hacktricks/mobile-pentesting/android-app-pentesting
2024-07-19 04:38:46 +00:00
..
drozer-tutorial Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/aw2 2024-05-05 22:43:52 +00:00
frida-tutorial Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:38:46 +00:00
adb-commands.md Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:38:46 +00:00
android-applications-basics.md Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:38:46 +00:00
android-task-hijacking.md Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/aw2 2024-05-05 22:43:52 +00:00
apk-decompilers.md Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:38:46 +00:00
avd-android-virtual-device.md Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/aw2 2024-05-05 22:43:52 +00:00
bypass-biometric-authentication-android.md Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:01:54 +00:00
content-protocol.md Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:38:46 +00:00
exploiting-a-debuggeable-applciation.md Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:38:46 +00:00
google-ctf-2018-shall-we-play-a-game.md Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/aw2 2024-05-05 22:43:52 +00:00
install-burp-certificate.md Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/aw2 2024-05-05 22:43:52 +00:00
intent-injection.md Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:38:46 +00:00
make-apk-accept-ca-certificate.md Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:38:46 +00:00
manual-deobfuscation.md Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:38:46 +00:00
react-native-application.md Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:38:46 +00:00
README.md Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-06-05 13:51:59 +00:00
reversing-native-libraries.md Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/aw2 2024-05-05 22:43:52 +00:00
smali-changes.md Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:38:46 +00:00
spoofing-your-location-in-play-store.md Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:38:46 +00:00
tapjacking.md Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-07-19 04:38:46 +00:00
webview-attacks.md Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/aw2 2024-05-05 22:43:52 +00:00

Android Uygulamaları Pentesting

htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahraman olmaya kadar AWS hacklemeyi öğrenin htARTE (HackTricks AWS Red Team Expert)!

HackTricks'ı desteklemenin diğer yolları:

Deneyimli hackerlar ve ödül avcıları ile iletişim kurmak için HackenProof Discord sunucusuna katılın!

Hacking İçgörüleri
Hacking'in heyecanını ve zorluklarını inceleyen içeriklerle etkileşime girin

Gerçek Zamanlı Hack Haberleri
Hızlı tempolu hacking dünyasında gerçek zamanlı haberler ve içgörülerle güncel kalın

En Son Duyurular
Yeni ödül avı başlatmaları ve önemli platform güncellemeleri hakkında bilgilenin

Bize katılın Discord ve bugün en iyi hackerlarla işbirliğine başlayın!

Android Uygulamaları Temelleri

Android güvenliği ile ilgili en önemli bölümler ve bir Android uygulamasındaki en tehlikeli bileşenler hakkında bilgi edinmek için bu sayfayı okumaya başlamanız şiddetle tavsiye edilir:

{% content-ref url="android-applications-basics.md" %} android-applications-basics.md {% endcontent-ref %}

ADB (Android Debug Köprüsü)

Bu, bir android cihaza (emüle edilmiş veya fiziksel) bağlanmak için ihtiyacınız olan ana araçtır.
ADB, bir bilgisayardan cihazları USB veya üzerinden kontrol etmeyi sağlar. Bu yardımcı program, dosyaların iki yönde kopyalanmasını, uygulamaların kurulmasını ve kaldırılmasını, shell komutlarının çalıştırılmasını, verilerin yedeklenmesini, logların okunmasını ve diğer işlevleri etkinleştirir.

ADB'yi nasıl kullanacağınızı öğrenmek için ADB Komutları listesine göz atın.

Smali

Bazen uygulama kodunu değiştirmek ve gizli bilgilere erişmek (belki iyi gizlenmiş şifreler veya bayraklar) ilginç olabilir. Bu durumda, apk'yı decompile etmek, kodu değiştirmek ve yeniden derlemek ilginç olabilir.
Bu öğreticide APK'nın nasıl decompile edileceğini, Smali kodunun nasıl değiştirileceğini ve APK'nın nasıl yeniden derleneceğini öğrenebilirsiniz. Bu, sunulacak dinamik analiz sırasında çeşitli testler için alternatif olarak çok yararlı olabilir. Bu nedenle, bu olasılığı her zaman akılda tutun.

