<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną na HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
Zaleca się zapoznanie się z tą stroną, aby dowiedzieć się o **najważniejszych częściach związanych z bezpieczeństwem Androida i najniebezpieczniejszych komponentach w aplikacji na Androida**:
**ADB** pozwala kontrolować urządzenia zarówno przez **USB**, jak i przez **Sieć** z komputera. Narzędzie to umożliwia **kopiowanie** plików w obie strony, **instalację** i **odinstalowanie** aplikacji, **wykonywanie** poleceń powłoki, **tworzenie kopii zapasowych** danych, **czytanie** logów, między innymi funkcje.
Czasami interesujące jest **modyfikowanie kodu aplikacji**, aby uzyskać dostęp do **ukrytych informacji** (być może dobrze zaszyfrowanych haseł lub flag). W takim przypadku może być interesujące zdekompilowanie pliku apk, zmodyfikowanie kodu i ponowne skompilowanie go.\
[W tym samouczku](smali-changes.md) możesz **dowiedzieć się, jak zdekompilować plik APK, zmodyfikować kod Smali i ponownie skompilować APK** z nową funkcjonalnością. Może to być bardzo przydatne jako **alternatywa dla kilku testów podczas analizy dynamicznej**, które zostaną przedstawione. Należy zawsze pamiętać o tej możliwości.
Po prostu przeglądając **ciągi znaków** w pliku APK, możesz szukać **haseł**, **adresów URL** ([https://github.com/ndelphit/apkurlgrep](https://github.com/ndelphit/apkurlgrep)), **kluczy API**, **szyfrowania**, **uuid bluetooth**, **tokenów** i wszystkiego, co może być interesujące... poszukaj nawet **tylnych drzwi** do wykonania kodu lub tylnych drzwi uwierzytelniania (wbudowane poświadczenia administratora w aplikacji).
Zwróć szczególną uwagę na **adresy URL Firebase** i sprawdź, czy są źle skonfigurowane. [Więcej informacji na temat tego, czym jest Firebase i jak go wykorzystać, znajdziesz tutaj.](../../network-services-pentesting/pentesting-web/buckets/firebase-database.md)
**Analiza pliku \_Manifest.xml** i pliku **strings.xml** aplikacji może ujawnić potencjalne podatności bezpieczeństwa. Te pliki można uzyskać za pomocą dekompilatorów lub zmieniając rozszerzenie pliku APK na .zip, a następnie rozpakowując go.
* **Aplikacje debugowalne**: Aplikacje ustawione jako debugowalne (`debuggable="true"`) w pliku _Manifest.xml_ stanowią ryzyko, ponieważ pozwalają na połączenia, które mogą prowadzić do eksploatacji. Aby lepiej zrozumieć, jak wykorzystać aplikacje debugowalne, zapoznaj się z samouczkiem dotyczącym znajdowania i wykorzystywania aplikacji debugowalnych na urządzeniu.
* **Ustawienia kopii zapasowych**: Atrybut `android:allowBackup="false"` powinien być jawnie ustawiony dla aplikacji zajmujących się wrażliwymi informacjami, aby zapobiec nieautoryzowanym kopiom zapasowym danych za pomocą adb, zwłaszcza gdy jest włączone debugowanie USB.
* **Bezpieczeństwo sieci**: Niestandardowe konfiguracje bezpieczeństwa sieciowego (`android:networkSecurityConfig="@xml/network_security_config"`) w _res/xml/_ mogą określać szczegóły dotyczące bezpieczeństwa, takie jak pinezki certyfikatów i ustawienia ruchu HTTP. Przykładem jest zezwolenie na ruch HTTP dla określonych domen.
* **Eksportowane aktywności i usługi**: Identyfikacja eksportowanych aktywności i usług w manifeście może ujawnić komponenty, które mogą być nadużywane. Dalsza analiza podczas testów dynamicznych może ujawnić, jak wykorzystać te komponenty.
* **Dostawcy treści i dostawcy plików**: Ujawnione dostawcy treści mogą umożliwić nieautoryzowany dostęp lub modyfikację danych. Konfiguracja dostawców plików również powinna być dokładnie przeanalizowana.
* **Odbiorniki nadawcze i schematy URL**: Te komponenty mogą być wykorzystane do eksploatacji, ze szczególnym uwzględnieniem zarządzania schematami URL w celu wykrycia podatności na wejście.
Z pliku **strings.xml** można odkryć wrażliwe informacje, takie jak klucze API, niestandardowe schematy i inne notatki dewelopera, podkreślając potrzebę dokładnego przejrzenia tych zasobów.
