android se je začela razvijati okrog leta 2003, in sicer z ustanovitvijo podjetja Android Inc. Takrat jih je sprva vodila ideja o pametnih mobilnih napravah, ki bi uporabnikom omogočale napredne funkcionalnosti in bi bile bolj prijazne do uporabnikov, a hkrati enostavne za uporabo. Takratna vodilna operacijska sistema na področju mobilnih naprav sta bila Symbian in Windows Mobile podjetja Microsoft. Od leta 2005, ko ga je pod svoj plašč vzelo podjetje Google, pa je platforma doživela razcvet in je trenutno krepko vodilna mobilna platforma, saj dosega njen delež po zadnjih statistikah [1] okrog 80 % vseh mobilnih naprav. Ta delež je lepo razviden tudi na sliki 2.1. Tako je platforma Android v dobrem desetletju postala vodilna platforma za mobilne aplikacije, kar kaže tudi število mobilnih aplikacij v trgovini Google Play, na kateri jih trenutno najdemo preko 2 milijona. Slika 2.1: Globalni delež mobilnih platform [1] 2

13 Če gledamo tehnično zasnovo in zgradbo Androida, lahko celotno platformo obravnavamo kot mešanico operacijskega sistema, vmesnega programja in ključnih mobilnih aplikacij [2]. Android temelji na jedru operacijskega sistema Linux [3] in glede na število mobilnih naprav s platformo Android lahko zapišemo, da je Linux prisoten res vsepovsod. Za zagon in izvajanje mobilnih aplikacij je odgovoren virtualni sistem z imenom Dalvik. Ta skrbi, da so aplikacije izolirane med sabo in omogoča izvajanje strojne kode Dalvik. Glede na to, da se aplikacije razvijajo v programskem jeziku Java, Java strojna koda ni enaka strojni kodi Dalvik, zato je vmes potrebna še preslikava. Dalvika v zadnjem času zamenjuje novo izvajalno okolje, ki se imenuje Android Runtime (kratica ART), vendar ostaja princip delovanja enak. Ta del platforme Android je za nas zanimiv, saj z modifikacijo mobilne aplikacije obstaja način, da se upravlja z aplikacijo brez ponovnega prevajanja in nameščanja. Slika 2.2: Arhitektura platforme Android [3] Android se zelo aktivno razvija in Google je določil razvojni cikel ter tudi časovne okvire novih različic Androida. Tako je trenutno zadnja različica Androida verzija 6.0, ki nosi kodno ime Marshmallow. Pri tako hitrem razvoju seveda obstaja tudi majhna težava, saj proizvajalci izdelujejo naprave glede na trenutno različico Androida, ko pa pridejo novejše različice, ne izdajo posodobitev za vse njihove naprave, zato obstaja večje število naprav 3

14 s starejšimi različicami Androida, ki pa lahko vsebujejo tudi določene varnostne pomanjkljivosti. Proizvajalci v večini primerov poskrbijo za to, da telefoni višjega cenovnega razreda dobijo posodobitve, nižjega cenovnega razreda pa ne, prav zaradi tega ima na primer različica Androida KitKat [4] še vedno najvišji delež, kar je razvidno tudi iz slike 2.3. Slika 2.3: Prikaz razmerja različic platforme Android [4] Android lahko smatramo kot najbolj odprto platformo, saj so vsa razvojna in druga potrebna orodja za uspešno delovanje razvijalcem na voljo brezplačno. Za hiter razvoj samih aplikacij skrbi Android skupnost z dovolj različnimi brezplačnimi tečaji in podrobnimi navodili, kje in kako začeti. Razvijalci lahko brez težav razvijajo na različnih platformah, saj je integrirano okolje z imenom Android Studio na voljo brezplačno in za različne platforme. Android Studio omogoča izvedbo celotnega razvojnega cikla in je s svojimi dodatki lepo integriran v celoten ekosistem Androida. Mobilne aplikacije na platformi Android se razvijajo v programskem jeziku Java, vendar je mogoče znotraj mobilnih aplikacij uporabiti tudi»domorodne«knjižnice, ki so lahko razvite v drugih programskih jezikih, kot na primer C ali C++. Glede na to, da se za primarni razvoj uporablja Java, ima ta lepo lastnost, saj je mogoče vmesno kodo pretvoriti nazaj v podobno obliko, kot jo je imela izvorna koda. S tem se lahko na precej enostaven način pridobi vpogled v delovanje same aplikacije. Seveda ni vedno tako enostavno in obstajajo določene težave, ki jih bomo opisali malo kasneje. 4

15 Glede na veliko število samih aplikacij v uradni trgovini so s porastom teh aplikacij v porastu tudi grožnje, ki jih prinaša veliko število aplikacij. Velika večina aplikacij ni nevarnih, vendar pa nekatere vseeno prinašajo s seboj tudi določene grožnje, zato je potrebno tudi tem grožnjam posvetiti pozornost, se jih zavedati in s tem zmanjšati varnostna tveganja. 2.2 Zgradba aplikacij na platformi Android Aplikacije, ki jih nameščamo na telefone, temelječe na platformi Android, imajo specificirano zgradbo in predpisan format. Format, v katerem so zapakirane aplikacije za Android, se imenuje APK (angl. Android application package). Ti paketi so podobni paketom, kot jih poznamo za nameščanje na različne Linux distribucije, in so dejansko ZIP kompresirane datoteke, ki jih lahko enostavno razpakiramo z običajnimi dekompresijskimi programi, kot na primer Winzip. Temelj kompresije temelji na JAR podatkovnem formatu. Za izdelavo datoteke APK morajo razvijalci prevesti datoteke z izvorno kodo in spremljajoče datoteke zapakirati v paket mobilne aplikacije. Aplikacijo je potrebno na koncu tudi podpisati, da se lahko kasneje namesti na samo mobilno napravo. Slika 2.4 prikazuje shematski prikaz grajenja APK paketa. Slika 2.5 pa prikazuje vsebino konkretne aplikacije, ki smo jo razpakirali z orodjem Winzip. Slika 2.4: Shematski prikaz grajenja APK paketa [5] 5

16 Slika 2.5: Vsebina paketa APK V tabeli 1 navajamo seznam tipičnih map in datotek, ki jih paketi APK vsebujejo. To so minimalne datoteke, ki morajo biti prisotne v paketu APK. Nekatere aplikacije pa s seboj prinesejo veliko drugih datotek, kot na primer različne ikone in slike za različne različice naprav ter različne ločljivosti njihovih ekranov, in s tem dosežejo optimalno predstavitev. Določen tip aplikacij pa uporablja klasično spletno aplikacijo in klice REST na strežnik in tako dejansko simulira aplikacijo, ki teče v spletnem brskalniku mobilne naprave. Tabela 1: Vsebina v APK datoteki Mapa ali datoteka Opis assets Mapa z različnimi tipi datotek, ki jih lahko uporabimo z uporabo klicev AssetManager. lib Mapa, ki vsebuje knjižnice za različne platforme strojne opreme. META-INF Vsebuje datoteko Manifest in digitalno potrdilo aplikacije. res Vsebuje različne vire, ki se ne nahajajo v datoteki resources.arsc. AndroidManifest.xml Dodatna datoteka Manifest, ki opisuje aplikacijo, različico, uporabljene knjižnice in pravice aplikacije. Classes.dex Prevedeni Java razredi v podatkovnem formatu dex, ki jih razume Dalvik virtual machine. Resources.arsc Datoteka s prevedenimi viri za uporabo v aplikaciji. 6

