hacktricks/mobile-pentesting/android-app-pentesting

Android Uygulamaları Pentesting

{% hint style="success" %} AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin

• abonelik planlarını kontrol edin!
• Bize katılın 💬 Discord grubuna veya telegram grubuna veya bizi Twitter'da 🐦 @hacktricks_live** takip edin.**
• Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

{% endhint %}

Deneyimli hackerlar ve bug bounty avcıları ile iletişim kurmak için HackenProof Discord sunucusuna katılın!

Hacking İçgörüleri
Hacking'in heyecanı ve zorluklarına dalan içeriklerle etkileşimde bulunun

Gerçek Zamanlı Hack Haberleri
Gerçek zamanlı haberler ve içgörülerle hızlı tempolu hacking dünyasında güncel kalın

Son Duyurular
Yeni başlayan bug bounty'ler ve kritik platform güncellemeleri hakkında bilgi sahibi olun

Bize katılın Discord ve bugün en iyi hackerlarla işbirliği yapmaya başlayın!

Android Uygulamaları Temelleri

Android güvenliği ile ilgili en önemli kısımlar ve bir Android uygulamasındaki en tehlikeli bileşenler hakkında bilgi edinmek için bu sayfayı okumaya başlamanız şiddetle tavsiye edilir:

{% content-ref url="android-applications-basics.md" %} android-applications-basics.md {% endcontent-ref %}

ADB (Android Debug Bridge)

Bu, bir android cihazına (emüle edilmiş veya fiziksel) bağlanmak için ihtiyaç duyduğunuz ana araçtır.
ADB, cihazları bir bilgisayardan USB veya Ağ üzerinden kontrol etmeyi sağlar. Bu yardımcı program, dosyaların her iki yönde kopyalanması, uygulamaların yüklenmesi ve kaldırılması, shell komutlarının çalıştırılması, verilerin yedeklenmesi, logların okunması gibi işlevleri yerine getirir.

ADB'yi nasıl kullanacağınızı öğrenmek için aşağıdaki ADB Komutları listesine göz atın.

Smali

Bazen gizli bilgilere erişmek için uygulama kodunu değiştirmek ilginç olabilir (belki iyi obfuscate edilmiş şifreler veya bayraklar). Bu durumda, apk'yı decompile etmek, kodu değiştirmek ve yeniden derlemek ilginç olabilir.
Bu eğitimde APK'yı nasıl decompile edeceğinizi, Smali kodunu nasıl değiştireceğinizi ve APK'yı yeni işlevsellik ile nasıl yeniden derleyeceğinizi öğrenebilirsiniz. Bu, sunulacak dinamik analiz sırasında birkaç test için alternatif olarak çok faydalı olabilir. Bu nedenle, her zaman bu olasılığı aklınızda bulundurun.

Diğer ilginç ipuçları

• Play Store'da konumunuzu sahteleyin
• APK'ları indirin: https://apps.evozi.com/apk-downloader/, https://apkpure.com/es/, https://www.apkmirror.com/, https://apkcombo.com/es-es/apk-downloader/, https://github.com/kiber-io/apkd
• Cihazdan APK çıkarın:

adb shell pm list packages
com.android.insecurebankv2

adb shell pm path com.android.insecurebankv2
package:/data/app/com.android.insecurebankv2-Jnf8pNgwy3QA_U5f-n_4jQ==/base.apk

adb pull /data/app/com.android.insecurebankv2-Jnf8pNgwy3QA_U5f-n_4jQ==/base.apk

• Tüm bölmeleri ve temel apk'ları APKEditor ile birleştirin:

mkdir splits
adb shell pm path com.android.insecurebankv2 | cut -d ':' -f 1 | xargs -n1 -i adb pull {} splits
java -jar ../APKEditor.jar m -i splits/ -o merged.apk

# after merging, you will need to align and sign the apk, personally, I like to use the uberapksigner
java -jar uber-apk-signer.jar -a merged.apk --allowResign -o merged_signed

Statik Analiz

Öncelikle, bir APK'yı analiz etmek için Java koduna göz atmalısınız bir decompiler kullanarak.
Lütfen, farklı mevcut decompiler'lar hakkında bilgi bulmak için burayı okuyun.

İlginç Bilgiler Aramak

APK'nın string'lerine bakarak şifreler, URL'ler (https://github.com/ndelphit/apkurlgrep), api anahtarları, şifreleme, bluetooth uuids, token'lar ve ilginç olabilecek her şeyi arayabilirsiniz... hatta kod yürütme arka kapıları veya kimlik doğrulama arka kapıları (uygulama için hardcoded admin kimlik bilgileri) arayın.

Firebase

firebase URL'lerine özel dikkat gösterin ve kötü yapılandırılıp yapılandırılmadığını kontrol edin. Firebase nedir ve nasıl istismar edilir hakkında daha fazla bilgi burada.

Uygulamanın Temel Anlayışı - Manifest.xml, strings.xml

Bir uygulamanın _Manifest.xml** ve **strings.xml_** dosyalarının incelenmesi potansiyel güvenlik açıklarını ortaya çıkarabilir**. Bu dosyalara decompiler'lar kullanarak veya APK dosya uzantısını .zip olarak değiştirip ardından açarak erişilebilir.

Manifest.xml dosyasından belirlenen Açıklar şunları içerir:

• Debuggable Uygulamalar: Manifest.xml dosyasında debuggable olarak ayarlanmış (debuggable="true") uygulamalar, bağlantılara izin vererek istismar riskini artırır. Debuggable uygulamaları bulma ve istismar etme hakkında daha fazla bilgi için bir eğitime başvurun.
• Yedekleme Ayarları: Hassas bilgilerle ilgilenen uygulamalar için android:allowBackup="false" niteliği açıkça ayarlanmalıdır, böylece adb üzerinden yetkisiz veri yedeklemeleri önlenir, özellikle usb hata ayıklama etkinleştirildiğinde.
• Ağ Güvenliği: res/xml/ içindeki özel ağ güvenliği yapılandırmaları (android:networkSecurityConfig="@xml/network_security_config") sertifika pinleri ve HTTP trafiği ayarları gibi güvenlik detaylarını belirtebilir. Örneğin, belirli alanlar için HTTP trafiğine izin vermek.
• Dışa Aktarılan Aktiviteler ve Servisler: Manifestte dışa aktarılan aktiviteleri ve servisleri tanımlamak, kötüye kullanılabilecek bileşenleri vurgulayabilir. Dinamik test sırasında daha fazla analiz, bu bileşenlerin nasıl istismar edileceğini ortaya çıkarabilir.
• İçerik Sağlayıcıları ve Dosya Sağlayıcıları: Açık içerik sağlayıcıları, yetkisiz erişim veya veri değişikliği izni verebilir. Dosya sağlayıcılarının yapılandırması da incelenmelidir.
• Broadcast Alıcıları ve URL Şemaları: Bu bileşenler istismar için kullanılabilir, URL şemalarının giriş açıkları için nasıl yönetildiğine özel dikkat gösterilmelidir.
• SDK Sürümleri: minSdkVersion, targetSDKVersion ve maxSdkVersion nitelikleri desteklenen Android sürümlerini belirtir, güvenlik nedenleriyle eski, savunmasız Android sürümlerinin desteklenmemesinin önemini vurgular.

strings.xml dosyasından, API anahtarları, özel şemalar ve diğer geliştirici notları gibi hassas bilgiler keşfedilebilir, bu da bu kaynakların dikkatli bir şekilde gözden geçirilmesi gereğini vurgular.