Diğer ilginç püf noktalar

adb shell pm list packages
com.android.insecurebankv2

adb shell pm path com.android.insecurebankv2
package:/data/app/com.android.insecurebankv2-Jnf8pNgwy3QA_U5f-n_4jQ==/base.apk

adb pull /data/app/com.android.insecurebankv2-Jnf8pNgwy3QA_U5f-n_4jQ==/base.apk
  • Tüm bölünmüş ve temel apkları APKEditor ile birleştirin:
mkdir splits
adb shell pm path com.android.insecurebankv2 | cut -d ':' -f 1 | xargs -n1 -i adb pull {} splits
java -jar ../APKEditor.jar m -i splits/ -o merged.apk

# after merging, you will need to align and sign the apk, personally, I like to use the uberapksigner
java -jar uber-apk-signer.jar -a merged.apk --allowResign -o merged_signed

Statik Analiz

Öncelikle, bir APK'yı analiz etmek için bir decompiler kullanarak Java koduna bir göz atmalısınız.
Lütfen, farklı mevcut decompiler'lar hakkında bilgi edinmek için buraya bakın.

İlginç Bilgiler Arayın

APK'nın strings'lerine bakarak şifreler, URL'ler (https://github.com/ndelphit/apkurlgrep), api anahtarları, şifreleme, bluetooth uuid'leri, token'lar ve ilginç herhangi bir şey arayabilirsiniz... hatta kod yürütme arka kapıları veya kimlik doğrulama arka kapıları (uygulamaya sabitlenmiş yönetici kimlik bilgileri) için bile bakabilirsiniz.

Firebase

Firebase URL'lerine özel dikkat gösterin ve kötü yapılandırılmış olup olmadığını kontrol edin. Firebase nedir ve nasıl sömürüleceği hakkında daha fazla bilgi için buraya bakın.

Uygulamanın Temel Anlayışı - Manifest.xml, strings.xml

Bir uygulamanın _Manifest.xml** ve **strings.xml_** dosyalarının incelenmesi potansiyel güvenlik açıklarını ortaya çıkarabilir. Bu dosyalara decompiler'lar kullanılarak veya APK dosya uzantısını .zip olarak değiştirip ardından açarak erişilebilir.

Manifest.xml'den belirlenen güvenlik açıkları şunları içerebilir:

  • Hata Ayıklanabilir Uygulamalar: Manifest.xml dosyasında hata ayıklanabilir olarak ayarlanmış uygulamalar (debuggable="true") bağlantılara izin vererek sömürülmeye yol açabileceği için risk oluşturur. Hata ayıklanabilir uygulamaların nasıl sömürüleceği hakkında daha fazla anlayış için cihazda hata ayıklanabilir uygulamaları bulma ve sömürme konusunda bir öğreticiye başvurun.
  • Yedekleme Ayarları: Hassas bilgilerle uğraşan uygulamalar için android:allowBackup="false" özelliği, özellikle usb hata ayıklama etkin olduğunda yetkisiz veri yedeklemelerini önlemek için açıkça belirtilmelidir.
  • Ağ Güvenliği: res/xml/ içindeki özel ağ güvenliği yapılandırmaları (android:networkSecurityConfig="@xml/network_security_config") sertifika pinleri ve HTTP trafiği ayarları gibi güvenlik ayrıntılarını belirleyebilir. Örneğin belirli alanlar için HTTP trafiğine izin verme.
  • Dışa Aktarılan Aktiviteler ve Servisler: Manifest'te dışa aktarılan aktiviteler ve servislerin belirlenmesi yanlış kullanılabilecek bileşenleri vurgulayabilir. Dinamik test sırasında bu bileşenlerin nasıl sömürüleceğini ortaya çıkaracak daha fazla analiz yapılabilir.
  • İçerik Sağlayıcılar ve Dosya Sağlayıcılar: Açık hale getirilen içerik sağlayıcılar verilere yetkisiz erişime veya değişikliğe izin verebilir. Dosya Sağlayıcıların yapılandırması da incelenmelidir.
  • Yayın Alıcıları ve URL Şemaları: Bu bileşenler sömürü için kullanılabilir, özellikle URL şemalarının giriş açıklıkları için nasıl yönetildiğine özel dikkat gösterilmelidir.
  • SDK Sürümleri: minSdkVersion, targetSDKVersion ve maxSdkVersion öznitelikleri desteklenen Android sürümlerini gösterir ve güvenlik nedenleriyle güncellenmemiş, savunmasız Android sürümlerini desteklememenin önemini vurgular.