17 2.3 Zaščitni mehanizmi aplikacij na platformi Android Glede na samo naravo mobilnih aplikacij so se razvijalci Androida že od samega začetka zavedali nevarnosti, ki prežijo na različne aplikacije, zato so uvedli različne zaščitne mehanizme. V sklopu razvoja sistema Android so se pokazale tudi nekatere slabosti, zato so bile izdane nove nadgradnje, ki ponujajo določeno mero varnosti pri samem izvajanju aplikacij, deljenju podatkov med njimi in pri dostopu do samih podatkov. Seveda varnost kot taka ni enkratno dejanje, ampak proces, zato se tudi ti različni varnostni mehanizmi nadgrajujejo in izboljšujejo. Vsekakor pa k večji varnosti prispevajo tudi različni varnostni raziskovalci na področju Androida, ki so s svojimi odkritji in možnimi zlorabami aplikacij in samega sistema Android prispevali k večji varnosti ter bolj zanesljivemu delovanju. V tabeli 2 navajamo nekaj zaščitnih mehanizmov, ki jih uporablja platforma Android. Tabela 2: Zaščitni mehanizmi platforme Android [6] Aplikacijski peskovnik Peskovnik izolira aplikacijo in njene podatke od drugih aplikacij ter skrbi za varno izvajanje same aplikacije. Za to skrbi navidezni stroj Dalvik, ki je bil namensko razvit za Android in za izolacijo aplikacij. Tako vsaka aplikacija teče v svojem navideznem stroju in ima na razpolago samo svoje podatke, če pa hoče dostopati do podatkov drugih aplikacij, je to možno z uporabo predpisanih mehanizmov ali eksplicitno določenih pravil za komunikacijo med samimi aplikacijami. Aplikacijsko ogrodje Aplikacijsko ogrodje skrbi za robustno implementacijo skupnih varnostnih implementacij, kot na primer šifriranje, dodeljevanje pravic dostopa do strojnih virov, podatkov, storitev in varno medprocesno komunikacijo. Poleg tega so v njem implementirani tudi dodatni varnostni mehanizmi, kot na primer ASLR, NX, ki zagotavljajo varno delovanje pri različnih tipih dela s pomnilnikom. Pravice Zaradi narave zaganjanja aplikacij na Androidu (vsaka namreč teče v svojem peskovniku) je bilo potrebno dodatno dodelati dober način dodeljevanja pravic uporabe storitev in podatkov med samimi aplikacijami ter tudi sistemom. Zato ima Android in njegove aplikacije dodelan podroben način 7

18 Šifriran datotečni sistem za upravljanje s pravicami, ki jih lahko ima vsaka aplikacija. Seveda je težnja k temu, da aplikacija uporablja minimalni nabor pravic, ki jih potrebuje za svoje delovanje, in ne kar celotnega nabora. Poleg izolacije zaganjanja aplikacij omogoča Android tudi šifriranje celotnega datotečnega sistema. S tem so podatki v primeru izgube naprave šifrirani in potencialni napadalci ne morejo dostopati do njih ter jih zlorabiti. Ta funkcionalnost se je v bližnji preteklosti uporabljala samo v zanemarljivem obsegu, zadnje čase pa je vse bolj v uporabi. Poleg teh zaščitnih mehanizmov, ki jih omogoča sama platforma Android, se razvijalci poslužujejo tudi drugih načinov, kako otežiti delo različnim potencialnim napadalcem ali pa nenazadnje tudi varnostnim raziskovalcem, ki raziskujejo varnostne pomanjkljivosti v Android aplikacijah. Kot vemo, je možno mobilne Android aplikacije zelo enostavno z obratnim inženirstvom (angl. reverse engineering) pretvoriti v izvorno kodo. Torej takšno kodo, kot so jo pisali razvijalci, in s tem pridobiti vpogled v samo delovanje aplikacije in tudi v podatkovne strukture, ki so jih uporabljali razvijalci. Tukaj seveda govorimo o aplikacijah, ki so bile razvite v programske jeziku Java in ne kot»domorodne«aplikacije ali kot knjižnice, ki jih je tudi možno razvijati na Androidu. Postopek obratnega inženirstva bo opisan pozneje, vendar se bomo zdaj samo dotaknili dela, ki ga razvijalci uporabljajo. V veliki večini obratnega inženirstva Android aplikacij je mogoče opaziti, da razvijalci pred objavo v trgovini Google Play izvedejo različne vrste skrivanja izvorne kode (angl. obfuscation) aplikacije. V večini primerov gre za preimenovanje razredov in spremenljivk pred ali po prevajanju kode. Tako dobimo veliko razredov z imenom a, b, c, ki vsebujejo spremenljivke a, b, c in podobne. S takšnim enostavnim trikom je zelo težko napadalcu in tudi varnostnemu raziskovalcu ustrezno analizirati aplikacijo, saj nesmiselna imena ni možno ustrezno hraniti v človeškem spominu. Primer uporabe prikrivanja izvirne kode je prikazan na sliki 2.6, kjer je lepo viden tudi opisan način prikrivanja z uporabo objektov z imeni a, b, c in podobnimi. 8

19 Slika 2.6: Primer skrivanja izvorne kode Android aplikacije 2.4 Analize mobilnih aplikacij na platformi Android Pri varnostni analizi mobilnih aplikacij je pomembno, da se preverijo vsi kritični in pomembni elementi aplikacije. Kateri elementi so to, je včasih težko specificirati in velikokrat imajo s tem težave tudi naročniki, ki naročajo varnostne preglede. Zato obstajajo na tem področju tudi zametki določene standardizacije izvedbe takšnih pregledov, kar omogoča ponovljivost in tudi poenotenje za različne platforme in tipe pregledov. Glede na to, da se večina Android aplikacij obnaša kot na primer spletne aplikacije, kar pomeni, da komunicirajo s strežnikom, hranijo pri sebi določen del podatkov in uporabljajo protokol HTTP ali njemu podobnega, se je organizacija OWASP odločila, da začne delati podobna priporočila tudi za mobilne aplikacije, kot jih že nekaj let pripravlja za spletne aplikacije. Na njihovi spletni strani [7] je že mogoče dobiti priporočila, kakšna testiranja je potrebno izvesti pri varnostni analizi mobilne aplikacije. Tako lahko v predlogu seznama najdemo področja, ki jih je potrebno ustrezno preveriti pri samem pregledu. Ta področja vsebujejo različne vidike preverjanja, in sicer od ustreznosti povezav do strežnika, šifriranja podatkov med samim prenosom in tudi šifriranja hranjenih podatkov, ustreznosti izbire algoritmov, izrabe pomanjkljivosti pri procesu avtentikacije in mnogih drugih. Ker je 9

20 to področje preverjanja mobilnih aplikacij še precej novo, se ta seznam neprestano dopolnjuje. Tak seznam je mogoče najti na spletni strani [7], primer preverjanja na strani odjemalca lahko vidimo na sliki 2.7. Ta seznam nam lahko služi kot zelo dobra podlaga za sistematičen pristop k varnostni analizi mobilne aplikacije. Slika 2.7: Prikaz nekaterih preverjanj mobilne aplikacije [7] Glede na zgoraj opisane načine bi osnovna varnostna analiza mobilne aplikacije morala zajemati analizo naslednjih področij, da bi lahko bilo na podlagi rezultatov možno podati oceno o varnosti same aplikacije: varnost transportne poti: nešifrirano prenašanje podatkov, pomanjkljivo delo s sejami, preverjanje digitalnih potrdil, zaščite prevajalnika: preverjanje, ali ima naprava omogočen korenski dostop, druga preverjanja zaščite prevajalnikov, ne varno shranjevanje podatkov: shranjevanje v podatkovno bazo tipa SQLite, začasno (predpomnjeno) shranjevanje podatkov, 10