Tapjacking

Tapjacking, kötü niyetli bir uygulamanın başlatıldığı ve bir kurban uygulamanın üzerine yerleştiği bir saldırıdır. Kurban uygulamayı görünür bir şekilde gizlediğinde, kullanıcı arayüzü, kullanıcının onunla etkileşimde bulunmasını sağlamak için tasarlanmıştır, bu arada etkileşimi kurban uygulamaya iletmektedir.
Sonuç olarak, bu, kullanıcının aslında kurban uygulamasında eylemler gerçekleştirdiğini bilmesini engellemektedir.

Daha fazla bilgi için:

{% content-ref url="tapjacking.md" %} tapjacking.md {% endcontent-ref %}

Görev Ele Geçirme

launchMode'u singleTask olarak ayarlanmış ve herhangi bir taskAffinity tanımlanmamış bir aktivite, görev ele geçirmeye karşı savunmasızdır. Bu, bir uygulamanın kurulabileceği ve gerçek uygulamadan önce başlatılırsa, gerçek uygulamanın görevini ele geçirebileceği anlamına gelir (bu durumda kullanıcı, gerçek uygulamayı kullanıyormuş gibi kötü niyetli uygulama ile etkileşimde bulunacaktır).

Daha fazla bilgi için:

{% content-ref url="android-task-hijacking.md" %} android-task-hijacking.md {% endcontent-ref %}

Güvensiz veri depolama

Dahili Depolama

Android'de, dahili depolamada saklanan dosyalar, yalnızca oluşturan uygulama tarafından erişilebilir olacak şekilde tasarlanmıştır. Bu güvenlik önlemi, Android işletim sistemi tarafından uygulanır ve çoğu uygulamanın güvenlik ihtiyaçları için genellikle yeterlidir. Ancak, geliştiriciler bazen MODE_WORLD_READABLE ve MODE_WORLD_WRITABLE gibi modları kullanarak dosyaların farklı uygulamalar arasında paylaşılmasına izin verir. Ancak, bu modlar, diğer uygulamalar, potansiyel olarak kötü niyetli olanlar dahil, bu dosyalara erişimi kısıtlamaz.

1. Statik Analiz:

• MODE_WORLD_READABLE ve MODE_WORLD_WRITABLE kullanımının dikkatlice incelenmesini sağlayın. Bu modlar, dosyaları istenmeyen veya yetkisiz erişime açabilir.

2. Dinamik Analiz:

• Uygulama tarafından oluşturulan dosyalar üzerindeki izinleri doğrulayın. Özellikle, herhangi bir dosyanın dünya çapında okunabilir veya yazılabilir olarak ayarlanıp ayarlanmadığını kontrol edin. Bu, cihazda yüklü olan herhangi bir uygulamanın, kökeni veya niyeti ne olursa olsun, bu dosyaları okumasına veya değiştirmesine izin vereceğinden önemli bir güvenlik riski oluşturabilir.

Harici Depolama

Harici depolama ile ilgili dosyalarla çalışırken, belirli önlemler alınmalıdır:

1. Erişilebilirlik:

• Harici depolamadaki dosyalar genel olarak okunabilir ve yazılabilir. Bu, herhangi bir uygulamanın veya kullanıcının bu dosyalara erişebileceği anlamına gelir.

2. Güvenlik Endişeleri:

• Erişim kolaylığı göz önüne alındığında, hassas bilgileri harici depolamada saklamamanız önerilir.
• Harici depolama, herhangi bir uygulama tarafından çıkarılabilir veya erişilebilir, bu da onu daha az güvenli hale getirir.

3. Harici Depolamadan Veri İşleme:

• Harici depolamadan alınan veriler üzerinde her zaman giriş doğrulaması yapın. Bu, verilerin güvenilir bir kaynaktan gelmediği için kritik öneme sahiptir.
• Dinamik yükleme için harici depolamada yürütülebilir veya sınıf dosyaları saklamak kesinlikle önerilmez.
• Uygulamanız harici depolamadan yürütülebilir dosyaları almak zorundaysa, bu dosyaların imzalanmış ve kriptografik olarak doğrulanmış olduğundan emin olun. Bu adım, uygulamanızın güvenlik bütünlüğünü korumak için hayati öneme sahiptir.

Harici depolama, /storage/emulated/0, /sdcard, /mnt/sdcard konumlarında erişilebilir.

{% hint style="info" %} Android 4.4 (API 17) ile birlikte, SD kartın bir dizin yapısı vardır ve bu, bir uygulamanın yalnızca o uygulama için özel olan dizine erişimini sınırlar. Bu, kötü niyetli uygulamaların başka bir uygulamanın dosyalarına okuma veya yazma erişimi kazanmasını engeller. {% endhint %}

Açık metin olarak saklanan hassas veriler

• Paylaşılan tercihleri: Android, her uygulamanın /data/data/<packagename>/shared_prefs/ yolunda xml dosyalarını kolayca kaydetmesine izin verir ve bazen bu klasörde açık metin olarak hassas bilgiler bulmak mümkündür.
• Veritabanları: Android, her uygulamanın /data/data/<packagename>/databases/ yolunda sqlite veritabanlarını kolayca kaydetmesine izin verir ve bazen bu klasörde açık metin olarak hassas bilgiler bulmak mümkündür.

Kırık TLS

Tüm Sertifikaları Kabul Etme

Bazı nedenlerden dolayı, bazen geliştiriciler tüm sertifikaları kabul eder, örneğin, ana bilgisayar adı aşağıdaki gibi kod satırlarıyla eşleşmediğinde:

SSLSocketFactory sf = new cc(trustStore);
sf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

A good way to test this is to try to capture the traffic using some proxy like Burp without authorising Burp CA inside the device. Also, you can generate with Burp a certificate for a different hostname and use it.

Kırık Kriptografi

Zayıf Anahtar Yönetim Süreçleri

Bazı geliştiriciler hassas verileri yerel depolamada saklar ve bunu kodda hardcoded/tahmin edilebilir bir anahtar ile şifreler. Bu yapılmamalıdır çünkü bazı tersine mühendislik çalışmaları, saldırganların gizli bilgileri çıkarmasına olanak tanıyabilir.

Güvensiz ve/veya Kullanımdan Kaldırılmış Algoritmaların Kullanımı

Geliştiriciler, yetkilendirme kontrolleri yapmak, veri saklamak veya göndermek için kullanımdan kaldırılmış algoritmalar kullanmamalıdır. Bu algoritmalardan bazıları: RC4, MD4, MD5, SHA1... Örneğin, şifreleri saklamak için hash kullanılıyorsa, tuz ile birlikte brute-force dayanıklı hash'ler kullanılmalıdır.

Diğer Kontroller

• APK'yı obfuscate etmek saldırganların tersine mühendislik çalışmalarını zorlaştırmak için önerilir.
• Uygulama hassas ise (banka uygulamaları gibi), mobilin köklenip köklenmediğini kontrol etmek için kendi kontrollerini gerçekleştirmelidir ve buna göre hareket etmelidir.
• Uygulama hassas ise (banka uygulamaları gibi), bir emülatör kullanılıp kullanılmadığını kontrol etmelidir.
• Uygulama hassas ise (banka uygulamaları gibi), çalıştırmadan önce kendi bütünlüğünü kontrol etmelidir.
• APK'yı oluşturmak için hangi derleyici/paketleyici/obfuscator kullanıldığını kontrol etmek için APKiD kullanın.