strings.xml dosyasından API anahtarları, özel şemalar ve diğer geliştirici notları gibi hassas bilgiler keşfedilebilir, bu nedenle bu kaynakların dikkatli bir şekilde incelenmesi gereklidir.

Tapjacking

Tapjacking, kötü niyetli bir uygulamanın bir kurban uygulamanın üzerine yerleştiği ve kurban uygulamanın kullanıcı arayüzünü yanıltacak şekilde tasarlandığı bir saldırıdır. Kurban uygulamayııkça gölgelendikten sonra, kullanıcıyı yanıltacak şekilde tasarlanmış bir arayüzle etkileşime girmesini sağlar, bu sırada etkileşimi kurban uygulamaya ileterek kullanıcıyı yanıltır.
Aslında, kullanıcının gerçekte kurban uygulamada işlem yaptığını bilmesini engeller.

Daha fazla bilgi için:

{% content-ref url="tapjacking.md" %} tapjacking.md {% endcontent-ref %}

Görev Kaçırma

launchMode özelliği singleTask olarak ayarlanmış bir aktivitenin tanımlanmamış taskAffinity ile birlikte, görev Kaçırmaya açıktır. Bu, bir uygulamanın yüklenip gerçek uygulamadan önce başlatılması durumunda gerçek uygulamanın görevini ele geçirebileceği anlamına gelir (bu nedenle kullanıcı, gerçek uygulamayı kullandığını düşünerek kötü niyetli uygulamayla etkileşimde olabilir).

Daha fazla bilgi için:

{% content-ref url="android-task-hijacking.md" %} android-task-hijacking.md {% endcontent-ref %}

Güvensiz veri depolama

Dahili Depolama

Android'de dahili depolamada saklanan dosyaların yalnızca oluşturan uygulama tarafından erişilebilir olması amaçlanmıştır. Bu güvenlik önlemi Android işletim sistemi tarafından uygulanır ve genellikle çoğu uygulamanın güvenlik ihtiyaçları için yeterlidir. Ancak geliştiriciler bazen MODE_WORLD_READABLE ve MODE_WORLD_WRITABLE gibi modları kullanarak dosyaların farklı uygulamalar arasında paylaşılmasına izin verirler. Ancak, bu modlar bu dosyalara diğer uygulamaların, potansiyel olarak kötü niyetli olanların da dahil olmak üzere erişimini kısıtlamaz.

  1. Statik Analiz:
  • MODE_WORLD_READABLE ve MODE_WORLD_WRITABLE kullanımının dikkatlice incelendiğinden emin olun. Bu modlar dosyaların istenmeyen veya yetkisiz erişime maruz kalmasına neden olabilir.
  1. Dinamik Analiz:
  • Uygulama tarafından oluşturulan dosyalara ayarlanan izinleri doğrulayın. Özellikle, herhangi bir dosyanın dünya çapında okunabilir veya yazılabilir olup olmadığını kontrol edin. Bu, herhangi bir uygulamanın, kökeni veya amacı ne olursa olsun, bu dosyaları okuyabileceği veya değiştirebileceği anlamına gelir.