**Tapjacking** to atak, w którym **złośliwa aplikacja** jest uruchamiana i **pozycjonuje się na wierzchu aplikacji ofiary**. Gdy zasłania widocznie aplikację ofiary, jej interfejs użytkownika jest zaprojektowany w taki sposób, aby oszukać użytkownika do interakcji z nią, podczas gdy przekazuje interakcję do aplikacji ofiary.\
**Aktywność** z ustawionym **`launchMode`** na **`singleTask` bez zdefiniowanego `taskAffinity`** jest podatna na przechwytywanie zadań. Oznacza to, że aplikacja może zostać zainstalowana i jeśli zostanie uruchomiona przed prawdziwą aplikacją, może **przechwycić zadanie prawdziwej aplikacji** (użytkownik będzie więc interagował z **złośliwą aplikacją, myśląc, że używa tej prawdziwej**).
W systemie Android pliki **przechowywane** w **pamięci wewnętrznej** są **przeznaczone** do **dostępu wyłącznie przez aplikację**, która je **utworzyła**. Ta zabezpieczenie jest **egzekwowane** przez system operacyjny Android i zazwyczaj jest wystarczające dla większości aplikacji. Jednak deweloperzy czasami korzystają z trybów takich jak `MODE_WORLD_READABLE` i `MODE_WORLD_WRITABLE`, aby **umożliwić** udostępnianie plików między różnymi aplikacjami. Niemniej jednak te tryby **nie ograniczają dostępu** do tych plików przez inne aplikacje, w tym potencjalnie złośliwe.
* **Upewnij się**, że korzystanie z `MODE_WORLD_READABLE` i `MODE_WORLD_WRITABLE` jest **dokładnie przeanalizowane**. Te tryby **mogą potencjalnie ujawnić** pliki do **niezamierzonego lub nieautoryzowanego dostępu**.
* **Zweryfikuj** uprawnienia ustawione dla plików utworzonych przez aplikację. W szczególności **sprawdź**, czy jakiekolwiek pliki są **ustawione jako czytelne lub zapisywalne globalnie**. Może to stanowić znaczne ryzyko bezpieczeństwa, ponieważ pozwoliłoby to **dowolnej aplikacji** zainstalowanej na urządzeniu, bez względu na jej pochodzenie lub intencje, na **odczytanie lub modyfikację** tych plików.
* Jeśli twoja aplikacja musi pobierać pliki wykonywalne z pamięci zewnętrznej, upewnij się, że te pliki są **podpisane i weryfikowane kryptograficznie** przed ich dynamicznym ładowaniem. Ten krok jest kluczowy dla zachowania integralności bezpieczeństwa twojej aplikacji.
Począwszy od Androida 4.4 (**API 17**), karta SD ma strukturę katalogów, która **ogranicza dostęp z aplikacji do katalogu przeznaczonego specjalnie dla tej aplikacji**. Zapobiega to złośliwej aplikacji uzyskania dostępu do odczytu lub zapisu plików innej aplikacji.
* **Udostępnione preferencje**: Android pozwala każdej aplikacji łatwo zapisać pliki XML w ścieżce `/data/data/<nazwapakietu>/shared_prefs/` i czasami możliwe jest znalezienie wrażliwych informacji w tekście jawnym w tym folderze.
* **Bazy danych**: Android pozwala każdej aplikacji łatwo zapisać bazy danych sqlite w ścieżce `/data/data/<nazwapakietu>/databases/` i czasami możliwe jest znalezienie wrażliwych informacji w tekście jawnym w tym folderze.
Niektórzy programiści zapisują wrażliwe dane w pamięci lokalnej i szyfrują je kluczem zapisanym/wykonalnym w kodzie. Nie powinno się tego robić, ponieważ odwrócenie procesu może pozwolić atakującym wydobyć poufne informacje.
Programiści nie powinni używać **przestarzałych algorytmów** do wykonywania **sprawdzeń autoryzacyjnych**, **przechowywania** lub **wysyłania** danych. Niektóre z tych algorytmów to: RC4, MD4, MD5, SHA1... Jeśli **hasła** są używane do przechowywania haseł na przykład, należy użyć odpornych na ataki brutalne **hashe** z solą.
* Zaleca się **zaciemnienie APK**, aby utrudnić odwrócenie inżynierii atakującym.
* Jeśli aplikacja jest wrażliwa (np. aplikacje bankowe), powinna przeprowadzić **własne sprawdzenia, czy urządzenie mobilne jest zrootowane** i działać odpowiednio.
* Jeśli aplikacja jest wrażliwa (np. aplikacje bankowe), powinna sprawdzić, czy używany jest **emulator**.
* Jeśli aplikacja jest wrażliwa (np. aplikacje bankowe), powinna **sprawdzić swoją integralność przed wykonaniem**, aby sprawdzić, czy została zmodyfikowana.
* Użyj [**APKiD**](https://github.com/rednaga/APKiD), aby sprawdzić, który kompilator/pakietujący/zaciemniacz został użyty do zbudowania APK.