React Native Uygulaması

React uygulamalarının javascript koduna kolayca erişmek için aşağıdaki sayfayı okuyun:

{% content-ref url="react-native-application.md" %} react-native-application.md {% endcontent-ref %}

Xamarin Uygulamaları

Xamarin uygulamalarının C# koduna kolayca erişmek için aşağıdaki sayfayı okuyun:

{% content-ref url="../xamarin-apps.md" %} xamarin-apps.md {% endcontent-ref %}

Süper Paketlenmiş Uygulamalar

Bu blog yazısına göre süper paketlenmiş, bir uygulamanın içeriğini tek bir dosyaya sıkıştıran bir Meta algoritmadır. Blog, bu tür uygulamaları açan bir uygulama oluşturma olasılığından bahsediyor... ve uygulamayı çalıştırmayı ve dosya sisteminden açılmış dosyaları toplamayı içeren daha hızlı bir yol.

Otomatik Statik Kod Analizi

mariana-trench aracı, uygulamanın kodunu tarayarak zayıflıkları bulma yeteneğine sahiptir. Bu araç, kullanıcı tarafından kontrol edilen giriş yerlerini gösteren bir dizi bilinen kaynak içerir, sink (kötü niyetli kullanıcı girişinin zarar verebileceği tehlikeli yerleri gösterir) ve kurallar içerir. Bu kurallar, bir zayıflığı gösteren kaynak-sink kombinasyonlarını belirtir.

Bu bilgiyle, mariana-trench kodu gözden geçirecek ve olası zayıflıkları bulacaktır.

Sırların Sızması

Bir uygulama, içinde keşfedebileceğiniz sırlar (API anahtarları, şifreler, gizli URL'ler, alt alan adları...) içerebilir. https://github.com/dwisiswant0/apkleaks gibi bir araç kullanabilirsiniz.

Biyometrik Kimlik Doğrulamasını Atlatma

{% content-ref url="bypass-biometric-authentication-android.md" %} bypass-biometric-authentication-android.md {% endcontent-ref %}

Diğer İlginç Fonksiyonlar

• Kod yürütme: Runtime.exec(), ProcessBuilder(), native code:system()
• SMS Gönderme: sendTextMessage, sendMultipartTestMessage
• native olarak tanımlanan Yerel fonksiyonlar: public native, System.loadLibrary, System.load
• Yerel fonksiyonları tersine mühendislik yapmayı öğrenmek için bunu okuyun

Diğer Hileler

{% content-ref url="content-protocol.md" %} content-protocol.md {% endcontent-ref %}

---

Deneyimli hackerlar ve bug bounty avcıları ile iletişim kurmak için HackenProof Discord sunucusuna katılın!

Hacking İçgörüleri
Hacking'in heyecanı ve zorluklarına dalan içeriklerle etkileşimde bulunun.

Gerçek Zamanlı Hack Haberleri
Hızla değişen hacking dünyasında gerçek zamanlı haberler ve içgörülerle güncel kalın.

Son Duyurular
Yeni başlayan bug bounty'ler ve kritik platform güncellemeleri hakkında bilgi sahibi olun.

Bugün Discord üzerinden bize katılın ve en iyi hackerlarla işbirliği yapmaya başlayın!

---

Dinamik Analiz

Öncelikle, uygulamayı ve tüm ortamı (özellikle Burp CA sertifikası, Drozer ve Frida) kurabileceğiniz bir ortama ihtiyacınız var. Bu nedenle, köklü bir cihaz (emüle edilmiş veya değil) son derece önerilir.

Çevrimiçi Dinamik Analiz

https://appetize.io/ adresinde ücretsiz bir hesap oluşturabilirsiniz. Bu platform, APK'ları yüklemenize ve çalıştırmanıza olanak tanır, bu nedenle bir apk'nın nasıl davrandığını görmek için faydalıdır.

Uygulamanızın loglarını webde görebilir ve adb üzerinden bağlanabilirsiniz.

ADB bağlantısı sayesinde emülatörler içinde Drozer ve Frida kullanabilirsiniz.

Yerel Dinamik Analiz

Bir emülatör kullanarak

• Android Studio ( x86 ve arm cihazlar oluşturabilirsiniz ve buen son x86 sürümleri ARM kütüphanelerini yavaş bir arm emülatörüne ihtiyaç duymadan destekler).
• Bunu ayarlamayı öğrenmek için bu sayfayı okuyun:

{% content-ref url="avd-android-virtual-device.md" %} avd-android-virtual-device.md {% endcontent-ref %}

• Genymotion (Ücretsiz sürüm: Kişisel Sürüm, bir hesap oluşturmanız gerekir. Potansiyel hataları önlemek için VirtualBox ile sürümü indirmek önerilir.)
• Nox (Ücretsiz, ancak Frida veya Drozer'ı desteklemiyor).

{% hint style="info" %} Yeni bir emülatör oluştururken, ekranın ne kadar büyük olursa, emülatörün o kadar yavaş çalışacağını unutmayın. Bu nedenle mümkünse küçük ekranlar seçin. {% endhint %}

Genymotion'da Google hizmetlerini (AppStore gibi) yüklemek için aşağıdaki resmin kırmızı ile işaretlenmiş butonuna tıklamanız gerekir:

Ayrıca, Genymotion'daki Android VM yapılandırmasında Bridge Network mode seçeneğini seçebileceğinizi unutmayın (bu, Android VM'ye farklı bir VM'den bağlanıyorsanız faydalı olacaktır).

Fiziksel bir cihaz kullanma

hata ayıklama seçeneklerini etkinleştirmeniz gerekir ve cihazı root edebilirseniz harika olur:

1. Ayarlar.
2. (Android 8.0'dan itibaren) Sistem'i seçin.
3. Telefon Hakkında'yı seçin.
4. Build numarasına 7 kez basın.
5. Geri dönün ve Geliştirici seçeneklerini bulacaksınız.

Uygulamayı yükledikten sonra yapmanız gereken ilk şey, onu denemek ve ne yaptığını, nasıl çalıştığını araştırmak ve onunla rahat olmaktır.
Bu ilk dinamik analizi MobSF dinamik analizi + pidcat kullanarak gerçekleştirmeyi öneririm, böylece uygulamanın nasıl çalıştığını öğrenebiliriz ve MobSF ilginç verileri toplarken daha sonra gözden geçirebiliriz.

İstenmeyen Veri Sızıntısı

Günlükleme

Geliştiriciler, hata ayıklama bilgilerini kamuya açık bir şekilde ifşa etmekten kaçınmalıdır, çünkü bu hassas veri sızıntılarına yol açabilir. Uygulama günlüklerini izlemek ve hassas bilgileri korumak için pidcat ve adb logcat araçları önerilir. Pidcat, kullanım kolaylığı ve okunabilirliği nedeniyle tercih edilmektedir.

