SDCC2015-乌云-安卓应用安全解析.pdf

安卓应用安全解析 Who am i • 乌云漏洞报告平台核心白帽子 /whitehats/瘦蛟舞 • 乌云知识库资深作者 /author/瘦蛟舞 • 互联网安全公司安全研究员 议题大纲 • 主流攻击手法 • 常见漏洞 • 乌云经典案例 • 安全开发小技巧 • 总结 Framework 安卓平台主流攻击手法 Android平台下主流攻击手法 • 逆向反编译 • 代理抓包分析云端API • 无源码动态调试 • 插桩 • Hook APK file 反编译 • Smali • Dex2jar • Jeb • IDA • Enjarify C/S 代理分析服务端 API • ProxyDroid • Charles • BurpSuite • WireShark 无源码调试 • Smalidea • IDA • Eclipse • … Hook • Xposed • Cydia • ADBI 插桩 • smali 注入 • dalvik 插桩 安卓平台下应用常见漏洞 Attack surface • 人祸 • 天灾 • /content/19039 常见漏洞 • 权限泄露 • 信息泄露 • 组件安全 • ... • /android:client WEBVIEW漏洞 • RCE:/webview.html • UXSS:/index.php 乌云上安卓应用经典漏洞 如家酒店Android客户端程序支付漏洞 • /bugs/wooyun- 2015-057171 PPTV客户端批量刷会员漏洞 • /bugs/wooyun- 2015-0110075 百度某SDK设计缺陷导致手机敏感信息泄露 • /bugs/wooyun- 2015-0129912 乐视网2200万用户任意用户登录 • /bugs/wooyun- 2015-0129912 安全开发小技巧 Tips • 使用第三方安全框架 • 安全配置检测 • 小心使用第三方库/SDK/工具类 • 应用初期考虑安全设计 • 定制开发规范 • 系统漏洞规避 使用第三方安全框架 • sqlcipher • secure-preferences 安全配置检测 • debug 开关 • proguard 使用 • export 属性 • API 选择 • Backup 属性 小心使用第三方库/SDK/工具类 • weiboSDK • Android-PullToRefresh • Jpush 应用初期考虑安全设计 • 传输协议 • 数据加密 • 签名效验 定制开发规范 • 测试代码移除logcat 移除 • 测试接口移除 • 最小权限原则 • Don‘t Copy without • thinkOWASP_Mobile_Security 系统漏洞规避 • LanchAnywhere • WebView RCE/UXSS • BroadAnywhere • master key • 签名漏洞 • ... 总结 THE END THANK