iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 20
1
Security

漏洞挖起來系列 第 20

[Day20]Android APP 解壓縮

  • 分享至 

  • xImage
  •  

「欸我等等丟官方APK,LINE 給你」
「好~咦是.zip?」

APK在丟LINE的時候,就自動幫你壓縮了轉成.zip,然後直接解開就有機會看到 APK 架構了。
有些記帳APK、健身APK、題庫APK或是離線APK甚至有機會在APK裡面撈到整個資料庫,
或是 APP 預設帳號密碼的連線預設帳號密碼:
https://ithelp.ithome.com.tw/upload/images/20201005/20103647B4M4JvLDOd.png

或是可以進一步發現原始程式中有SQL Injection 的漏洞,而進一步利用:
https://ithelp.ithome.com.tw/upload/images/20201005/20103647vQEOW2mwSa.png

但是,不是每項產品都會大方提供 APK,有機會的話,我們會嘗試在其他 APK Downloader 下載;但有時候分析出來的時候跟官方的內容差異極大(加料版本),所以可以的話還是從官方取得較佳。

取得 APK 解壓縮之後,我們也可以再幫產品做一次 CodeReview XD

但,目前較新的產品只要解壓縮看到是 Kotlin 架構就很難進一步去拆… ((躺
我們就直接丟靜態掃瞄產品方式去識別風險。
這裡推薦開源的 MobSF:

安裝步驟及實作:https://ithelp.ithome.com.tw/articles/10215522

這套 MobSF 也支援 iOS。
如果是建置在實體環境的話,還支援動態動作掃瞄(虛擬環境不支援)。


上一篇
[Day19]連網設備之歡樂注入
下一篇
[Day21]客製注入後門APK
系列文
漏洞挖起來31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
神威
iT邦研究生 4 級 ‧ 2020-10-05 13:17:47

舉手!
為何 Kotlin 架構就很難進一步去拆解呢?
難道Kotlin看不到程式碼嗎?
還是破解很複雜,不合成本?

虎虎 iT邦研究生 4 級 ‧ 2020-10-05 13:30:05 檢舉

我自己實作的經驗是覺得比較難看到原始碼啦…
我最近測試的專案似乎用 Kotlin 架構都解不出原始程式碼哦 QAQ
除非開發人員在Android Studio 或是其他開發工具上的屬性設定沒有設定好才有更進一步的機會;但它在MobSF的弱點是有機會被看到的,然後我們可能用MobSF上面的版本再下載重View一次看看?
或是你有試過成功解出來的嗎 XDDD

不要問我逆向我不會

虎虎 iT邦研究生 4 級 ‧ 2020-10-05 13:33:19 檢舉

不過我再想說用Kotlin啊,忘記在哪篇看過開發編譯的時間是原先架構的4倍,效能好像差很多,但安全性比較高(?)
只能猜說應該在它們的底層架構上有什麼機制在處理這些東西吧(?)

神威 iT邦研究生 4 級 ‧ 2020-10-05 14:26:12 檢舉

虎虎我還沒研究kotlin~
以後再來試試看~~哈哈

我要留言

立即登入留言