21 preverjanje dnevniških datotek, vodenje dnevnikov: posebne dnevniške datoteke, podatki o zrušitvi aplikacij in pripadajoče datoteke, binarna analiza: razhroščevanje in tvorjenje programske kode v izvornem jeziku iz binarne kode aplikacije, detekcija skrivanja izvorne kode, detekcija protirazhroščevalnih zaščit, vrivanje na strani uporabnika, uporaba drugih knjižnic. Drugi pomemben dokument, ki ga OWASP pripravlja v sklopu varnostne analize mobilne aplikacije, je tako tako imenovan OWASP Top 10. Že vrsto let namreč OWASP uspešno pripravlja seznam OWASP Top 10 za spletne aplikacije. Na tem seznamu se znajdejo tipične varnostne pomanjkljivosti, ki jih različni strokovnjaki odkrivajo pri varnostnih analizah spletnih aplikacij. Vsakih nekaj let potem preverijo, ali se je na tem področju glede na njihove izkušnje kaj spremenilo, in ustrezno spremenijo seznam ter dodajo kakšne nove tipične pomanjkljivosti ali kakšno odstranijo. Organizacija OWASP je zato po tem dobrem zgledu začela s pripravo OWASP Mobile Top 10. Zaradi specifike mobilnih aplikacij se ta seznam razlikuje od seznama za spletne aplikacije, vendar pa vseeno na njem najdemo kakšno pomanjkljivost s seznama spletnih aplikacij. Če izpostavimo dve najpomembnejši pomanjkljivosti, najdemo na prvem mestu nepravilno rabo same platforme. To pomeni, da razvijalci v popolnosti ne razumejo ali pa ne izkoristijo varnostne kontrole, ki jo ponuja sama platforma, in s tem povečajo ogroženost podatkov, ki jih aplikacija shranjuje ali obdeluje. Druga izpostavljena pomanjkljivost je pomanjkljivo varno hranjenje podatkov. Seznam teh pomanjkljivosti je dober začetek za vsakega razvijalca, saj je dobro biti seznanjen s potencialnimi najpogostejšimi napakami, kajti le-tako se lahko s tem izognemo njihovi implementaciji v lastnih aplikacijah. Vseh deset najpogostejših varnostnih pomanjkljivosti navajamo na sliki

22 Slika 2.8: Primer OWASP Mobile Top 10 varnostnih pomanjkljivosti [8] 12

23 3 PRAKTIČNI PRISTOPI K ANALIZI APLIKACIJ NA PLATFORMI ANDROID Analize mobilnih Android aplikacij se lahko lotimo na več načinov. Najbolj uveljavljena načina analize sta statična analiza in dinamična analiza. V primeru statične analize z uporabo obratnega inženirstva pridobimo delno izvorno kodo, ki jo lahko potem analiziramo. Pri dinamičnem načinu pa z uporabo razhroščevalnika in spremljanjem prenosa podatkov med aplikacijo in strežnikom analiziramo njeno dogajanje v samem izvajanju. Omeniti velja tudi, da so se začela pojavljati programska oprema in določeni paketi, ki nekatere teste izvedejo avtomatsko in nam hitro podajo mnenje o področjih varnosti mobilne aplikacije. Takšni hitri testi lahko služijo kot dobre orientacijske usmeritve pri sami podrobni izvedbi varnostne analize. 3.1 Statična analiza Pri izvedbi statične analize mobilne aplikacije se poskušamo približati stanju v postopku razvoja, v katerem je bil razvijalec pri razvoju same mobilne aplikacije. Torej nekako poskušamo priti nazaj in zaradi tega se ta način imenuje tudi obratno inženirstvo. Glede na naravo samega programskega jezika Java, v katerem so razvite mobilne aplikacije, je to v tem primeru še mnogo lažje, saj obstajajo orodja, ki omogočajo pridobiti iz vmesnega programja precej dober približek sami izvorni kodi, ki jo je razvil razvijalec mobilne aplikacije. Ta postopek ni uporaben za knjižnice ali pomožne programe, ki so bili napisani v»domorodnem«programskem jeziku C in jih lahko sama mobilna aplikacija tudi vsebuje ter uporablja Obratno inženirstvo mobilne aplikacije Sam proces statične analize se začne s pridobitvijo datoteke APK, ki jo lahko prenesemo s telefona ali pa jo pridobimo s kakšnih spletnih storitev, ki jih trgovine Google Play prenesejo namesto nas. Takšen primer je storitev apkpure [9], pri kateri lahko vpišemo samo ID aplikacije in potem nam spletna stran omogoči, da z njeno pomočjo prenesemo poljubno aplikacijo in jo shranimo na svoj disk s končnico.apk. Format APK smo sicer opisali že prej, vendar naj spomnimo, da se da njegovo vsebino enostavno pogledati, če spremenimo končnico v.zip in odkompresiramo datoteko. Za 13

24 delo z datotekami apk lahko uporabljamo več orodij, vendar je najbolj razširjeno in tudi najbolj uporabljeno orodje apktool [10]. Z uporabo tega orodja se lahko najbolj približamo željenemu stanju, kjer se na primer datoteke AndroidManifest.xml in drugi viri v binarni obliki, zapakirani v aplikaciji, pretvorijo v dokaj berljivo obliko. Z uporabo tega orodja lahko iz datoteke classes.dex pridobimo tudi več datotek v zbirnem jeziku Smali, ki je dejansko zbirnik za strojno kodo Dalvik. Uporaba teh orodij omogoča tudi delno avtomatizacijo, zato so zelo primerne za uporabo v različnih skriptnih jezikih, kar precej olajša delo z večjim številom mobilnih aplikacij. Datoteko classes.dex, ki jo najdemo v apk-ju, lahko pretvorimo tudi v zbirni jezik Smali z istoimenskim orodjem. Če želimo to datoteko spreminjati in jo pozneje tudi uporabiti, lahko uporabimo orodje Backsmali [11]. Če želimo dobiti še bolj berljivo kodo, uporabimo orodje dex2jar, ki dejansko datoteko classes.dex pretvori v strojno kodo Java s končnico datoteke jar. To datoteko jar lahko potem na primer odpremo z orodjem JD-GUI [12]. Seveda lahko uporabimo tudi kakšno drugo orodje za ta zadnji korak, saj smo opazili, da pri določenih aplikacijah orodje ne vrne v celoti izvorne programske kode in ostanejo nekateri deli manjkajoči, te dele potem težje analiziramo. Takšen primer v celotni nepovrnjene vmesne kode lahko vidimo na sliki 3.1. Navedene korake bi lahko torej strnili v naslednje zaporedje za pridobitev izvorne kode iz apk datoteke: 1. pridobitev datoteke apk, 2. razširitev datotek in pridobitev datoteke classes.dex, 3. zagon orodja dex2jar, 4. decompile jar v javanske datoteke, 5. pregled datotek in analiza. 14