Harici Depolama

Harici depolamadaki dosyalarla uğraşırken bazı önlemler alınmalıdır:

  1. Erişilebilirlik:
  • Harici depolamadaki dosyalar genel olarak okunabilir ve yazılabilir. Bu, herhangi bir uygulamanın veya kullanıcının bu dosyalara erişebileceği anlamına gelir.
  1. Güvenlik Endişeleri:
  • Erişimin kolaylığı göz önüne alındığında, harici depolamada hassas bilgileri saklamamak tavsiye edilir.
  • Harici depolama çıkarılabilir veya herhangi bir uygulama tarafından erişilebilir olduğundan, daha az güvenlidir.
  1. Harici Depolamadan Veri İşleme:
  • Harici depolamadan alınan veriler üzerinde giriş doğrulaması yapın. Bu, verinin güvenilir olmayan bir kaynaktan geldiği için önemlidir.
  • Harici depolamada yürütülebilir dosyaları veya sınıf dosyalarını saklamak kesinlikle tavsiye edilmez.
  • Uygulamanızın harici depolamadan yürütülebilir dosyalar alması gerekiyorsa, bu dosyaların dinamik olarak yüklenmeden önce imzalanmış ve kriptografik olarak doğrulandığından emin olun. Bu adım, uygulamanızın güvenlik bütünlüğünü korumak için hayati öneme sahiptir.

Harici depolama /storage/emulated/0, /sdcard, /mnt/sdcard dizinlerinden erişilebilir.

{% hint style="info" %} Android 4.4 (API 17) ile başlayarak, SD kartın bir uygulamadan diğerine özel olarak belirlenmiş dizin için erişimi sınırlayan bir dizin yapısı vardır. Bu, kötü niyetli uygulamaların başka bir uygulamanın dosyalarına okuma veya yazma erişimi kazanmasını engeller. {% endhint %}

ık metin olarak saklanan hassas veriler

  • Paylaşılan tercihler: Android, her uygulamanın /data/data/<paketadı>/shared_prefs/ yolunda kolayca xml dosyalarını kaydetmesine izin verir ve bazen bu klasörde açık metinlerde hassas bilgiler bulunabilir.
  • Veritabanları: Android, her uygulamanın /data/data/<paketadı>/databases/ yolunda sqlite veritabanlarını kolayca kaydetmesine izin verir ve bazen bu klasörde açık metinlerde hassas bilgiler bulunabilir.

Kırık TLS

Tüm Sertifikaları Kabul Etme

Bazı durumlarda geliştiriciler, örneğin, host adı eşleşmediğinde bile tüm sertifikaları kabul ederler gibi kod satırlarıyla tüm sertifikaları kabul ederler:

SSLSocketFactory sf = new cc(trustStore);
sf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

Kırık Şifreleme

Zayıf Anahtar Yönetimi Süreçleri

Bazı geliştiriciler hassas verileri yerel depolamada saklar ve kod içinde sabit/tahmin edilebilir bir anahtarla şifreler. Bu yapılmamalı çünkü bazı tersine mühendislik saldırıları, saldırganların gizli bilgileri çıkarmasına izin verebilir.

Güvensiz ve/veya Kullanımdan Kaldırılmış Algoritmaların Kullanımı

Geliştiriciler, yetkilendirme kontrolleri, veri saklama veya gönderme işlemleri için kullanımdan kaldırılmış algoritmaları kullanmamalıdır. Bu algoritmalar arasında RC4, MD4, MD5, SHA1 gibi algoritmalar bulunmaktadır. Örneğin şifreleri saklamak için hash'ler kullanılıyorsa, hash'lerin tuz ile birlikte kullanılması gerekmektedir.

Diğer Kontroller

  • APK'nin obfuskasyonu önerilir, bu, saldırganların tersine mühendislik çalışmalarını zorlaştırır.
  • Uygulama hassas ise (örneğin banka uygulamaları), uygulamanın köklendirilmiş mobil cihazı kontrol etmesi ve buna göre hareket etmesi gerekmektedir.
  • Uygulama hassas ise (örneğin banka uygulamaları), bir emülatörün kullanılıp kullanılmadığını kontrol etmelidir.
  • Uygulama hassas ise (örneğin banka uygulamaları), uygulamanın **değiştirilip değiştirilmediğini kontrol etmeden önce kendi bütünlüğünü kontrol etmesi gerekmektedir.
  • APK'nin nasıl derlendiğini kontrol etmek için APKiD kullanın.