{% hint style="warning" %} Android 4.0'dan daha yeni sürümlerden itibaren, uygulamalar yalnızca kendi günlüklerine erişebilir. Yani uygulamalar diğer uygulamaların günlüklerine erişemez.
Yine de, hassas bilgileri günlüğe kaydetmemek önerilir. {% endhint %}

Kopyala/Yapıştır Tamponu Önbellekleme

Android'in panoya dayalı çerçevesi, uygulamalarda kopyala-yapıştır işlevselliği sağlar, ancak diğer uygulamalar panoya erişebileceğinden hassas verilerin açığa çıkma riski taşır. Hassas bölümler için kopyala/yapıştır işlevlerini devre dışı bırakmak, kredi kartı bilgileri gibi, veri sızıntılarını önlemek için kritik öneme sahiptir.

Çökme Günlükleri

Bir uygulama çökerse ve günlükleri kaydederse, bu günlükler saldırganlara yardımcı olabilir, özellikle uygulama tersine mühendislik yapılamıyorsa. Bu riski azaltmak için, çökme durumunda günlüğe kaydetmekten kaçının ve eğer günlükler ağ üzerinden iletilmesi gerekiyorsa, güvenlik için SSL kanalı üzerinden gönderildiğinden emin olun.

Pentester olarak, bu günlükleri gözden geçirmeye çalışın.

Üçüncü Taraflara Gönderilen Analitik Veriler

Uygulamalar genellikle Google Adsense gibi hizmetleri entegre eder, bu da geliştiricilerin yanlış uygulaması nedeniyle hassas verilerin sızmasına neden olabilir. Potansiyel veri sızıntılarını belirlemek için, uygulamanın trafiğini yakalamak ve üçüncü taraf hizmetlere gönderilen hassas bilgileri kontrol etmek önerilir.

SQLite DB'leri

Çoğu uygulama, bilgileri saklamak için içsel SQLite veritabanları kullanır. Pentest sırasında oluşturulan veritabanlarına, tabloların ve sütunların adlarına ve saklanan tüm verilere bir göz atın çünkü hassas bilgiler bulabilirsiniz (bu bir zayıflık olacaktır).
Veritabanları /data/data/the.package.name/databases gibi /data/data/com.mwr.example.sieve/databases konumunda bulunmalıdır.

Eğer veritabanı gizli bilgileri saklıyorsa ve şifrelenmişse ancak uygulama içinde şifreyi bulabiliyorsanız, bu hala bir zayıflıktır.

Tabloları .tables ile listeleyin ve tabloların sütunlarını .schema <table_name> ile listeleyin.

Drozer (Sömürü Faaliyetleri, İçerik Sağlayıcıları ve Hizmetler)

Drozer Belgeleri'nden: Drozer, bir Android uygulamasının rolünü üstlenmenizi ve diğer uygulamalarla etkileşimde bulunmanızı sağlar. Yüklü bir uygulamanın yapabileceği her şeyi yapabilir, örneğin Android’in Araçlar Arası İletişim (IPC) mekanizmasını kullanabilir ve temel işletim sistemi ile etkileşimde bulunabilir.
Drozer, dışa aktarılan faaliyetleri, dışa aktarılan hizmetleri ve İçerik Sağlayıcıları sömürmek için faydalı bir araçtır, bunu aşağıdaki bölümlerde öğreneceksiniz.

Dışa Aktarılan Faaliyetleri Sömürme

Bir Android Faaliyeti'nin ne olduğunu tazelemek istiyorsanız bunu okuyun.
Ayrıca, bir faaliyetin kodunun onCreate metodunda başladığını unutmayın.

Yetkilendirme atlatma

Bir Faaliyet dışa aktarıldığında, ekranını harici bir uygulamadan çağırabilirsiniz. Bu nedenle, hassas bilgileri içeren bir faaliyet dışa aktarıldıysa, kimlik doğrulama mekanizmalarını atlatabilirsiniz.

Drozer ile dışa aktarılan faaliyetleri nasıl sömüreceğinizi öğrenin.

Ayrıca adb'den dışa aktarılan bir faaliyeti başlatabilirsiniz:

• Paket Adı com.example.demo
• Dışa Aktarılan Faaliyet Adı com.example.test.MainActivity

adb shell am start -n com.example.demo/com.example.test.MainActivity

NOT: MobSF, bir aktivitede android:launchMode olarak singleTask/singleInstance kullanımını kötü niyetli olarak tespit edecektir, ancak buna göre, bu görünüşte yalnızca eski sürümlerde (API sürümleri < 21) tehlikelidir.

{% hint style="info" %} Bir yetkilendirme atlamanın her zaman bir zafiyet olmadığını unutmayın, bu atlamanın nasıl çalıştığına ve hangi bilgilerin açığa çıktığına bağlıdır. {% endhint %}

Hassas bilgi sızıntısı

Aktiviteler ayrıca sonuç döndürebilir. Eğer setResult metodunu çağıran ve hassas bilgi döndüren bir dışa aktarılmış ve korunmasız aktivite bulursanız, burada bir hassas bilgi sızıntısı vardır.

Tapjacking

Eğer tapjacking engellenmezse, dışa aktarılmış aktiviteyi kullanıcının beklenmedik eylemler gerçekleştirmesi için kötüye kullanabilirsiniz. Daha fazla bilgi için tapjacking nedir bağlantısını takip edin.

İçerik Sağlayıcılarını Sömürme - Hassas bilgilere erişim ve manipülasyon

Bir İçerik Sağlayıcının ne olduğunu tazelemek istiyorsanız bunu okuyun.
İçerik sağlayıcıları temelde veri paylaşmak için kullanılır. Eğer bir uygulamanın mevcut içerik sağlayıcıları varsa, onlardan hassas verileri çıkartma imkanınız olabilir. Ayrıca olası SQL enjeksiyonlarını ve Path Traversals'ı test etmek de ilginçtir çünkü bunlar zayıf olabilir.

Drozer ile İçerik Sağlayıcıları nasıl sömüreceğinizi öğrenin.

Hizmetleri Sömürme

Bir Servisin ne olduğunu tazelemek istiyorsanız bunu okuyun.
Bir Servisin eylemlerinin onStartCommand metodunda başladığını unutmayın.

Servis, temelde veri alabilen, işleyebilen ve bir yanıt döndüren (ya da döndürmeyen) bir şeydir. Dolayısıyla, bir uygulama bazı hizmetleri dışa aktarıyorsa, ne yaptığını anlamak için kodunu kontrol etmeli ve gizli bilgileri çıkartmak, kimlik doğrulama önlemlerini atlamak için dinamik olarak test etmelisiniz...
Drozer ile Hizmetleri nasıl sömüreceğinizi öğrenin.

Yayın Alıcılarını Sömürme

Bir Yayın Alıcısının ne olduğunu tazelemek istiyorsanız bunu okuyun.
Bir Yayın Alıcısının eylemlerinin onReceive metodunda başladığını unutmayın.

Bir yayın alıcısı bir tür mesaj bekleyecektir. Alıcının mesajı nasıl işlediğine bağlı olarak zayıf olabilir.
Drozer ile Yayın Alıcılarını nasıl sömüreceğinizi öğrenin.

Şemaları / Derin bağlantıları Sömürme

Derin bağlantıları manuel olarak, MobSF gibi araçlar veya bu script gibi scriptler kullanarak arayabilirsiniz.
Bir beyan edilmiş şemayı adb veya bir tarayıcı kullanarak açabilirsiniz:

{% code overflow="wrap" %}

adb shell am start -a android.intent.action.VIEW -d "scheme://hostname/path?param=value" [your.package.name]

{% endcode %}

Dikkat edin ki paket adını atlayabilirsiniz ve mobil otomatik olarak o bağlantıyı açması gereken uygulamayı çağıracaktır.