25 Slika 3.1: Primer delne pridobitve izvorne kode Ko na ta način pridemo do dovolj kvalitetne izvorne kode, se je potrebno lotiti pregleda dobljene izvorne kode. Kot vidimo na sliki 3.2, lahko v nekaterih primerih enostavno pridemo do dela izvorne kode, ki shrani vrednosti na strežnik. Po tem hitrem pregledu je možno podoben klic izvesti kar v brskalniku in s tem recimo obiti kontrole v sami mobilni aplikaciji ali potencialno tudi goljufati, v kolikor gre za analizo kakšne mobilne igre. Slika 3.2: Primer odkritja pomanjkljivosti na podlagi statične analize 15

26 Glede na velikost same mobilne aplikacije se lahko zgodi, da je potrebno preveriti veliko število razredov in metod ter razumeti interakcijo med njimi. Seveda je v primeru velike aplikacije to precej težko, zato je smiselno definirati nekatera prioritetna področja za analizo. Takšna področja za analizo statične kode so na primer: shranjevanje podatkov, uporaba šifriranja in manj varnih algoritmov, nepravilno ravnanje s sejo, zapisovanje v dnevniške datoteke. Če na primer izberemo področje shranjevanja podatkov, je potem pri analizi kode potrebno ugotoviti, kje in na kakšen način mobilna aplikacija shranjuje podatke ter kdo ima poleg nje še dostop do teh podatkov. Zavedati se namreč moramo, da lahko mobilna aplikacija shranjuje podatke na več načinov, na primer: kot nastavitve v skupni rabi, na notranji pomnilnik v napravi, na zunanjo spominsko kartico, v kolikor jo naprava ima, v podatkovno bazo, ki je največkrat tipa SQLite, na spletni strežnik, s katerim komunicira. Takšna statična analiza zna biti precej dolgočasna in zamudna, zato je bilo na podlagi analize nekaterih mobilnih aplikacij razvito orodje Apkyzer. To orodje uporablja že prej našteta orodja in enak postopek od apk-ja do pridobitve izvorne kode mobilne aplikacije. Tako orodje omogoča iskanje po klasičnih nizih, ki na primer shranjujejo podatke, lahko pa uporabnik še sam doda določene regularne izraze, s katerimi preverimo komunikacijo po protokolu HTTP ali uporabo kakšnih API ključev, ki so jih razvijalci pozabili v aplikacijah. Primer zagona orodja Apkyzer in njegovega izhoda lahko vidimo na sliki

27 Slika 3.3: Prikaz rezultatov orodja Apkyzer 3.2 Dinamična analiza V prejšnjem poglavju smo si ogledali statično analizo mobilne aplikacije, a takšna analiza ni vedno dovolj, saj ne vsebuje informacij o tem, kakšna je komunikacija s strežnikom, kakšne podatke aplikacija obdeluje med njenim delovanjem in kakšne podatke je možno vnesti v samo mobilno aplikacijo. Zato je smiselna tudi dinamična analiza mobilne aplikacije, kjer preverjamo stanja aplikacije med njenim izvajanjem in poskušamo vplivati na njeno delovanje. Pri izvedbi dinamične analize lahko to izvajamo na več različnih načinov in z uporabo različnih pomožnih orodij, ki nam lahko precej olajšajo delo. Prvi najbolj enostaven pristop je uporaba prestrezanja komunikacije mobilne aplikacije s strežnikom. Velika večina mobilnih aplikacij namreč komunicira z zalednimi strežniki, saj je nemogoče na samih napravah hraniti veliko število informacij. V ta namen se uporablja posredniški strežnik (angl. proxy server), ki se vrine med aplikacijo in zaledni strežnik. S tem posredniškim strežnikom je mogoče prestrezati komunikacijo, ki uporablja protokol http, in preverjati, kaj se dejansko pošilja na strežnik. Seveda je to možno le za mobilne aplikacije, ki upoštevajo nastavitve posredniškega strežnika na napravi, iz lastnih izkušenj pa lahko rečemo, da večina aplikacij te nastavitve upošteva. Za nekatere aplikacije, ki komunicirajo preko protokola HTTPS, je potrebno na napravo namestiti še digitalno potrdilo posredniškega strežnika in ga dodati med zaupanja vredne izdajatelje, saj 17

28 drugače naprava ne bo upoštevala digitalnega potrdila kot zaupanja vrednega in se povezava ne bo vzpostavila. Nastavitve posredniškega strežnika nastavimo pri naprednih nastavitvah brezžičnega omrežja na sami napravi. Na tak način lahko prestrezamo nešifrirane in tudi SSL šifrirane povezave z zalednimi strežniki. V kolikor pa poleg SSL šifriranja aplikacija uporablja še dodatne mehanizme šifriranja podatkov, potem ta način ne bo dal želenih rezultatov, saj bomo promet prestregli, vendar bo neberljiv. Dodatno oviro predstavljajo tudi nekatere aplikacije, ki preverjajo digitalno potrdilo strežnika in v kolikor se ne ujema s tistim, ki ga imajo zapisanega v sami aplikaciji, ne vzpostavijo povezave. Za takšne primere je potrebno ustrezno spremeniti aplikacijo, da se obide preverjanje digitalnega potrdila, a je to opravilo precej zamudno in zahteva precej prakse pri analizi mobilnih aplikacij. Ena izmed možnosti za analizo je tudi uporaba razhroščevalnika. Z razhroščevalnikom se lahko povežemo preko naprave ali emulatorja naprave na sam proces, v katerem teče aplikacija, ki jo želimo preveriti. Potem lahko z nastavljanjem različnih kontrolnih točk ustavljanja dosežemo, da se v želenih delih aplikacija ustavi. Po korakih lahko nadaljujemo z izvajanjem analize aplikacije in preverjamo njena stanja ter vrednosti, ki jih ima aplikacija nastavljene. Tako opravilo je precej zamudno in zahteva podrobno poznavanje mobilnih aplikacij. Dodatni pristop, ki omogoča analizo mobilne aplikacije in je precej bolj invaziven, ker spreminja tudi vsebino aplikacije, je t. i. pristop z vgradnjo stranskih vrat v aplikacijo. Ta stranska vrata služijo za povezavo med aplikacijo in orodjem za upravljanje ter omogočajo dostop do stanja mobilne aplikacije. Na tem področju je mogoče najti tudi rešitev Fino [24], ki je bila predstavljena na eni izmed varnostnih konferenc. Orodje Fino uporablja programski jezik Python in je vmesni most med aplikacijo ter ukaznim orodjem. Skripta za namestitev namreč namesti storitev, ki je izpostavljena in tako dosegljiva drugim mobilnim aplikacijam. Storitev odjemalcem omogoča povezovanje do ciljne aplikacije. Orodje Fino uporablja lastnost Reflection v programskem jeziku Java, ki omogoča dostop do objektov, metod in spremenljivk mobilne aplikacije. Na ta način je omogočen dostop do vseh tipov spremenljivk ne glede na njihov tip in tudi spreminjanje njihove vrednosti ter klicanja metod objektov. Tako je dejansko možno pridobiti dostop in nadzor nad celotno aplikacijo med njenim izvajanjem. 18