React Native Uygulaması

React uygulamalarının JavaScript kodlarına kolayca erişmek için aşağıdaki sayfayı okuyun:

{% content-ref url="react-native-application.md" %} react-native-application.md {% endcontent-ref %}

Xamarin Uygulamaları

Xamarin uygulamalarının C# kodlarına kolayca erişmek için aşağıdaki sayfayı okuyun:

{% content-ref url="../xamarin-apps.md" %} xamarin-apps.md {% endcontent-ref %}

Süper Paketlenmiş Uygulamalar

Bu blog yazısına göre, süper paketlenmiş, bir uygulamanın içeriğini tek bir dosyaya sıkıştıran bir Meta algoritmadır. Blog, bu tür uygulamaları açabilen bir uygulama oluşturma olasılığından bahseder... ve daha hızlı bir yol olan uygulamayı çalıştırarak dosya sistemindeki sıkıştırılmış dosyaları toplamak.

Otomatik Statik Kod Analizi

mariana-trench aracı, uygulamanın kodunu tarayarak zayıflıkları bulma yeteneğine sahiptir. Bu araç, bilinen kaynaklar (kullanıcının kontrol ettiği yerleri aracıya gösteren), sızıntılar (kötü niyetli kullanıcı girdilerinin zarar verebileceği tehlikeli yerleri belirten) ve kurallar içerir. Bu kurallar, bir zayıflığı gösteren kaynak-sızıntı kombinasyonunu belirtir.

Bu bilgiyle, mariana-trench kodu inceleyecek ve olası zayıflıkları bulacaktır.

Sızan Sırlar

Bir uygulama, içinde keşfedebileceğiniz API anahtarları, şifreler, gizli URL'ler, alt alanlar gibi sırlar içerebilir. https://github.com/dwisiswant0/apkleaks gibi bir araç kullanabilirsiniz.

Biyometrik Kimlik Doğrulamasını Atlatma

{% content-ref url="bypass-biometric-authentication-android.md" %} bypass-biometric-authentication-android.md {% endcontent-ref %}

Diğer ilginç fonksiyonlar

  • Kod yürütme: Runtime.exec(), ProcessBuilder(), native code:system()
  • SMS gönderme: sendTextMessage, sendMultipartTestMessage
  • native olarak tanımlanan yerel fonksiyonlar: public native, System.loadLibrary, System.load
  • Yerel fonksiyonları tersine çevirmeyi öğrenmek için bunu okuyun: yerel kütüphaneleri tersine çevirme

Diğer püf noktalar

{% content-ref url="content-protocol.md" %} content-protocol.md {% endcontent-ref %}


Deneyimli hackerlar ve hata avcıları ile iletişim kurmak için HackenProof Discord sunucusuna katılın!

Hacking İçgörüleri
Hacking'in heyecanını ve zorluklarını inceleyen içeriklerle etkileşime geçin

Gerçek Zamanlı Hack Haberleri
Hızlı tempolu hacking dünyasını gerçek zamanlı haberler ve içgörülerle takip edin

En Son Duyurular
Yeni hata avcılıklarını ve önemli platform güncellemelerini takip edin

Bize katılın Discord ve bugün en iyi hackerlarla işbirliğine başlayın!


Dinamik Analiz

İlk olarak, uygulamayı ve tüm ortamı (Burp CA sertifikası, Drozer ve Frida özellikle) yükleyebileceğiniz bir ortama ihtiyacınız var. Bu nedenle, köklendirilmiş bir cihaz (emüle edilmiş veya değil) son derece önerilir.

Çevrimiçi Dinamik analiz

https://appetize.io/ adresinde ücretsiz bir hesap oluşturabilirsiniz. Bu platform, APK'leri yüklemenize ve çalıştırmanıza olanak tanır, bu nedenle bir APK'nin nasıl davrandığını görmek için faydalıdır.