Zgodnie z tym [**postem na blogu**](https://clearbluejar.github.io/posts/desuperpacking-meta-superpacked-apks-with-github-actions/) superpacked to meta algorytm, który kompresuje zawartość aplikacji do jednego pliku. Blog omawia możliwość stworzenia aplikacji, która dekompresuje tego rodzaju aplikacje... oraz szybszy sposób, który polega na **uruchomieniu aplikacji i zebraniu zdekompresowanych plików z systemu plików**.
Narzędzie [**mariana-trench**](https://github.com/facebook/mariana-trench) jest zdolne do znajdowania **podatności** poprzez **skanowanie** kodu aplikacji. Narzędzie to zawiera szereg **znanych źródeł** (które wskazują narzędziu **miejsca**, gdzie **wejście** jest **kontrolowane przez użytkownika**), **ujść** (które wskazują narzędziu **niebezpieczne miejsca**, gdzie złośliwe wejście użytkownika mogłoby spowodować szkody) i **reguł**. Te reguły wskazują na **kombinację źródeł-ujść**, które wskazują na podatność.
Aplikacja może zawierać sekrety (klucze API, hasła, ukryte adresy URL, subdomeny...) wewnątrz niej, które możesz odkryć. Możesz użyć narzędzia takiego jak [https://github.com/dwisiswant0/apkleaks](https://github.com/dwisiswant0/apkleaks)
> Po pierwsze, potrzebujesz środowiska, w którym możesz zainstalować aplikację i wszystkie narzędzia (certyfikat Burp CA, Drozer i Frida głównie). Dlatego zaleca się korzystanie z urządzenia z zainstalowanym oprogramowaniem root (emulowanym lub nie).
Możesz założyć **darmowe konto** na: [https://appetize.io/](https://appetize.io). Ta platforma pozwala **przesyłać** i **wykonywać** APK, co jest przydatne do zobaczenia, jak zachowuje się dany plik APK.
* [**Android Studio**](https://developer.android.com/studio) (Możesz tworzyć urządzenia **x86** i **arm**, a zgodnie z [**tym** ](https://android-developers.googleblog.com/2020/03/run-arm-apps-on-android-emulator.html)**najnowszymi wersjami x86** obsługują biblioteki ARM bez konieczności wolnego emulowania arm).
* [**Genymotion**](https://www.genymotion.com/fun-zone/) **(Wersja darmowa:** Personal Edition, musisz założyć konto. _Zaleca się **pobranie** wersji **Z**__**VirtualBox** aby uniknąć potencjalnych błędów._)
Tworząc nowy emulator na dowolnej platformie, pamiętaj, że im większy ekran, tym wolniej będzie działał emulator. Wybierz więc małe ekrany, jeśli to możliwe.
Zauważ również, że w **konfiguracji maszyny wirtualnej Androida w Genymotion** możesz wybrać **tryb sieci mostkowej** (będzie to przydatne, jeśli będziesz łączyć się z maszyną wirtualną Androida z innej maszyny wirtualnej za pomocą narzędzi).
> Po zainstalowaniu aplikacji, pierwszą rzeczą, jaką powinieneś zrobić, jest jej przetestowanie i zbadanie, co robi, jak działa i zapoznanie się z nią.\
> Zalecam **wykonanie tej początkowej analizy dynamicznej za pomocą analizy dynamicznej MobSF + pidcat**, dzięki czemu będziemy mogli **zrozumieć, jak działa aplikacja**, podczas gdy MobSF **przechwytuje** wiele **interesujących danych**, które można później przejrzeć.
Deweloperzy powinni być ostrożni przy ujawnianiu publicznie **informacji debugowania**, ponieważ może to prowadzić do wycieku wrażliwych danych. Narzędzia [**pidcat**](https://github.com/JakeWharton/pidcat) i `adb logcat` są zalecane do monitorowania logów aplikacji w celu identyfikacji i ochrony wrażliwych informacji. **Pidcat** jest preferowany ze względu na łatwość użycia i czytelność.
Zauważ, że od **wersji nowszej niż Android 4.0**, **aplikacje mogą uzyskać dostęp jedynie do swoich własnych logów**. Dlatego aplikacje nie mogą uzyskać dostępu do logów innych aplikacji.\
Mimo to zaleca się **nie logowanie wrażliwych informacji**.
Framework **oparty na schowku** Androida umożliwia funkcję kopiuj/wklej w aplikacjach, ale stanowi ryzyko, ponieważ **inne aplikacje** mogą **uzyskać dostęp** do schowka, potencjalnie ujawniając wrażliwe dane. Ważne jest **wyłączenie funkcji kopiuj/wklej** dla wrażliwych sekcji aplikacji, takich jak dane karty kredytowej, aby zapobiec wyciekom danych.