29 3.2.1 Primer dinamične analize z orodjem Vaccine Zgoraj opisani princip dinamične analize s stranskimi vrati je bil uporabljen v primeru lastnega razvoja orodja za dinamično analizo, ki smo ga poimenovali Vaccine. Ime Vaccine je bilo izbrano na podlagi tega, ker dejansko mobilno aplikacijo cepimo z našim dodatkom, ki nam omogoči stranska vrata. Avtor večine programske kode je bil sodelavec Danijel Grah, s katerim sva rezultate lastnega razvoja prikazala na različnih varnostnih konferencah, saj je način in izvedba samega orodja zelo zanimiva ter učinkovita. Tako sva ta način analize predstavila na 19. konferenci OTS [21]. Dejansko je Vaccine orodje, ki v dano mobilno aplikacijo vrine dodatno storitev, ki omogoča povezavo z grafičnim vmesnikom, namesti spremenjeno mobilno aplikacijo na telefon ali simulator mobilne naprave, zažene storitev in se avtomatsko poveže nanjo. Ko je povezava vzpostavljena, se prikaže grafični vmesnik, ki služi kot vstopna točka za dinamično analizo. Orodje Vaccine je na voljo vsem uporabnikom na GitHub računu podjetja Viris [25]. Glavni del skripte Vaccine je priprava mobilne aplikacije. Delovanje skripte, ki poskrbi za celoten proces, bi lahko strnili v naslednje korake: razširitev mobilne aplikacije, pridobitev smali kode iz datoteke classes.dex, vrivanje storitve in dodatnih knjižnic, prevajanje smali kode v datoteko classes.dex, zamenjava datotek classes.dex in AndroidManifest.xml, odstranjevanje digitalnega podpisa, podpisovanje mobilne aplikacije, namestitev mobilne aplikacije, zagon vrinjene storitve, povezava do mobilne aplikacije in zagon grafičnega uporabniškega vmesnika. Naštete korake izvede skripta, ki je ena izmed komponent orodja Vaccine. Arhitekturo orodja z okoljem, ki je potrebno za dinamično analizo z Vaccine, prikazuje naslednja slika

30 Slika 3.4: Shema orodja Vaccine Pri izvajanju orodja poteka komunikacija med mobilno aplikacijo in operacijskim sistemom preko protokola TCP, in sicer s pomočjo orodja Adb. Orodje Adb je del ogrodja Adt. Vaccine poleg vrinjene storitve, ki je osnova, vrine še dodatno knjižnico z imenom Beanshell, ki dejansko omogoča izvajanje Java kode v realnem času brez predhodnega prevajanja, kar pomeni, da aplikacije ni potrebno vedno prevajati, ampak imamo prevajalnik in interpreter kode ves čas na razpolago, kar omogoča, da je pisanje in izvajanje programske kode precej enostavno. Zaradi enostavnosti je Vaccine grafični vmesnik kot tudi komponenta za spreminjanje datoteke AndroidManifest.xml napisan v Javi. S tem so se tudi precej poenotile tehnologije, ki so v interakciji z mobilno aplikacijo. Sam grafični vmesnik orodja Vaccine (slika 3.5) je sestavljen iz treh glavnih delov, kjer je v levem zgornjem delu hierarhično urejena drevesna struktura z obstoječimi objekti, ki jih aplikacija uporablja med svojim izvajanjem. En nivo pod korenskim vozliščem se prikazujejo aktivnosti, ki se avtomatsko dodajajo in odstranjujejo med samim izvajanjem. V tem delu lahko s klikanjem z miško pridemo do vseh metod in spremenljivk objektov. Do teh spremenljivk pridemo z uporabo Java Reflection. V desnem zgornjem delu sta na voljo dva pogleda, in sicer Info, kjer lahko vidimo osnovne podatke o izbranem objektu, in drugi Watch, kjer si lahko nastavimo poljubne objekte in 20

31 spremljamo njihove trenutne vrednosti. Ta del vmesnika se v rednih časovnih intervalih tudi osvežuje. Grafični vmesnik orodja Vaccine je prikazan na sliki 3.5. Tretji in najpomembnejši del grafičnega vmesnika je namenjen pisanju skript, in sicer direktno v programskem jeziku Java ali v jeziku, ki ga podpira knjižnica BeanShell. V tem delu lahko pišemo poljubno kodo, ki se potem ob pritisku na gumb Execute tudi izvede v sami mobilni aplikaciji. V primeru napačnega vnosa ali nepravilno vnesene kode pa se napaka izpiše v dnevniško datoteko, ki jo lahko spremljamo preko ukazov orodja Adb. S takšnim načinom pridobimo dostop do poljubnih razredov aplikacije, klicev metod in spremenljivk na zelo enostaven in preprost način ter lahko spreminjamo vrednosti skozi samo izvajanje aplikacije. S pisanjem preprostih skript pa lahko pridobimo dostop od izvajalnih metod same aplikacije. Kot primer naj navedem, da je med predstavitvami tega orodja na različnih varnostnih konferencah nama s sodelavcem uspelo samo v nekaj vrsticah kode pripraviti mobilno igrico do tega, da je lahko igralec vsakič zmagal. Slika 3.5: Grafični vmesnik Vaccine 21

32 3.3 Uporaba različnih drugih orodij Glede na vse večjo potrebo po hitri varnostni analizi mobilnih aplikacij so razvijalci na tem področju slutili potrebo po bolj enostavnih načinih izvedb hitrih analiz. Zato so se začela razvijati različna orodja za takšno izvedbo. Večina orodij sicer uporablja enako programsko opremo in orodja, kot smo jih že prej našteli, vendar nekatera dodajo še recimo več orodij za pretvorbo binarne kode nazaj v izvorno, kar omogoča večjo uspešnost pri izvedbi opravila, saj so nekatera orodja boljša kot druga. Tako je trenutno moč najti različna orodja, ki jih lahko zaženemo lokalno na našem računalniku, vendar je potrebno vedeti, da jih večina zahteva točno določene različice programske opreme in dokaj zahtevno vzpostavitev okolja. Nekatera orodja omogočajo tudi analizo v že pripravljenem virtualnem okolju, kar pa predstavlja precej lažjo analizo, saj so ustrezne različice programske opreme že nameščene. Nekatera orodja omogočajo tudi spletno različico, pri kateri na njihove strežnike naložimo mobilno aplikacijo in po končani analizi orodje prikaže poročilo o analizi. Kljub temu da lahko dajo takšna orodja veliko koristnih informacij in potencialnih pomanjkljivosti, je potrebno rezultate še vedno preveriti ročno ter najti tudi kakšne pomanjkljivosti, ki jih orodja označijo kot pomanjkljivosti, a se potem pri preverjanju izkažejo, da to vseeno niso. Zatorej je ročno preverjanje še vedno precej dober način, da se ugotovijo tudi takšne manj vidne pomanjkljivosti, ki bi jih drugače orodje izpustilo. V nadaljevanju bomo na kratko predstavili nekaj orodij, ki so lahko pri varnostni analizi v hitro pomoč. Za varnostno analizo je bila uporabljena aplikacija FERI urnik [17], ki omogoča pregled urnikov. To aplikacijo smo našli na spletni strani FERI [18] in je bila razvita s strani dveh študentov FERI QARK QARK [19] je prosto dostopno orodje, ki mogoča hitro varnostno analizo najpogostejših napak v mobilnih aplikacijah. Za svoje delovanje zahteva Python in je precej enostaven za uporabo. Za analizo datoteke apk jo moramo imeti dostopno na datotečnem sistemu ali pa jo lahko potegnemo v samo aplikacijo preko uporabe orodja Adb. Z uporabo različnih povratnih prevajalnikov binarne kode v izvorno poskuša QARK pridobiti nazaj izvorno kodo in na njej potem izvršiti statično analizo. QARK tudi omogoča, da modificira sam apk in potem še dodatno izvede delno dinamično analizo, da lahko potrdi ali ovrže potencialno najdene pomanjkljivosti. Po izvedbi analize tvori HTML datoteko z rezultati. Na sliki