Web'de uygulamanızın günlüklerini görebilir ve adb aracılığıyla bağlanabilirsiniz.

ADB bağlantısı sayesinde emülatörlerde Drozer ve Frida kullanabilirsiniz.

Yerel Dinamik Analiz

Bir emülatör kullanma

  • Android Studio (x86 ve arm cihazlar oluşturabilirsiniz ve bu son x86 sürümleri, yavaş bir arm emülatörüne ihtiyaç duymadan ARM kütüphanelerini destekler).
  • Kurulumunu öğrenmek için bu sayfaya bakın:

{% content-ref url="avd-android-virtual-device.md" %} avd-android-virtual-device.md {% endcontent-ref %}

  • Genymotion (Ücretsiz sürüm: Kişisel Sürüm, bir hesap oluşturmanız gerekmektedir. Potansiyel hatalardan kaçınmak için VirtualBox'ı içeren sürümü indirmeniz önerilir.)
  • Nox (Ücretsiz, ancak Frida veya Drozer'ı desteklemez).

{% hint style="info" %} Herhangi bir platformda yeni bir emülatör oluştururken, ekran ne kadar büyükse, emülatör o kadar yavaş çalışacaktır. Mümkünse küçük ekranları seçin. {% endhint %}

Genymotion'da Google hizmetlerini (AppStore gibi) yüklemek için aşağıdaki resimdeki kırmızı işaretli düğmeye tıklamanız gerekmektedir:

Ayrıca, Genymotion'daki Android VM yapılandırmasında Köprü Ağ Modunu seçebilirsiniz (bu, araçlarla farklı bir VM'den Android VM'ye bağlanacaksanız faydalı olacaktır).

Fiziksel bir cihaz kullanma

Hata ayıklama seçeneklerini etkinleştirmeniz ve mümkünse cihazı köklendirmeniz gerekmektedir:

  1. Ayarlar.
  2. (Android 8.0'dan itibaren) Sistem'i seçin.
  3. Telefon Hakkında'yı seçin.
  4. Yapı numarasına 7 kez dokunun.
  5. Geri gidin ve Geliştirici seçeneklerini bulacaksınız.

Uygulamayı yükledikten sonra yapmanız gereken ilk şey, uygulamayı denemek ve ne yaptığını, nasıl çalıştığını araştırmak ve onunla rahat hissetmektir.
Bu ilk dinamik analizi MobSF dinamik analiz + pidcat kullanarak yapmanızı öneririm, böylece uygulamanın nasıl çalıştığını öğrenirken MobSF, daha sonra gözden geçirebileceğiniz birçok ilginç veri yakalar.

Kazara Veri Sızıntısı

Günlükleme

Geliştiriciler, hata ayıklama bilgilerini genel olarak açığa çıkarmaktan kaçınmalıdır, çünkü bu hassas veri sızıntılarına yol açabilir. Pidcat ve adb logcat araçları, uygulama günlüklerini izlemek ve hassas bilgileri belirlemek ve korumak için önerilir. Pidcat, kullanım kolaylığı ve okunabilirliği nedeniyle tercih edilir.

{% hint style="warning" %} Android 4.0'dan daha yeni sürümlerinden itibaren, uygulamalar yalnızca kendi günlüklerine erişebilirler. Bu nedenle uygulamalar diğer uygulamaların günlüklerine erişemez.
Yine de, hassas bilgileri günlüğe kaydetmemek önerilir. {% endhint %}

Kopyala/Yapıştır Arabelleği

Android'in pano tabanlı çerçevesi, uygulamalarda kopyala-yapıştır işlevselliğini sağlar, ancak diğer uygulamaların panoya erişebilmesi, hassas verilerin açığa çıkmasına neden olabilir. Hassas bölümler için, örneğin kredi kartı bilgileri, veri sızıntılarını önlemek için kopyala/yapıştır işlevlerini devre dışı bırakmak önemlidir.