Jeśli aplikacja **zawiesi się** i **zapisze logi**, te logi mogą pomóc atakującym, zwłaszcza gdy aplikacja nie może być zdekompilowana. Aby zmniejszyć to ryzyko, unikaj logowania w przypadku awarii, a jeśli logi muszą być przesyłane przez sieć, upewnij się, że są wysyłane za pośrednictwem kanału SSL w celu zapewnienia bezpieczeństwa.
Aplikacje często integrują usługi takie jak Google Adsense, które nieumyślnie **wyciekają wrażliwe dane** z powodu niewłaściwej implementacji przez deweloperów. Aby zidentyfikować potencjalne wycieki danych, zaleca się **przechwycenie ruchu aplikacji** i sprawdzenie, czy jakiekolwiek wrażliwe informacje są wysyłane do usług stron trzecich.
Większość aplikacji będzie korzystać z **wewnętrznych baz danych SQLite** do przechowywania informacji. Podczas pentestu przyjrzyj się **utworzonym bazom danych**, nazwom **tabel** i **kolumn** oraz wszystkim **danych** zapisanym, ponieważ możesz znaleźć **wrażliwe informacje** (co stanowiłoby lukę w zabezpieczeniach).\
Bazy danych powinny znajdować się w `/data/data/nazwa.pakietu/bazydanych` np. `/data/data/com.mwr.example.sieve/bazydanych`
Jeśli baza danych zapisuje poufne informacje i jest **zaszyfrowana**, ale możesz **znaleźć** hasło **wewnątrz aplikacji**, to nadal jest to **luka w zabezpieczeniach**.
Z [Dokumentacji Drozera](https://labs.mwrinfosecurity.com/assets/BlogFiles/mwri-drozer-user-guide-2015-03-23.pdf): **Drozer** pozwala ci **przyjąć rolę aplikacji Android** i współdziałać z innymi aplikacjami. Może robić **wszystko, co może zrobić zainstalowana aplikacja**, takie jak korzystanie z mechanizmu Komunikacji Międzyprocesowej (IPC) Androida i współdziałanie z systemem operacyjnym. .\
Drozer jest przydatnym narzędziem do **wykorzystywania eksportowanych działań, eksportowanych usług i dostawców treści**, jak się dowiesz w kolejnych sekcjach.
[**Przeczytaj to, jeśli chcesz odświeżyć sobie, co to jest Działanie Androida.**](android-applications-basics.md#launcher-activity-and-other-activities)\
Pamiętaj również, że kod działania zaczyna się w metodzie **`onCreate`**.
Gdy Działanie jest eksportowane, można wywołać jego ekran z zewnętrznej aplikacji. Dlatego jeśli działanie z **wrażliwymi informacjami** jest **eksportowane**, można **ominąć** mechanizmy **uwierzytelniania** aby uzyskać do niego **dostęp**.
**UWAGA**: MobSF wykryje jako złośliwe użycie _**singleTask/singleInstance**_ jako `android:launchMode` w aktywności, ale ze względu na [to](https://github.com/MobSF/Mobile-Security-Framework-MobSF/pull/750), wydaje się, że jest to niebezpieczne tylko w starych wersjach (wersje API <21).
**Aktywności mogą również zwracać wyniki**. Jeśli uda ci się znaleźć zewnętrzną i niechronioną aktywność wywołującą metodę **`setResult`** i **zwracającą wrażliwe informacje**, mamy do czynienia z ujawnieniem wrażliwych informacji.
Jeśli tapjacking nie jest zapobiegany, możesz nadużyć zewnętrznej aktywności, aby sprawić, że **użytkownik wykona nieoczekiwane akcje**. Aby uzyskać więcej informacji na temat [**czym jest Tapjacking, kliknij w link**](./#tapjacking).
Dostawcy treści są podstawowo używani do **udostępniania danych**. Jeśli aplikacja ma dostępne dostawcy treści, możesz próbować **wydobyć wrażliwe** dane z nich. Warto również przetestować możliwe **wstrzyknięcia SQL** i **trawersacje ścieżek**, ponieważ mogą być podatne.
Usługa to podstawowo coś, co **może otrzymać dane**, je **przetworzyć** i **zwrócić** (lub nie) odpowiedź. Jeśli aplikacja eksportuje jakieś usługi, powinieneś **sprawdzić** kod, aby zrozumieć, co robi, i **testować** go **dynamicznie** w celu wydobycia poufnych informacji, omijania środków autoryzacji...\
Możesz ręcznie szukać głębokich linków, używając narzędzi takich jak MobSF lub skryptów takich jak [ten](https://github.com/ashleykinguk/FBLinkBuilder/blob/master/FBLinkBuilder.py).\
Możesz **otworzyć** zadeklarowany **schemat** za pomocą **adb** lub **przeglądarki**:
Zawsze, gdy znajdziesz link głęboki, sprawdź, czy **nie otrzymuje on danych poufnych (takich jak hasła) za pomocą parametrów URL**, ponieważ inna aplikacja może **podrobić link głęboki i ukraść te dane!**
Musisz również sprawdzić, czy jakikolwiek link głęboki używa parametru wewnątrz ścieżki URL, na przykład: `https://api.example.com/v1/users/{username}`, w takim przypadku można wymusić przeglądanie ścieżki, uzyskując dostęp do czegoś takiego jak: `example://app/users?username=../../unwanted-endpoint%3fparam=value`.\
Zauważ, że jeśli znajdziesz poprawne punkty końcowe w aplikacji, możesz spowodować **przekierowanie otwarte** (jeśli część ścieżki jest używana jako nazwa domeny), **przejęcie konta** (jeśli możesz modyfikować szczegóły użytkowników bez tokenu CSRF, a podatny punkt końcowy używał poprawnej metody) i inne podatności. Więcej [informacji na ten temat tutaj](http://dphoeniixx.com/2020/12/13-2/).