{% code overflow="wrap" %}

<!-- Browser regular link -->
<a href="scheme://hostname/path?param=value">Click me</a>
<!-- fallback in your url you could try the intent url -->
<a href="intent://hostname#Intent;scheme=scheme;package=your.package.name;S.browser_fallback_url=http%3A%2F%2Fwww.example.com;end">with alternative</a>

{% endcode %}

Kod çalıştırıldı

Uygulamada çalıştırılacak kodu bulmak için, derin bağlantıyla çağrılan aktiviteye gidin ve onNewIntent fonksiyonunu arayın.

Hassas bilgi

Her derin bağlantı bulduğunuzda, URL parametreleri aracılığıyla hassas veri (şifreler gibi) almadığından emin olun, çünkü başka bir uygulama derin bağlantıyı taklit edebilir ve bu veriyi çalabilir!

Yolda parametreler

URL'nin yolunda bir parametre kullanıp kullanmadığını da kontrol etmelisiniz; örneğin: https://api.example.com/v1/users/{username}. Bu durumda, example://app/users?username=../../unwanted-endpoint%3fparam=value gibi bir yol geçişi zorlayabilirsiniz.
Uygulama içinde doğru uç noktaları bulursanız, Açık Yönlendirme (eğer yolun bir kısmı alan adı olarak kullanılıyorsa), hesap ele geçirme (eğer kullanıcı detaylarını CSRF token olmadan değiştirebiliyorsanız ve zayıf uç nokta doğru yöntemi kullanıyorsa) ve diğer zayıflıkları tetikleyebilirsiniz. Daha fazla bilgi burada.

Daha fazla örnek

Bağlantılar hakkında ilginç bir hata ödül raporu (/.well-known/assetlinks.json).

Taşıma Katmanı İncelemesi ve Doğrulama Hataları

• Sertifikalar her zaman düzgün bir şekilde incelenmez. Android uygulamalarının bu uyarıları göz ardı etmesi ve kendinden imzalı sertifikaları kabul etmesi yaygındır veya bazı durumlarda HTTP bağlantılarına geri dönmesi mümkündür.
• SSL/TLS el sıkışması sırasında müzakereler bazen zayıftır, güvensiz şifreleme takımları kullanır. Bu zayıflık, bağlantıyı adam ortada (MITM) saldırılarına karşı savunmasız hale getirir ve saldırganların verileri şifrelerini çözmesine olanak tanır.
• Özel bilgilerin sızması, uygulamalar güvenli kanallar kullanarak kimlik doğrulaması yaparken, diğer işlemler için güvensiz kanallar üzerinden iletişim kurmaları durumunda bir risk oluşturur. Bu yaklaşım, oturum çerezleri veya kullanıcı detayları gibi hassas verilerin kötü niyetli varlıklar tarafından ele geçirilmesini koruyamaz.

Sertifika Doğrulama

Sertifika doğrulama üzerine odaklanacağız. Sunucunun sertifikasının bütünlüğü, güvenliği artırmak için doğrulanmalıdır. Bu, güvensiz TLS yapılandırmaları ve şifrelenmemiş kanallar üzerinden hassas verilerin iletilmesi önemli riskler oluşturabileceğinden kritik öneme sahiptir. Sunucu sertifikalarını doğrulama ve zayıflıkları giderme ile ilgili ayrıntılı adımlar için, bu kaynak kapsamlı rehberlik sağlamaktadır.

SSL Pinning

SSL Pinning, uygulamanın sunucunun sertifikasını uygulama içinde saklanan bilinen bir kopya ile doğruladığı bir güvenlik önlemidir. Bu yöntem, MITM saldırılarını önlemek için gereklidir. Hassas bilgi işleyen uygulamalar için SSL Pinning uygulamak şiddetle önerilir.

Trafik İncelemesi

HTTP trafiğini incelemek için, proxy aracının sertifikasını yüklemek gereklidir (örneğin, Burp). Bu sertifikayı yüklemeden, şifrelenmiş trafik proxy üzerinden görünmeyebilir. Özel CA sertifikası yükleme rehberi için, buraya tıklayın.

API Seviye 24 ve üzeri hedefleyen uygulamalar, proxy'nin CA sertifikasını kabul etmek için Ağ Güvenliği Yapılandırmasında değişiklikler gerektirir. Bu adım, şifrelenmiş trafiği incelemek için kritik öneme sahiptir. Ağ Güvenliği Yapılandırmasını değiştirme talimatları için, bu eğitime başvurun.

SSL Pinning'i Atlatma

SSL Pinning uygulandığında, HTTPS trafiğini incelemek için bunu atlatmak gerekli hale gelir. Bu amaçla çeşitli yöntemler mevcuttur:

• apk'yi otomatik olarak değiştirerek SSL Pinning'i apk-mitm ile atlatabilirsiniz. Bu seçeneğin en iyi yanı, SSL Pinning'i atlatmak için root'a ihtiyacınız olmamasıdır, ancak uygulamayı silip yeni olanı yeniden yüklemeniz gerekecek ve bu her zaman işe yaramayabilir.
• Bu korumayı atlatmak için Frida kullanabilirsiniz (aşağıda tartışılmıştır). Burp+Frida+Genymotion kullanma rehberiniz burada: https://spenkk.github.io/bugbounty/Configuring-Frida-with-Burp-and-GenyMotion-to-bypass-SSL-Pinning/
• SSL Pinning'i otomatik olarak atlatmayı objection** ile deneyebilirsiniz:** objection --gadget com.package.app explore --startup-command "android sslpinning disable"
• MobSF dinamik analizi kullanarak da SSL Pinning'i otomatik olarak atlatmayı deneyebilirsiniz (aşağıda açıklanmıştır).
• Hala yakalamadığınız bazı trafiğin olduğunu düşünüyorsanız, trafiği iptables kullanarak burp'a yönlendirmeyi deneyebilirsiniz. Bu blogu okuyun: https://infosecwriteups.com/bypass-ssl-pinning-with-ip-forwarding-iptables-568171b52b62

Yaygın Web Zayıflıklarını Arama

Uygulama içinde yaygın web zayıflıklarını da aramak önemlidir. Bu zayıflıkları tanımlama ve hafifletme ile ilgili ayrıntılı bilgiler bu özetin kapsamının ötesindedir, ancak başka yerlerde kapsamlı bir şekilde ele alınmaktadır.

Frida

Frida, geliştiriciler, ters mühendisler ve güvenlik araştırmacıları için dinamik enstrümantasyon araç takımıdır.
Çalışan uygulamaya erişebilir ve çalışma zamanında yöntemleri bağlayarak davranışları değiştirebilir, değerleri değiştirebilir, değerleri çıkarabilir, farklı kodlar çalıştırabilirsiniz...
Android uygulamalarını pentest etmek istiyorsanız, Frida'yı nasıl kullanacağınızı bilmelisiniz.

• Frida'yı nasıl kullanacağınızı öğrenin: Frida eğitimi
• Frida ile eylemler için bazı "GUI": https://github.com/m0bilesecurity/RMS-Runtime-Mobile-Security
• Ojection, Frida kullanımını otomatikleştirmek için harika: https://github.com/sensepost/objection , https://github.com/dpnishant/appmon
• Burada bazı harika Frida betikleri bulabilirsiniz: https://codeshare.frida.re/
• Frida'yı yükleyerek anti-debugging / anti-frida mekanizmalarını atlatmayı deneyin, https://erfur.github.io/blog/dev/code-injection-without-ptrace (araç linjector)

Belleği Dökme - Fridump

Uygulamanın, saklamaması gereken hassas bilgileri (şifreler veya mnemonikler gibi) bellekte saklayıp saklamadığını kontrol edin.