Çökme Günlükleri

Bir uygulama çöktüğünde ve günlükler kaydedildiğinde, bu günlükler özellikle uygulama tersine mühendislik edilemediğinde saldırganlara yardımcı olabilir. Bu riski azaltmak için çökme durumunda günlüğe kaydetmekten kaçının ve günlükler ağ üzerinden iletilmek zorunda kalıyorsa, güvenlik için bunların SSL kanalı aracılığıyla gönderildiğinden emin olun.

Pentester olarak, bu günlüklere bir göz atmayı deneyin.

Üçüncü Taraf Şirketlere Gönderilen Analiz Verileri

Uygulamalar genellikle Google Adsense gibi hizmetleri entegre eder, bu da geliştiriciler tarafından yanlış uygulama nedeniyle yanlışlıkla hassas veri sızıntılarına neden olabilir. Potansiyel veri sızıntılarını belirlemek için uygulamanın trafiğini engellemek ve üçüncü taraf hizmetlerine gönderilen hassas bilgileri kontrol etmek tavsiye edilir.

SQLite DB'leri

Uygulamaların çoğu, bilgileri kaydetmek için dahili SQLite veritabanlarını kullanacaktır. Pentest sırasında oluşturulan veritabanlarına, tablo ve sütun adlarına ve kaydedilen tüm verilere bir göz atın, çünkü hassas bilgiler bulabilirsiniz (bu bir zayıflık olabilir).
Veritabanları, /data/data/the.package.name/databases gibi /data/data/com.mwr.example.sieve/databases konumunda olmalıdır.

Eğer veritabanı gizli bilgileri kaydediyorsa ve şifreli ise ancak uygulama içinde şifreyi bulabilirseniz yine de bir zayıflık olacaktır.

.tables kullanarak tabloları sıralayın ve .schema <table_name> yaparak tabloların sütunlarını sıralayın.

Drozer (Saldırı Faaliyetleri, İçerik Sağlayıcıları ve Hizmetler)

Drozer Belgelerinden: Drozer, bir Android uygulamasının rolünü üstlenebilmenizi ve diğer uygulamalarla etkileşimde bulunabilmenizi sağlar. Android'in İşlem Arası İletişim (IPC) mekanizmasını kullanarak ve altta yatan işletim sistemiyle etkileşime geçerek yüklü bir uygulamanın yapabileceği her şeyi yapabilir.
Drozer, ihraç edilen faaliyetleri, ihraç edilen hizmetleri ve İçerik Sağlayıcılarını sömürmek için kullanışlı bir araçtır, bu konuları aşağıdaki bölümlerde öğreneceksiniz.

İhraç Edilen Faaliyetleri Sömürme

Bir Android Faaliyetinin ne olduğunu hatırlamak istiyorsanız burayı okuyun.
Ayrıca bir faaliyetin kodu onCreate yönteminde başlar.

Yetkilendirme atlatma

Bir Faaliyet ihraç edildiğinde, dış uygulamadan ekranını çağırabilirsiniz. Bu nedenle, hassas bilgiler içeren bir faaliyet ihraç edilmişse, kimlik doğrulama mekanizmalarını atlayarak ona erişebilirsiniz.

Drozer ile ihraç edilen faaliyetleri nasıl sömüreceğinizi öğrenin.

Ayrıca adb'den ihraç edilen bir faaliyeti başlatabilirsiniz:

  • Paket Adı com.example.demo
  • İhraç Edilen Faaliyet Adı com.example.test.MainActivity
adb shell am start -n com.example.demo/com.example.test.MainActivity

NOT: MobSF, bir aktivitede android:launchMode olarak singleTask/singleInstance kullanımını kötü niyetli olarak algılayacaktır, ancak bu nedeniyle, görünüşe göre bu sadece eski sürümlerde (API sürümleri < 21) tehlikelidir.