* **Certyfikaty nie zawsze są odpowiednio sprawdzane** przez aplikacje Android. Często te aplikacje pomijają ostrzeżenia i akceptują certyfikaty samopodpisane lub, w niektórych przypadkach, wracają do korzystania z połączeń HTTP.
* **Negocjacje podczas uścisku ręki SSL/TLS są czasami słabe**, korzystając z niebezpiecznych zestawów szyfrów. Ta podatność sprawia, że połączenie jest podatne na ataki typu man-in-the-middle (MITM), umożliwiając atakującym odszyfrowanie danych.
* **Wyciek prywatnych informacji** stanowi ryzyko, gdy aplikacje uwierzytelniają się za pomocą kanałów bezpiecznych, a następnie komunikują się za pomocą kanałów niezabezpieczonych w innych transakcjach. Ten sposób nie chroni danych poufnych, takich jak ciasteczka sesji lub szczegóły użytkownika, przed przechwyceniem przez złośliwe podmioty.
Skupimy się na **weryfikacji certyfikatu**. Integralność certyfikatu serwera musi być zweryfikowana, aby zwiększyć bezpieczeństwo. Jest to istotne, ponieważ niebezpieczne konfiguracje TLS i przesyłanie danych poufnych przez niezaszyfrowane kanały mogą stanowić znaczne ryzyko. Dla szczegółowych kroków weryfikacji certyfikatów serwera i rozwiązywania podatności, [**ten zasób**](https://manifestsecurity.com/android-application-security-part-10/) zapewnia kompleksowe wskazówki.
SSL Pinning to środek bezpieczeństwa, w którym aplikacja weryfikuje certyfikat serwera względem znanego egzemplarza przechowywanego w samej aplikacji. Ta metoda jest niezbędna do zapobiegania atakom typu man-in-the-middle. Zaleca się zdecydowanie wdrożenie SSL Pinning w aplikacjach obsługujących informacje poufne.
Aby inspirować ruch HTTP, konieczne jest **zainstalowanie certyfikatu narzędzia proxy** (np. Burp). Bez zainstalowania tego certyfikatu, zaszyfrowany ruch może nie być widoczny przez proxy. Aby uzyskać przewodnik po instalacji niestandardowego certyfikatu CA, [**kliknij tutaj**](avd-android-virtual-device.md#install-burp-certificate-on-a-virtual-machine).
Aplikacje kierowane do **poziomu API 24 i wyższego** wymagają modyfikacji konfiguracji bezpieczeństwa sieciowego w celu akceptacji certyfikatu CA proxy. Ten krok jest kluczowy dla inspekcji zaszyfrowanego ruchu. Aby uzyskać instrukcje dotyczące modyfikacji konfiguracji bezpieczeństwa sieciowego, [**odwołaj się do tego samouczka**](make-apk-accept-ca-certificate.md).
* Automatycznie **zmodyfikuj****apk**, aby **obejść** SSL Pinning za pomocą [**apk-mitm**](https://github.com/shroudedcode/apk-mitm). Główną zaletą tej opcji jest brak konieczności uzyskiwania uprawnień root do obejścia SSL Pinning, ale konieczne będzie usunięcie aplikacji i zainstalowanie nowej, a to nie zawsze zadziała.
* Możesz użyć **Frida** (omówionego poniżej), aby ominąć tę ochronę. Oto przewodnik dotyczący korzystania z Burp+Frida+Genymotion: [https://spenkk.github.io/bugbounty/Configuring-Frida-with-Burp-and-GenyMotion-to-bypass-SSL-Pinning/](https://spenkk.github.io/bugbounty/Configuring-Frida-with-Burp-and-GenyMotion-to-bypass-SSL-Pinning/)
* Możesz również spróbować **automatycznie ominąć SSL Pinning** za pomocą [**objection**](frida-tutorial/objection-tutorial.md)**:** `objection --gadget com.package.app explore --startup-command "android sslpinning disable"`
* Możesz również spróbować **automatycznie ominąć SSL Pinning** za pomocą **analizy dynamicznej MobSF** (wyjaśnionej poniżej)
* Jeśli uważasz, że istnieje ruch, którego nie przechwytujesz, możesz spróbować **przekierować ruch do burp za pomocą iptables**. Przeczytaj ten blog: [https://infosecwriteups.com/bypass-ssl-pinning-with-ip-forwarding-iptables-568171b52b62](https://infosecwriteups.com/bypass-ssl-pinning-with-ip-forwarding-iptables-568171b52b62)
Ważne jest również wyszukiwanie powszechnych podatności sieci web w aplikacji. Szczegółowe informacje na temat identyfikacji i łagodzenia tych podatności wykraczają poza zakres tego podsumowania, ale są szeroko omawiane gdzie indziej.