33 lahko vidimo izvajanje analize z orodjem QARK, na sliki 3.7 pa vidimo rezultate, ki jih dobimo z uporabo orodja. Slika 3.6: Primer zagona orodja QARK Slika 3.7: Primer rezultata analize z orodjem QARK 23

34 3.3.2 Dexter Orodje Dexter [20] je spletno interaktivno orodje za statično analizo mobilnih aplikacij. Omogoča interaktivno analizo in sočasno delo večjemu številu uporabnikov. Poleg analize omogoča tudi označevanje in zmogljiv API vmesnik. Pri tem orodju ni potrebno na svojo delovno postajo nameščati ničesar, saj potrebujemo samo apk datoteko z mobilno aplikacijo, ki jo potem naložimo preko spletne aplikacije. Aplikacija analizira datoteko in po izvedbi analize prikaže rezultate analize. Za uporabo aplikacije se je potrebno registrirati in ni znano, za kakšne namene se uporabljajo rezultati analize orodja. Osnovni pogled uporabe orodja prikazuje slika 3.8. Slika 3.8: Osnovni prikaz analize z orodjem Dexter Prednost orodja Dexter pred drugimi orodji je tudi v pregledu razredov in povezav med njimi, prikazu skrite izvorne kode in nizov najdenih v izvorni kodi. Na ta način omogoča enostavno brskanje in korelacijo med razredi brez uporabe dodatnih orodij in samo z uporabo spletnega brskalnika. To funkcionalnost lahko vidimo na sliki

35 Slika 3.9: Prikaz brskanja po razredih aplikacije z orodjem Dexter APK analyzer Hkrati s porastom števila aplikacij za platformo Android raste tudi število mobilnih aplikacij, ki vsebujejo škodljivo kodo in so namenjene zlonamerni uporabi ter kraji podatkov. Tako po nekaterih analizah rastejo primerki škodljive kode za Android kar eksponentno [22], kar je razvidno iz slike 3.10, ki prikazuje število novih vzorcev s škodljivo kodo. Zato so na voljo tudi storitve, kot na primer APK analyzer, ki omogočajo hitro preverjanje mobilnih aplikacij glede različnih tipov škodljive kode. Slika 3.10: Prikaz rasti števila škodljive kode za Android APK analyzer omogoča, da uporabnik pred namestitvijo mobilne aplikacije na svojo napravo preveri, ali mobilna aplikacija vsebuje kakšne znake škodljive programske opreme. Analiza je narejena avtomatsko in v prosto dostopni različici so rezultati analize 25

36 dostopni vsem. Primer rezultatov analize potencialno škodljive programske opreme lahko najdemo na naslednjem spletnem naslovu in rezultat pregleda prikazuje slika Slika 3.11: Prikaz rezultata potencialno škodljive mobilne aplikacije 26

37 4 VARNOSTNA TVEGANJA Glede na naravo Android aplikacij, ki jih je mogoče enostavno analizirati z uporabo metod obratnega inženirstva, lahko ugotovimo, da obstajajo resna varnostna tveganja pri nameščanju in uporabi Android mobilnih aplikacij. Na ta varnostna tveganja lahko gledamo z dveh različnih zornih kotov. Nekaterih tveganj bi se morali zavedati že sami razvijalci aplikacij, saj lahko določena tveganja z uporabo varnostnih ukrepov bistveno zmanjšajo ali pa potencialnim napadalcem na njihove aplikacije vsaj povzročijo težave pri analizi. Razvijalci pa tudi v samih aplikacijah velikokrat pustijo stvari, ki jim olajšajo razhroščevanje in analizo v primeru težav, vendar so takšni podatki lahko zelo koristni napadalcem in jim omogočajo dodatne informacije v primeru analiziranja aplikacij. Takšne pomanjkljivosti so velikokrat posledica posvečanja premalo pozornosti izobraževanju razvijalcev s področja informacijske varnosti in nerazumevanja potencialnih napadov na mobilne aplikacije. Na drugi strani pa bi se morali varnostnih tveganj zavedati tudi sami uporabniki Android naprav. Če povzamemo čisto enostaven primer, se večina uporabnikov ne zaveda, da lahko že s pridobitvijo korenskega dostopa [23] do naprave (angl. rooted) bistveno povečajo varnostna tveganja pri uporabi naprave. S takšnim korenskim dostopom dobimo popoln nadzor nad dogajanjem v operacijskem sistemu svojega telefona in lahko pridobimo dostop do vseh podatkov na sami napravi. 4.1 Varnostna tveganja na strani proizvajalcev aplikacij Nekatera varnostna tveganja je možno zmanjšati že na strani proizvajalcev aplikacij, a je za to potreben dodaten vložek, poleg poznavanja razvoja mobilnih aplikacij. Tako je potrebno segment varnosti in predvsem zavedanja o potencialnih nevarnostih, ki prežijo na mobilne aplikacije, vgraditi v sam razvojni proces. Velikokrat se namreč zgodi, da se varnostnim vprašanjem posveti pozornost šele na koncu razvoja in ne že v sami začetni fazi, tako posledično odprava teh pomanjkljivosti potem stane veliko več, kot če bi se o tem začelo razmišljati že v snovanju same mobilne aplikacije Pisanje občutljivih podatkov v dnevniške datoteke Razvijalci mobilnih aplikacij si pri razvoju aplikacij velikokrat v izogib razhroščevanju pomagajo s tem, da nekatere podatke pišejo v dnevniške datoteke in tako sledijo vnosnim 27

38 podatkom ali toku dogajanja v aplikaciji. Ti podatki se nahajajo v dnevniških datotekah sistema ali same aplikacije, v redkih primerih pa jih je možno najti tudi v podatkovnih bazah mobilnih aplikacij. Velika večina teh podatkov ni zanimivih, saj se velikokrat nanašajo na klic stanj v sami aplikaciji, vendar se zaradi enostavnosti uporabe takšnega načina med podatki znajdejo tudi takšni, ki pritegnejo pozornost potencialnih napadalcev. Tako je med zanimivi podatki v dnevniških datotekah mogoče najti naslednje podatke: uporabniška imena, uporabniška gesla, številke računov, vnosne podatke uporabnika, šifrirano vsebino, ki je v dnevniških datotekah zapisana v berljivi obliki Neuporaba metod obfuskacije Kot je bilo že prej omenjeno, programski jezika Java omogoča precej enostavno obratno inženirstvo in s tem pridobitev izvorne programske kode. Z uporabo različnih tehnik skrivanja izvorne kode se dostop do izvorne kode bistveno oteži. Glede na lastna opažanja pri analizi aplikacij lahko ugotovimo, da nekateri manj vešči razvijalci te možnosti ne izkoriščajo, kljub temu da ima večina razvojnih orodij to možnost že na voljo. Tako na primer funkcionalnost Proguard v razvojem okolju Android Studio [13] na enostaven način omogoča, da se vklopi možnost skrivanja izvorne kode za končno različico aplikacije, ki je pozneje objavljena na Google Play. Proguard namreč poskrbi za to, da se koda aplikacije zmanjša, optimizira izvajanje kode in izvede skrivanje izvorne kode Java imen metod, razredov in spremenljivk. Glede na izkušnje lahko trdimo, da najbolj napredne metode skrivanja izvorne kode trenutno uporabljajo pisci škodljivih mobilnih aplikacij, saj se zelo trudijo, da ščitijo njihovo investicijo. Lahek način analize njihove aplikacije bi za njih pomenil izgubo prihodkov in zato dosti časa ter energije vložijo v to, da bi čimbolj otežili delo različnim skupinam, ki želijo analizirati njihovo aplikacijo Neuporaba šifriranja pri prenosu podatkov Pri analizi mobilnih aplikacij je velikokrat možno ugotoviti, da aplikacije za komunikacijo z zalednimi strežniki ali drugimi storitvami ne uporabljajo šifriranja prenosnega kanala. Tako 28