Fridump3 kullanarak uygulamanın belleğini dökebilirsiniz:

# With PID
python3 fridump3.py -u <PID>

# With name
frida-ps -Uai
python3 fridump3.py -u "<Name>"

Bu, belleği ./dump klasörüne dökecektir ve orada şunlarla grep yapabilirsiniz:

{% code overflow="wrap" %}

strings * | grep -E "^[a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+$"

{% endcode %}

Keystore'daki Hassas Veriler

Android'de Keystore, hassas verileri saklamak için en iyi yerdir, ancak yeterli ayrıcalıklara sahip olunduğunda erişmek mümkündür. Uygulamalar burada genellikle hassas verileri düz metin olarak sakladığından, pentestler bunun için root kullanıcı olarak kontrol edilmelidir veya cihaza fiziksel erişimi olan birisi bu verileri çalabilir.

Bir uygulama verileri keystore'da saklasa bile, verilerin şifrelenmiş olması gerekir.

Keystore içindeki verilere erişmek için bu Frida script'ini kullanabilirsiniz: https://github.com/WithSecureLabs/android-keystore-audit/blob/master/frida-scripts/tracer-cipher.js

frida -U -f com.example.app -l frida-scripts/tracer-cipher.js

Parmak İzi/Biyometrik Bypass

Aşağıdaki Frida scriptini kullanarak, Android uygulamalarının belirli hassas alanları korumak için gerçekleştirebileceği parmak izi kimlik doğrulamasını atlamak mümkün olabilir:

{% code overflow="wrap" %}

frida --codeshare krapgras/android-biometric-bypass-update-android-11 -U -f <app.package>

{% endcode %}

Arka Plan Görüntüleri

Bir uygulamayı arka plana aldığınızda, Android uygulamanın bir anlık görüntüsünü saklar, böylece ön plana geri döndüğünde, uygulama yüklenmeden önce görüntüyü yüklemeye başlar, bu da uygulamanın daha hızlı yüklendiği izlenimini verir.

Ancak, bu anlık görüntü hassas bilgiler içeriyorsa, anlık görüntüye erişimi olan biri bu bilgileri çalıp alabilir (erişim için root gereklidir).

Anlık görüntüler genellikle şurada saklanır: /data/system_ce/0/snapshots

Android, FLAG_SECURE düzen parametresini ayarlayarak ekran görüntüsü alımını önlemenin bir yolunu sağlar. Bu bayrağı kullanarak, pencere içeriği güvenli olarak kabul edilir, bu da ekran görüntülerinde görünmesini veya güvenli olmayan ekranlarda görüntülenmesini engeller.

getWindow().setFlags(LayoutParams.FLAG_SECURE, LayoutParams.FLAG_SECURE);

Android Uygulama Analizörü

Bu araç, dinamik analiz sırasında farklı araçları yönetmenize yardımcı olabilir: https://github.com/NotSoSecure/android_application_analyzer

Intent Enjeksiyonu

Geliştiriciler genellikle bu Intents'i işleyen ve startActivity(...) veya sendBroadcast(...) gibi yöntemlere ileten proxy bileşenleri, aktiviteleri, hizmetleri ve yayın alıcıları oluştururlar; bu da riskli olabilir.

Tehlike, saldırganların bu Intents'i yanlış yönlendirerek dışa aktarılmamış uygulama bileşenlerini tetiklemelerine veya hassas içerik sağlayıcılarına erişmelerine izin vermekte yatmaktadır. Dikkate değer bir örnek, URL'leri Intent nesnelerine dönüştüren WebView bileşenidir; bu, kötü niyetli Intent enjeksiyonlarına yol açabilir.

Temel Çıkarımlar

• Intent Enjeksiyonu, webin Açık Yönlendirme sorununa benzer.
• Sömürü, Intent nesnelerini ekstra olarak geçirmeyi içerir; bu, güvensiz işlemleri gerçekleştirmek için yönlendirilebilir.
• Dışa aktarılmamış bileşenleri ve içerik sağlayıcılarını saldırganlara açabilir.
• WebView’in URL'den Intent dönüşümü, istenmeyen eylemleri kolaylaştırabilir.

Android İstemci Tarafı Enjeksiyonları ve Diğerleri

Bu tür zafiyetler hakkında Web'den bilgi sahibi olmalısınız. Android uygulamasında bu zafiyetlere karşı özellikle dikkatli olmalısınız:

• SQL Enjeksiyonu: Dinamik sorgular veya İçerik Sağlayıcılarla çalışırken, parametreli sorgular kullandığınızdan emin olun.
• JavaScript Enjeksiyonu (XSS): Herhangi bir WebView için JavaScript ve Eklenti desteğinin devre dışı olduğundan emin olun (varsayılan olarak devre dışı). Buradan daha fazla bilgi.
• Yerel Dosya Dahil Etme: WebView'lerin dosya sistemine erişimi devre dışı olmalıdır (varsayılan olarak etkin) - (webview.getSettings().setAllowFileAccess(false);). Buradan daha fazla bilgi.
• Sonsuz çerezler: Android uygulaması oturumu bitirdiğinde çerez iptal edilmez veya hatta diske kaydedilebilir.
• Çerezlerde Güvenli Bayrak

---

Deneyimli hackerlar ve hata ödülü avcıları ile iletişim kurmak için HackenProof Discord sunucusuna katılın!

Hacking İçgörüleri
Hacking'in heyecanı ve zorluklarına dalan içeriklerle etkileşimde bulunun

Gerçek Zamanlı Hack Haberleri
Gerçek zamanlı haberler ve içgörülerle hızlı tempolu hacking dünyasında güncel kalın

Son Duyurular
Yeni başlayan hata ödülleri ve önemli platform güncellemeleri hakkında bilgi sahibi olun

Bize katılın Discord ve bugün en iyi hackerlarla işbirliği yapmaya başlayın!

Otomatik Analiz

MobSF

Statik analiz

Uygulamanın zafiyet değerlendirmesi, güzel bir web tabanlı ön yüz kullanarak yapılır. Dinamik analiz de gerçekleştirebilirsiniz (ancak ortamı hazırlamanız gerekir).

docker pull opensecurity/mobile-security-framework-mobsf
docker run -it -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest

Notice that MobSF can analyse Android(apk), IOS(ipa) and Windows(apx) applications (Windows uygulamaları, Windows ana bilgisayarında kurulu bir MobSF'den analiz edilmelidir).
Ayrıca, bir Android veya IOS uygulamasının kaynak koduyla bir ZIP dosyası oluşturursanız (uygulamanın kök klasörüne gidin, her şeyi seçin ve bir ZIP dosyası oluşturun), bunu da analiz edebilecektir.

MobSF ayrıca diff/Compare analizine ve VirusTotal entegrasyonuna izin verir (API anahtarınızı MobSF/settings.py dosyasına ayarlamanız ve etkinleştirmeniz gerekecek: VT_ENABLED = TRUE VT_API_KEY = <API anahtarınız> VT_UPLOAD = TRUE). VT_UPLOAD'ı False olarak ayarlayabilirsiniz, böylece hash dosya yerine yüklenir.