[Frida](https://www.frida.re) to dynamiczne narzędzie do instrumentacji dla programistów, inżynierów odwracających i badaczy bezpieczeństwa.\
**Możesz uzyskać dostęp do działającej aplikacji i podłączyć metody w czasie rzeczywistym, aby zmienić zachowanie, zmienić wartości, wydobyć wartości, uruchomić inny kod...**\
* Pewne "GUI" do działań z Fridą: [**https://github.com/m0bilesecurity/RMS-Runtime-Mobile-Security**](https://github.com/m0bilesecurity/RMS-Runtime-Mobile-Security)
* Ojection świetnie automatyzuje korzystanie z Fridy: [**https://github.com/sensepost/objection**](https://github.com/sensepost/objection) **,** [**https://github.com/dpnishant/appmon**](https://github.com/dpnishant/appmon)
* Możesz znaleźć niektóre niesamowite skrypty Fridy tutaj: [**https://codeshare.frida.re/**](https://codeshare.frida.re)
W systemie Android Keystore jest najlepszym miejscem do przechowywania danych wrażliwych, jednakże przy wystarczających uprawnieniach wciąż jest **możliwe uzyskanie do niego dostępu**. Ponieważ aplikacje mają tendencję do przechowywania tutaj **danych wrażliwych w postaci zwykłego tekstu**, testy penetracyjne powinny to sprawdzić, ponieważ użytkownik root lub osoba mająca fizyczny dostęp do urządzenia mogą być w stanie ukraść te dane.
Aby uzyskać dostęp do danych wewnątrz keystore, można skorzystać z tego skryptu Frida: [https://github.com/WithSecureLabs/android-keystore-audit/blob/master/frida-scripts/tracer-cipher.js](https://github.com/WithSecureLabs/android-keystore-audit/blob/master/frida-scripts/tracer-cipher.js)
Za pomocą poniższego skryptu Frida można **ominąć uwierzytelnianie odciskiem palca** które aplikacje na Androida mogą wykonywać w celu **ochrony określonych obszarów o wrażliwym charakterze:**
Gdy przeniesiesz aplikację do tła, Android przechowuje **zrzut aplikacji**, więc gdy zostanie przywrócona do pierwszego planu, zaczyna ładować obraz przed aplikacją, dzięki czemu wydaje się, że aplikacja została wczytana szybciej.
Jednak jeśli ten zrzut zawiera **wrażliwe informacje**, ktoś mający dostęp do zrzutu może **ukraść te informacje** (zauważ, że potrzebujesz uprawnień roota, aby uzyskać do niego dostęp).
Android zapewnia sposób **zapobiegania przechwytywaniu zrzutów ekranu poprzez ustawienie parametru układu FLAG\_SECURE**. Korzystając z tego flagi, zawartość okna jest traktowana jako bezpieczna, co zapobiega pojawianiu się jej na zrzutach ekranu lub wyświetlaniu na niezabezpieczonych ekranach.
To narzędzie może pomóc Ci w zarządzaniu różnymi narzędziami podczas analizy dynamicznej: [https://github.com/NotSoSecure/android\_application\_analyzer](https://github.com/NotSoSecure/android\_application\_analyzer)
Programiści często tworzą komponenty pośredniczące, takie jak aktywności, usługi i odbiorniki nadawcze, które obsługują te Intencje i przekazują je do metod takich jak `startActivity(...)` lub `sendBroadcast(...)`, co może być ryzykowne.
Niebezpieczeństwo polega na umożliwieniu atakującym wywołania nieeksportowanych komponentów aplikacji lub dostępu do wrażliwych dostawców treści poprzez przekierowanie tych Intencji. Przykładem jest komponent `WebView`, który konwertuje adresy URL na obiekty `Intent` za pomocą `Intent.parseUri(...)` i następnie je wykonuje, potencjalnie prowadząc do złośliwych wstrzyknięć Intencji.
* **Wstrzyknięcie JavaScript (XSS):** Upewnij się, że obsługa JavaScriptu i wtyczek jest wyłączona dla wszystkich WebViews (domyślnie wyłączone). [Więcej informacji tutaj](webview-attacks.md#javascript-enabled).