39 je možno na prenosni poti na enostaven način prestrezati podatke med aplikacijo in zalednimi strežniki ter jo v določenih primerih tudi spreminjati. Izostanek šifriranja komunikacijskega kanala lahko pomeni visoko varnostno tveganje, saj se z mobilnimi napravami povezujemo na različna brezžična omrežja, za katera ne vemo, kakšne potencialne grožnje lahko predstavljajo in s kakšnim namenom, poleg omogočanja prostega dostopa do Interneta, so bila postavljena. Na tem področju se že pripravljajo določene spremembe in Android že razmišlja v podobni smeri kot tudi Apple, da bi morale aplikacije, objavljene v njihovih trgovinah, uporabljati šifriranje prenosov po transportnem kanalu. V nasprotnem primeru jim ne bi dovolili objave v njihovi storitvi Neuporaba zaščitnih mehanizmov V enem izmed predhodnih poglavij so že bili našteti nekateri zaščitni mehanizmi, ki jih sama platforma Android omogoča. Vsekakor je smiselno te zaščitne mehanizme preveriti pri samem snovanju aplikacije in jih pozneje tudi vključiti v sam razvojni cikel. Velikokrat je namreč izostanek uporabe zaščitnih mehanizmov posledica tega, da razvijalci enostavno ne poznajo vseh možnosti, ki jih platforma ponuja, in velikokrat so pri tem v igri tudi zaščitni mehanizmi. Platforma Android je danes postala že precej obširna in je zato sledenje ter poznavanje različnih opcij ključnega pomena za kvaliteten razvoj in varno aplikacijo pozneje Neprimerna hramba občutljivih podatkov Nekatere aplikacije hranijo podatke na strežnikih in jih po potrebi sinhronizirajo z lokalnimi podatki pri sebi, nekatere aplikacije pa zaradi hitrejšega prenosa in manjše porabe pasovne širine hranijo podatke na sami napravi. Večina aplikacij za hranjenje podatkov uporablja podatkovno bazo SQLite, v katero shranjujejo različne tipe podatkov. Velikokrat pa se zgodi, da so ti podatki shranjeni v nešifrirani obliki in jih je enostavno prebrati, sploh če je bil na telefonu omogočen korenski dostop. Bolj kritične aplikacije uporabljajo za hrambo kritičnih podatkov šifrirane shrambe, vendar se je potrebno zavedati tveganja, da v kolikor aplikacija uporablja šifriranje, mora tudi sama poznati ključ za odšifriranje, kar pomeni, da mora biti ključ nekje na napravi. V kolikor je ključ prisoten, se ga da na nek način tudi pridobiti in odkleniti šifrirane podatke. Zato je smiselno o hrambi občutljivih podatkov na sami napravi dobro premisliti in se tega lotiti z veliko mero pazljivosti. 29

40 4.2 Tveganja na strani uporabnikov Nameščanje aplikacij iz nepreverjenih virov Velika večina naprav ne mogoča kot privzeto nameščanje aplikacij iz nepreverjenih virov. To opcijo morajo uporabniki sami vklopiti in pred tem dobijo še varnostno obvestilo, da lahko takšna aktivnost pomeni bistveno grožnjo njihovemu sistemu in podatkom, ki jih hranijo na njem. Aplikacije, ki so javno objavljene v trgovini Google Play, so preverjene vsaj z osnovnega stališča varnosti samih aplikacij in pomenijo bistveno manjše tveganje kot pa namestitev aplikacije iz sumljivega vira. Še posebej visoko tveganje pomeni nameščanje aplikacij iz nepreverjenih virov na službene naprave, ki lahko vsebujejo druge občutljive podatke Tveganje ob izgubi mobilne naprave Poleg napadov na mobilne aplikacije ali promet med aplikacijo in strežnikom pa obstaja tudi precej veliko tveganje glede izgube ali celo kraje mobilne naprave. Po nekaterih podatkih [14] naj bi bil vsak šesti uporabnik mobilnih naprav podvržen bodisi izgubi ali kraji mobilne naprave. Seveda so pri tej statistiki vštete tudi tablice in mobilni telefoni, vendar več različnih statistik kaže, da se na letališčih in taksijih v večjih mestih vsako leto najde na tisoče pozabljenih ali izgubljenih telefonov. Vsekakor pa ljudje ne izgubljajo samo naprav, ampak se z izgubo naprave izgubijo tudi njihovi osebni podatki, ki lahko presegajo vrednost naprave. Tako se strošek na izgubljeno napravo lahko bistveno poveča in ni več enak sami vrednosti naprave. V kolikor na napravi seveda ni uporabljenih nobenih varnostnih mehanizmov, kot na primer geslo ali vzorec za odklepanje naprave, šifriranje celotne naprave, so lahko takšne izgubljene naprave precej lahka tarča za napadalce. V primeru izgube imajo napadalci tako ne samo dostop do mobilne naprave, ampak do celotne digitalne identitete uporabnika naprave, kar lahko s pridom izkoristijo kot odskočno desko za nadaljnje napade ali za napade na ljudi iz omrežja uporabnika Pridobitev korenskega dostopa naprave (angl. rootanje) Vsak proizvajalec mobilnih naprav proizvaja naprave s sistemi Android, ki ne omogočajo t. i.»root«oziroma korenskega dostopa uporabnikom. Korenski dostop omogoča uporabnikom, da pridobijo popoln nadzor nad samo napravo, kar pa seveda prinese 30