MobSF ile Yardımlı Dinamik Analiz

MobSF, Android'de dinamik analiz için de çok yardımcı olabilir, ancak bu durumda MobSF ve genymotion'ı ana bilgisayarınıza kurmanız gerekecek (bir VM veya Docker çalışmayacaktır). Not: Öncelikle genymotion'da bir VM başlatmalısınız ve sonra MobSF'yi başlatmalısınız.
MobSF dinamik analizörü şunları yapabilir:

• Uygulama verilerini dökme (URL'ler, günlükler, panoya kopyalananlar, sizin yaptığınız ekran görüntüleri, "Exported Activity Tester" tarafından yapılan ekran görüntüleri, e-postalar, SQLite veritabanları, XML dosyaları ve diğer oluşturulan dosyalar). Tüm bunlar otomatik olarak yapılır, ekran görüntüleri için istediğinizde basmanız veya tüm dışa aktarılan etkinliklerin ekran görüntülerini elde etmek için "Exported Activity Tester" butonuna basmanız gerekir.
• HTTPS trafiğini yakalama
• Çalışma zamanı bilgilerini elde etmek için Frida kullanma

Android sürümleri > 5'ten itibaren, Frida'yı otomatik olarak başlatacak ve trafiği yakalamak için global proxy ayarlarını ayarlayacaktır. Sadece test edilen uygulamadan gelen trafiği yakalayacaktır.

Frida

Varsayılan olarak, SSL pinning, root tespiti ve hata ayıklayıcı tespiti atlamak ve ilginç API'leri izlemek için bazı Frida Script'lerini de kullanacaktır.
MobSF ayrıca dışa aktarılan etkinlikleri çağırabilir, bunların ekran görüntülerini alabilir ve rapor için kaydedebilir.

Dinamik testi başlatmak için yeşil butona basın: "Start Instrumentation". Frida script'leri tarafından üretilen günlükleri görmek için "Frida Live Logs" butonuna basın ve bağlı yöntemlere yapılan tüm çağrıları, geçirilen argümanları ve döndürülen değerleri görmek için "Live API Monitor" butonuna basın (bu, "Start Instrumentation" butonuna bastıktan sonra görünecektir).
MobSF ayrıca kendi Frida script'lerinizi yüklemenize izin verir (Frida script'lerinizin sonuçlarını MobSF'ye göndermek için send() fonksiyonunu kullanın). Ayrıca yükleyebileceğiniz birçok önceden yazılmış script vardır (daha fazlasını MobSF/DynamicAnalyzer/tools/frida_scripts/others/ dizinine ekleyebilirsiniz), sadece seçin, "Load" butonuna basın ve "Start Instrumentation" butonuna basın (o script'lerin günlüklerini "Frida Live Logs" içinde görebileceksiniz).

Ayrıca, bazı Yardımcı Frida işlevsellikleriniz var:

• Yüklenen Sınıfları Sayma: Yüklenen tüm sınıfları yazdırır
• Dizeleri Yakalama: Uygulama kullanılırken tüm yakalanan dizeleri yazdırır (çok gürültülü)
• Dize Karşılaştırmalarını Yakalama: Çok faydalı olabilir. Karşılaştırılan 2 dizeyi gösterecek ve sonucun True veya False olup olmadığını belirtecektir.
• Sınıf Yöntemlerini Sayma: Sınıf adını (örneğin "java.io.File") girin ve sınıfın tüm yöntemlerini yazdıracaktır.
• Sınıf Deseni Arama: Desene göre sınıfları arama
• Sınıf Yöntemlerini İzleme: Bütün bir sınıfı izleme (sınıfın tüm yöntemlerinin giriş ve çıkışlarını görme). Varsayılan olarak MobSF, birkaç ilginç Android API yöntemini izler.

Kullanmak istediğiniz yardımcı modülü seçtikten sonra "Start Instrumentation" butonuna basmanız gerekir ve tüm çıktıları "Frida Live Logs" içinde göreceksiniz.

Shell

Mobsf ayrıca dinamik analiz sayfasının altında bazı adb komutları, MobSF komutları ve yaygın shell komutları ile bir shell sunar. Bazı ilginç komutlar:

help
shell ls
activities
exported_activities
services
receivers

HTTP araçları

HTTP trafiği yakalandığında, "HTTP(S) Trafiği" altındaki yakalanan trafiğin çirkin bir görünümünü veya "HTTP Araçlarını Başlat" yeşil butonundaki daha güzel bir görünümünü görebilirsiniz. İkinci seçenekten, yakalanan istekleri Burp veya Owasp ZAP gibi proxy'lere gönderebilirsiniz.
Bunu yapmak için, Burp'ı açın --> Intercept'i kapatın --> MobSB HTTP Araçları'nda isteği seçin --> "Fuzzer'a Gönder" butonuna basın --> proxy adresini seçin (http://127.0.0.1:8080\).

MobSF ile dinamik analizi tamamladıktan sonra, http isteklerini fuzz yapmak ve güvenlik açıklarını aramak için "Web API Fuzzer'ı Başlat" butonuna basabilirsiniz.

{% hint style="info" %} MobSF ile dinamik bir analiz gerçekleştirdikten sonra proxy ayarları yanlış yapılandırılmış olabilir ve bunları GUI'den düzeltemezsiniz. Proxy ayarlarını düzeltmek için:

adb shell settings put global http_proxy :0

{% endhint %}

Inspeckage ile Yardımlı Dinamik Analiz

Aracı Inspeckage adresinden edinebilirsiniz.
Bu araç, dinamik analiz yaparken uygulamada neler olduğunu anlamanızı sağlamak için bazı Hooks kullanır.

Yaazhini

Bu, GUI ile statik analiz yapmak için harika bir araçtır.

Qark

Bu araç, kaynak kodunda veya paketlenmiş APK'larda çeşitli güvenlik ile ilgili Android uygulama zafiyetlerini aramak için tasarlanmıştır. Araç ayrıca, bulunan bazı zafiyetleri (Açık aktiviteler, niyetler, tapjacking...) istismar etmek için "Proof-of-Concept" dağıtılabilir APK ve ADB komutları oluşturma yeteneğine de sahiptir. Drozer ile olduğu gibi, test cihazını rootlamaya gerek yoktur.

pip3 install --user qark  # --user is only needed if not using a virtualenv
qark --apk path/to/my.apk
qark --java path/to/parent/java/folder
qark --java path/to/specific/java/file.java

ReverseAPK

• Kolay referans için tüm çıkarılan dosyaları görüntüler
• APK dosyalarını otomatik olarak Java ve Smali formatına decompile eder
• Yaygın güvenlik açıkları ve davranışlar için AndroidManifest.xml'i analiz eder
• Yaygın güvenlik açıkları ve davranışlar için statik kaynak kodu analizi
• Cihaz bilgisi
• ve daha fazlası

reverse-apk relative/path/to/APP.apk

SUPER Android Analyzer

SUPER, Windows, MacOS X ve Linux'ta kullanılabilen bir komut satırı uygulamasıdır ve güvenlik açıklarını aramak için .apk dosyalarını analiz eder. Bunu, APK'ları açarak ve bu güvenlik açıklarını tespit etmek için bir dizi kural uygulayarak yapar.