* **Lokalne Dołączanie Plików:** WebViews powinny mieć wyłączony dostęp do systemu plików (domyślnie włączony) - `(webview.getSettings().setAllowFileAccess(false);)`. [Więcej informacji tutaj](webview-attacks.md#javascript-enabled).
* **Wieczyste ciasteczka**: W kilku przypadkach, gdy aplikacja Android kończy sesję, ciasteczko nie jest unieważniane lub może nawet być zapisane na dysku.
Zauważ, że MobSF może analizować **aplikacje Android**(apk), **IOS**(ipa) **i Windows**(apx) (_aplikacje Windows muszą być analizowane z MobSF zainstalowanym na hoście z systemem Windows_).\
Dodatkowo, jeśli utworzysz plik **ZIP** z kodem źródłowym aplikacji **Android** lub **IOS** (przejdź do głównego folderu aplikacji, zaznacz wszystko i utwórz plik ZIP), będzie można go również przeanalizować.
MobSF pozwala również na **porównywanie** analizy i integrację z **VirusTotal** (musisz ustawić swój klucz API w _MobSF/settings.py_ i włączyć go: `VT_ENABLED = TRUE``VT_API_KEY = <Twój klucz API>``VT_UPLOAD = TRUE`). Możesz również ustawić `VT_UPLOAD` na `False`, wtedy **hash** zostanie **wysłany** zamiast pliku.
**MobSF** może być również bardzo pomocny w **analizie dynamicznej** w **Androidzie**, ale w tym przypadku będziesz musiał zainstalować MobSF i **genymotion** na swoim hoście (maszyna wirtualna lub Docker nie zadziała). _Uwaga: Musisz **najpierw uruchomić maszynę wirtualną w genymotion** a następnie MobSF._\
* **Wyciągnąć dane aplikacji** (adresy URL, logi, schowek, zrzuty ekranu wykonane przez Ciebie, zrzuty ekranu wykonane przez "**Exported Activity Tester**", e-maile, bazy danych SQLite, pliki XML i inne utworzone pliki). Wszystko to odbywa się automatycznie, z wyjątkiem zrzutów ekranu, musisz nacisnąć, gdy chcesz zrobić zrzut ekranu lub musisz nacisnąć "**Exported Activity Tester**", aby uzyskać zrzuty ekranu wszystkich wyeksportowanych aktywności.
Od wersji **Androida > 5**, automatycznie uruchomi Fridę i ustawia globalne ustawienia **proxy** do **przechwytywania** ruchu. Będzie przechwytywać ruch tylko z testowanej aplikacji.
Domyślnie będzie również używać niektórych skryptów Fridy do **omijania pinowania SSL**, **wykrywania roota** i **wykrywania debugera** oraz do **monitorowania interesujących API**.\
Aby **rozpocząć** testowanie dynamiczne, naciśnij zielony przycisk: "**Start Instrumentation**". Naciśnij "**Frida Live Logs**", aby zobaczyć logi generowane przez skrypty Fridy i "**Live API Monitor**", aby zobaczyć wszystkie wywołania do podpiętych metod, przekazane argumenty i zwrócone wartości (to pojawi się po naciśnięciu "Start Instrumentation").\
MobSF pozwala również na załadowanie własnych **skryptów Fridy** (aby przesłać wyniki swoich skryptów Fridy do MobSF, użyj funkcji `send()`). Posiada również **kilka gotowych skryptów**, które można załadować (możesz dodać więcej w `MobSF/DynamicAnalyzer/tools/frida_scripts/others/`), po prostu **wybierz je**, naciśnij "**Load**" i naciśnij "**Start Instrumentation**" (będziesz mógł zobaczyć logi tych skryptów wewnątrz "**Frida Live Logs**").
* **Śledź metody klasy**: **Śledź** całą **klasę** (zobacz wejścia i wyjścia wszystkich metod klasy). Pamiętaj, że domyślnie MobSF śledzi kilka interesujących metod Android Api.
Po wybraniu modułu pomocniczego, którego chcesz użyć, musisz nacisnąć "**Start Intrumentation**", a wszystkie wyniki zostaną wyświetlone w "**Frida Live Logs**".