41 dodatna tveganja, saj v primeru zagona aplikacije kot uporabnik»root«ni več izolacije med aplikacijami in takšna aplikacija lahko pridobi dostop do podatkov drugih aplikacij. Nalaganje kompatibilnih sistemov za določen tip naprave lahko to onemogoči in tako dobi uporabnik popolni dostop, kar mu omogoča, da naloži aplikacije in modifikacije. V primeru nalaganja kakšne škodljive programske kode potem ta uspešno pridobi tudi pravice korenskega uporabnika, kar lahko pomeni bistveno večje tveganje kot na telefonu, ki nima omogočenega korenskega dostopa. Nekatere aplikacije tudi preverjajo, ali ima telefon omogočen korenski dostop, in v primeru, da je ta dostop omogočen, v blažjem primeru napišejo uporabniku dodatno obvestilo, da obstaja večje tveganje glede njegovih podatkov, nekatere aplikacije pa se niti ne zaženejo Nameščanje varnostnih popravkov Varnostni popravki so bistven del zagotavljanja osnovne varnosti mobilnih Android naprav. Izdaja popravkov je v precejšnji meri odvisna od samih proizvajalcev mobilnih naprav, ki v trenutnem tempu izdajo vsakega pol leta novo napravo. Treba se je namreč zavedati, da je izdajanje velikega števila popravkov za vse obstoječe naprave precej zahtevno in drago opravilo. Proizvajalcem je v interesu, da uporabniki pogosto zamenjajo napravo, kar pomeni, da posledično zelo hitro ukinjajo nove popravke za obstoječe naprave. Zato trenutno po statistikah obstaja veliko mobilnih naprav, ki imajo že dolgo znane ranljivosti, a za njih ne obstajajo posodobitve z varnostnimi popravki. Velikokrat so tudi uporabniki tisti, ki ne nameščajo varnostnih popravkov, saj nočejo prevzeti tveganja v primeru, da bi ob namestitvi ali nadgradnji na višjo različico šlo kaj narobe. Poleg tega je priporočljivo pred večjimi nadgradnjami narediti še popolno arhiviranje vseh podatkov, saj se lahko podatki med samo nadgradnjo tudi pokvarijo ali pa izbrišejo. Vsekakor pa naprave brez nameščenih zadnjih posodobitev pomenijo večje tveganje za varnost naprav in uporabniških podatkov. 31

42 4.3 Predlogi za zmanjševanja tveganj Glede na velik porast mobilnih aplikacij in vedno večjega števila pomembnih podatkov, ki jih te aplikacije obdelujejo, se vsekakor zdi zelo upravičena težnja k temu, da je treba določena tveganja na tem področju zmanjšati. Vseh tveganj vsekakor ne bo mogoče nikoli odpraviti, saj velja podobno kot za informacijsko varnost, da 100-odstotne varnosti ni. Vsekakor pa se lahko z uporabo določenih prijemov in upoštevanjem predlogov ta tveganja bistveno zmanjšajo. Glede na analizo podatkov in lastne izkušnje bomo v nadaljevanju našteli nekaj ukrepov, ki lahko bistveno pripomorejo k temu Šifriranje naprav in podatkov Po nekaterih dostopnih virih v medijih [15] naj bi na področju šifriranja mobilnih naprav zelo prednjačil Apple z Iphoni. Tako je mogoče zaslediti, da naj bi bilo 95 odstotkov mobilnih IPhone naprav šifriranih, v primerjavi z Android-om, kjer je mogoče najti samo 2 odstotka šifriranih naprav. Razlog, zakaj je situacija takšna, kot je, je v tem, da platforma Android ni zahtevala obveznega šifriranja celotnega pomnilniškega prostora. To se je sicer spremenilo z različico Androida 6.0 s kodnim imenom Marshmallow, vendar je njegov delež v primerjavi z ostalimi različicami Androida precej majhen. Tako je potrebno na tem področju uporabnikom predstaviti prednosti šifriranja njihovih naprav in s tem tudi večje varnosti njihovih naprav. Vsekakor je največkrat postavljeno vprašanje, ali se bo zaradi tega zmanjšala hitrost delovanja njihovih naprav, in glede na različna testiranja jih je treba podučiti, da zaradi šifriranja ne bodo opazili bistveno počasnejšega delovanja, saj so naprave danes že toliko zmogljive, da to na delovanje praviloma nima pomembnejšega vpliva. Uporabnike je potrebno ozavestiti, da bo njihova naprava v primeru izgube in uporabe šifriranja še vedno varovala njihove podatke, saj tisti, ki bodo prišli do teh naprav, ne bodo mogli priti do podatkov in digitalne identitete, zato bodo le-ti na varnem Izobraževanje razvijalcev in uporabnikov Na podlagi lastnih izkušenj pri različnih izvedbah varnostnih analiz lahko z veliko gotovostjo rečemo, da se premalo vlaga v kontinuirano izobraževanje tudi na področju mobilnih tehnologij. Tako so na eni strani razvijalci, ki zaradi hitrega tempa razvoja ne uspejo slediti vsem novostim in posledično tudi novim varnostnim mehanizmom, ki jih platforma Android uvaja, in na drugi strani uporabniki, ki se ne zavedajo vseh 32

43 funkcionalnosti in možnosti zaščite njihove naprave ter njihovih podatkov. Zato je nenehno izobraževanje tudi na tem področju nujno. Na spletu je moč najti že veliko brezplačnih tečajev oziroma člankov s področja mobilne varnosti. Na tem področju je smiselno vzpodbujati naslednje dobre prakse: vodilne razvijalce poslati na tečaje o mobilni varnosti, omogočiti deljenje informacij na različne načine znotraj skupin, udeležiti se varnostnih konferenc na temo mobilne varnosti, se naročiti na koristne vire informacij s področja mobilne varnosti. Tako na primer obstajajo tudi takšne namerno pokvarjene aplikacije, ki na lep in enostaven način demonstrirajo napačne principe pri razvoju mobilnih aplikacij. Ena izmed njih je tudi na primer Insecure Bank v2 [16]. Primer izgleda takšne aplikacije lahko vidimo na sliki 4.1. Aplikacija je namerno slabo napisana in predstavlja način, kako se mobilne aplikacije ne bi smele razvijati. V njej je mogoče najti veliko število ranljivosti, ki se jih lahko na konkretnih primerih pokaže in razloži razvijalcem. Za samo aplikacijo je na voljo tako mobilna aplikacija kot tudi celotna izvorna koda, ki jo je mogoče prevesti in v njo vključiti še kakšno dodatno pomanjkljivost. Takšni primeri aplikacij so lahko zelo poučni in razvijalcem omogočajo hiter vpogled v tipične napake. Prav tako dobijo vpogled v področja, v katera bodo potencialni napadalci najprej pogledali in katere podatke bodo poskušali pridobiti. Varnostne pomanjkljivosti je mogoče vaditi na sami aplikaciji, ki pokriva naslednja področja: slabi avtorizacijski mehanizmi, problemi z lokalnim šifriranjem, detektiranje naprav z omogočenim korenskim dostopom, občutljive informacije v pomnilniku, slabe implementacije šifriranja, nepravilno zapisovanje v dnevniške datoteke, povezave HTTP, ki niso varne, shranjevanje na SD kartico, manipulacija parametrov, kodirani občutljivi podatki v aplikaciji, enumeracija uporabnikov, slaba implementacija zamenjave gesla, 33

44 stranska vrata v aplikaciji. Slika 4.1: Primer mobilne aplikacije za učenje Izvedba varnostne analize kot dobra praksa Večina proizvajalcev mobilnih aplikacij se že zaveda, da ni nujno, da so aplikacije, ki jih razvijajo, res varne in jih ni mogoče zlorabiti. Zato se odločajo za zunanjo varnostno analizo pred javno objavo. Na podlagi lastnih izkušenj lahko ugotovimo, da so takšne zunanje varnostne analize zelo koristne, saj razvijalci in avtorji mobilnih naprav živijo v svojem svetu in včasih ta svet ne omogoča dovolj širokega pogleda zunaj njihovih dimenzij. Nekateri razvijalci pa tudi zaradi pomanjkanja rednih izobraževanj s področja varnosti Android platforme ne uspejo v celoti izkoristiti vseh varnostnih funkcionalnosti, ki 34