Tüm kurallar rules.json dosyasında toplanmıştır ve her şirket veya testçi, ihtiyaç duydukları şeyleri analiz etmek için kendi kurallarını oluşturabilir.

En son ikili dosyaları indirme sayfasından indirin.

super-analyzer {apk_file}

StaCoAn

StaCoAn, mobil uygulamalar üzerinde statik kod analizi gerçekleştiren geliştiricilere, bugbounty avcılarına ve etik hackerlara yardımcı olan çapraz platform bir araçtır.

Kavram, mobil uygulama dosyanızı (bir .apk veya .ipa dosyası) StaCoAn uygulamasına sürükleyip bırakmanız ve bunun için size görsel ve taşınabilir bir rapor oluşturmasıdır. Özelleştirilmiş bir deneyim elde etmek için ayarları ve kelime listelerini değiştirebilirsiniz.

En son sürümü indirin:

./stacoan

AndroBugs

AndroBugs Framework, geliştiricilerin veya hackerların Android uygulamalarındaki potansiyel güvenlik açıklarını bulmalarına yardımcı olan bir Android zafiyet analiz sistemidir.
Windows sürümleri

python androbugs.py -f [APK file]
androbugs.exe -f [APK file]

Androwarn

Androwarn, bir Android uygulaması tarafından geliştirilen potansiyel kötü niyetli davranışları tespit etmek ve kullanıcıyı uyarmak amacıyla tasarlanmış bir araçtır.

Tespit, uygulamanın Dalvik bytecode'unun statik analizi ile gerçekleştirilir ve bu, Smali olarak temsil edilir; androguard kütüphanesi kullanılır.

Bu araç, aşağıdaki gibi "kötü" uygulamaların yaygın davranışlarını arar: Telefon kimliklerinin sızdırılması, Ses/görüntü akışının kesilmesi, PIM verilerinin değiştirilmesi, Rastgele kod yürütme...

python androwarn.py -i my_application_to_be_analyzed.apk -r html -v 3

MARA Framework

MARA, Mobil Uygulama Tersten mühendislik ve Analiz Çerçevesidir. Bu, mobil uygulamaları OWASP mobil güvenlik tehditlerine karşı test etmeye yardımcı olmak için yaygın olarak kullanılan mobil uygulama ters mühendislik ve analiz araçlarını bir araya getiren bir araçtır. Amacı, bu görevi mobil uygulama geliştiricileri ve güvenlik profesyonelleri için daha kolay ve daha dostane hale getirmektir.

Şunları yapabilir:

• Farklı araçlar kullanarak Java ve Smali kodunu çıkarmak
• smalisca, ClassyShark, androbugs, androwarn, APKiD kullanarak APK'ları analiz etmek
• Regex kullanarak APK'dan özel bilgileri çıkarmak.
• Manifest'i analiz etmek.
• pyssltest, testssl ve whatweb kullanarak bulunan alanları analiz etmek
• apk-deguard.com aracılığıyla APK'yı deobfuscate etmek

Koodous

Kötü amaçlı yazılımları tespit etmek için yararlıdır: https://koodous.com/

Kodun Obfuscation/Deobfuscation'ı

Kodu obfuscate etmek için kullandığınız hizmet ve yapılandırmaya bağlı olarak, gizli bilgiler obfuscate edilmiş veya edilmemiş olabilir.

ProGuard

Wikipedia'dan: ProGuard, Java kodunu küçülten, optimize eden ve obfuscate eden açık kaynaklı bir komut satırı aracıdır. Bytecode'u optimize etmenin yanı sıra kullanılmayan talimatları tespit edip kaldırabilir. ProGuard, ücretsiz bir yazılımdır ve GNU Genel Kamu Lisansı, sürüm 2 altında dağıtılmaktadır.

ProGuard, Android SDK'nın bir parçası olarak dağıtılır ve uygulama yayın modunda derlenirken çalışır.

DexGuard

APK'yı deobfuscate etmek için adım adım bir kılavuzu https://blog.lexfo.fr/dexguard.html adresinde bulabilirsiniz.

(Bu kılavuzdan) En son kontrol ettiğimizde, Dexguard çalışma modu şuydu:

• Bir kaynağı InputStream olarak yüklemek;
• Sonucu deşifre etmek için FilterInputStream'den türetilen bir sınıfa beslemek;
• Bir tersine mühendislik uzmanının birkaç dakikasını boşa harcamak için gereksiz obfuscation yapmak;
• Deşifre edilmiş sonucu bir ZipInputStream'e besleyerek bir DEX dosyası almak;
• Son olarak, elde edilen DEX'i loadDex yöntemi kullanarak bir Kaynak olarak yüklemek.

DeGuard

DeGuard, Android obfuscation araçları tarafından gerçekleştirilen obfuscation sürecini tersine çevirir. Bu, kod incelemesi ve kütüphaneleri tahmin etme gibi birçok güvenlik analizini mümkün kılar.

Obfuscate edilmiş bir APK'yı platformlarına yükleyebilirsiniz.

Simplify

Bu, genel bir android deobfuscator'dır. Simplify, bir uygulamayı sanallaştırarak çalıştırır ve davranışını anlamaya çalışır, ardından kodun optimize edilmesini sağlar, böylece aynı şekilde davranır ancak bir insanın anlaması daha kolaydır. Her optimizasyon türü basit ve genel olduğundan, kullanılan obfuscation türü önemli değildir.

APKiD

APKiD, bir APK'nın nasıl yapıldığını hakkında bilgi verir. Birçok derleyici, paketleyici, obfuscator ve diğer garip şeyleri tanımlar. Android için PEiD gibidir.

Manual

Özel obfuscation'ı nasıl tersine mühendislik yapacağınızı öğrenmek için bu eğitimi okuyun

Laboratuvarlar

Androl4b

AndroL4b, ubuntu-mate tabanlı bir Android güvenlik sanal makinesidir ve ters mühendislik ve kötü amaçlı yazılım analizi için farklı güvenlik meraklıları ve araştırmacılardan en son çerçeve, eğitimler ve laboratuvarlar koleksiyonunu içerir.

Referanslar

• https://owasp.org/www-project-mobile-app-security/
• https://appsecwiki.com/#/ Harika bir kaynak listesi
• https://maddiestone.github.io/AndroidAppRE/ Android hızlı kurs
• https://manifestsecurity.com/android-application-security/
• https://github.com/Ralireza/Android-Security-Teryaagh
• https://www.youtube.com/watch?v=PMKnPaGWxtg&feature=youtu.be&ab_channel=B3nacSec

Denemek için

• https://www.vegabird.com/yaazhini/
• https://github.com/abhi-r3v0/Adhrit

Deneyimli hackerlar ve bug bounty avcıları ile iletişim kurmak için HackenProof Discord sunucusuna katılın!

Hacking Insights
Hacking'in heyecanı ve zorluklarına dalan içeriklerle etkileşimde bulunun

Gerçek Zamanlı Hack Haberleri
Gerçek zamanlı haberler ve içgörüler aracılığıyla hızlı tempolu hacking dünyasıyla güncel kalın

Son Duyurular
Yeni başlayan bug bounty'ler ve önemli platform güncellemeleri hakkında bilgi sahibi olun

Bize katılın Discord ve bugün en iyi hackerlarla işbirliği yapmaya başlayın!

{% hint style="success" %} AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin

• abonelik planlarını kontrol edin!
• 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da bizi takip edin 🐦 @hacktricks_live.**
• Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

{% endhint %}