Mobsf dostarcza również powłokę z kilkoma poleceniami **adb**, **poleceniami MobSF** i powszechnymi **poleceniami powłoki** na dole strony analizy dynamicznej. Kilka interesujących poleceń:
Gdy ruch http jest przechwytywany, możesz zobaczyć nieestetyczny widok przechwyconego ruchu na dole "**HTTP(S) Traffic**" lub ładniejszy widok w zielonym przycisku "**Start HTTPTools**". Z drugiej opcji możesz **wysłać** przechwycone żądania do **serwerów proxy** takich jak Burp lub Owasp ZAP.\
Po wykonaniu analizy dynamicznej za pomocą MobSF ustawienia serwera proxy mogą być źle skonfigurowane i nie będzie można ich naprawić z poziomu interfejsu graficznego. Możesz naprawić ustawienia serwera proxy wykonując:
To narzędzie zostało zaprojektowane do wyszukiwania kilku **związanych z bezpieczeństwem podatności aplikacji na Androida**, zarówno w **kodzie źródłowym**, jak i **spakowanych plikach APK**. Narzędzie to jest również **zdolne do tworzenia "Proof-of-Concept" wdrażalnego pliku APK** oraz **komend ADB**, aby wykorzystać niektóre z odnalezionych podatności (odsłonięte aktywności, intencje, tapjacking...). Podobnie jak w przypadku Drozera, nie ma potrzeby rootowania urządzenia testowego.
SUPER to aplikacja wiersza poleceń, która może być używana w systemach Windows, MacOS X i Linux, która analizuje pliki _.apk_ w poszukiwaniu podatności. Robi to poprzez dekompresję plików APK i stosowanie serii reguł do wykrywania tych podatności.
StaCoAn to narzędzie **wieloplatformowe**, które pomaga programistom, łowcom błędów i etycznym hakerom przeprowadzać [analizę statycznego kodu](https://en.wikipedia.org/wiki/Static\_program\_analysis) aplikacji mobilnych.
Idea polega na tym, że przeciągasz i upuszczasz plik aplikacji mobilnej (plik .apk lub .ipa) na aplikację StaCoAn, a ta wygeneruje dla Ciebie raport wizualny i przenośny. Możesz dostosować ustawienia i listy słów, aby uzyskać spersonalizowane doświadczenie.
AndroBugs Framework to system analizy podatności systemu Android, który pomaga programistom lub hakerom znaleźć potencjalne luki w zabezpieczeniach aplikacji Android.\
**Androwarn** to narzędzie, którego głównym celem jest wykrywanie i ostrzeganie użytkownika o potencjalnych zachowaniach złośliwych rozwijanych przez aplikację na platformę Android.
Wykrycie jest wykonywane poprzez **analizę statyczną** kodu bajtowego Dalvika aplikacji, reprezentowanego jako **Smali**, przy użyciu biblioteki [`androguard`](https://github.com/androguard/androguard).
**MARA** to **M**obile **A**pplication **R**everse engineering and **A**nalysis Framework. Jest to narzędzie, które łączy popularne narzędzia do odwracania inżynierii i analizy aplikacji mobilnych, aby pomóc w testowaniu aplikacji mobilnych pod kątem zagrożeń bezpieczeństwa OWASP. Jego celem jest ułatwienie i uczynienie przyjaznym dla deweloperów aplikacji mobilnych oraz specjalistów ds. bezpieczeństwa.
* Analizować znalezione domeny za pomocą: [pyssltest](https://github.com/moheshmohan/pyssltest), [testssl](https://github.com/drwetter/testssl.sh) i [whatweb](https://github.com/urbanadventurer/WhatWeb)
Z [Wikipedii](https://en.wikipedia.org/wiki/ProGuard\_\(software\)): **ProGuard** to narzędzie wiersza poleceń typu open source, które zmniejsza, optymalizuje i obfuskuje kod Java. Potrafi zoptymalizować kod bajtowy oraz wykrywać i usuwać nieużywane instrukcje. ProGuard jest oprogramowaniem darmowym i jest dystrybuowany na licencji GNU General Public License, wersja 2.
**DeGuard odwraca proces obfuskacji wykonywany przez narzędzia obfuskacji Androida. Umożliwia to przeprowadzenie licznych analiz bezpieczeństwa, w tym inspekcję kodu i przewidywanie bibliotek.**
To **uniwersalne narzędzie do deobfuskacji Androida.** Simplify **wirtualnie wykonuje aplikację**, aby zrozumieć jej zachowanie, a następnie **stara się zoptymalizować kod**, aby zachowywał się identycznie, ale był łatwiejszy do zrozumienia dla człowieka. Każdy rodzaj optymalizacji jest prosty i uniwersalny, więc nie ma znaczenia, jaki konkretny rodzaj obfuskacji jest używany.
APKiD dostarcza informacje na temat **sposobu tworzenia pliku APK**. Identyfikuje wiele **kompilatorów**, **pakowaczy**, **obfuskatorów** i innych dziwnych rzeczy. To jest [_PEiD_](https://www.aldeid.com/wiki/PEiD) dla Androida.
AndroL4b to maszyna wirtualna zabezpieczeń Androida oparta na ubuntu-mate, zawierająca najnowsze frameworki, samouczki i laboratoria od różnych maniaków bezpieczeństwa i badaczy do odwracania inżynierii i analizy złośliwego oprogramowania.
<summary><strong>Dowiedz się, jak hakować AWS od zera do bohatera z</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub grupy [**telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) na GitHubie.