{% hint style="info" %} Bir yetkilendirme atlamasının her zaman bir zafiyet olmadığını unutmayın, bu atlamanın nasıl çalıştığına ve hangi bilgilerin açığa çıkarıldığına bağlı olacaktır. {% endhint %}

Hassas bilgi sızıntısı

Aktiviteler ayrıca sonuçlar döndürebilir. Eğer dışa aktarılmış ve korumasız bir aktivite bulursanız ve setResult yöntemini çağırarak ve hassas bilgileri döndürüyorsa, bu bir hassas bilgi sızıntısıdır.

Tapjacking

Eğer tapjacking engellenmiyorsa, dışa aktarılmış aktiviteyi kötüye kullanarak kullanıcının beklenmeyen eylemler gerçekleştirmesini sağlayabilirsiniz. Tapjacking nedir hakkında daha fazla bilgi için bağlantıyı takip edin.

İçerik Sağlayıcıları Sömürme - Hassas bilgilere erişme ve manipüle etme

Bir İçerik Sağlayıcının ne olduğunu tazelemek istiyorsanız burayı okuyun.
İçerik sağlayıcıları temelde veri paylaşımı için kullanılır. Bir uygulamanın mevcut içerik sağlayıcıları varsa, bunlardan hassas verileri çıkarabilirsiniz. Ayrıca mümkün SQL enjeksiyonları ve Yol Geçişleri test etmek de ilginç olabilir çünkü bunlar savunmasız olabilir.

Drozer ile İçerik Sağlayıcılarını nasıl sömürüleceğini öğrenin.

Hizmetleri Sömürme

Bir Hizmetin ne olduğunu tazelemek istiyorsanız burayı okuyun.
Bir hizmet, temelde veri alabilen, işleyebilen ve yanıt döndürebilen bir şeydir. Dolayısıyla, bir uygulama bazı hizmetleri dışa aktarıyorsa, ne yaptığını anlamak için kodu kontrol etmeli ve gizli bilgileri çıkarmak, kimlik doğrulama önlemlerini atlamak için dinamik olarak test etmelisiniz...
Hizmetleri Drozer ile nasıl sömürüleceğini öğrenin.

Yayın Alıcıları Sömürme

Bir Yayın Alıcının ne olduğunu tazelemek istiyorsanız burayı okuyun.
Bir yayın alıcısı belirli bir türdeki bir mesajı bekleyecektir. Alıcı mesajı nasıl işlediğine bağlı olarak savunmasız olabilir.
Yayın Alıcılarını Drozer ile nasıl sömürüleceğini öğrenin.

Şemaları / Derin bağlantıları Sömürme

Derin bağlantıları MobSF gibi araçlar veya bu gibi bir betik kullanarak manuel olarak arayabilirsiniz.
Bir belirtilen şemayı adb veya bir tarayıcı kullanarak açabilirsiniz:

{% code overflow="wrap" %}

adb shell am start -a android.intent.action.VIEW -d "scheme://hostname/path?param=value" [your.package.name]

{% endcode %}

Not etmeniz gereken bir şey, paket adını atlayabilirsiniz ve mobil cihaz otomatik olarak o bağlantıyı açması gereken uygulamayı çağıracaktır.

{% code overflow="wrap" %}

<!-- Browser regular link -->
<a href="scheme://hostname/path?param=value">Click me</a>
<!-- fallback in your url you could try the intent url -->
<a href="intent://hostname#Intent;scheme=scheme;package=your.package.name;S.browser_fallback_url=http%3A%2F%2Fwww.example.com;end">with alternative</a>

{% endcode %}

Kodun çalıştırıldığı

Uygulamada çalıştırılacak kodu bulmak için, deeplink tarafından çağrılan aktiviteye gidin ve onNewIntent fonksiyonunu arayın.

Hassas bilgiler

Her zaman bir derin bağlantı bulduğunuzda, URL parametreleri aracılığıyla (şifreler gibi) hassas veri almadığından emin olun, çünkü başka bir uygulama derin bağlantıyı taklit edebilir ve bu verileri çalabilir!

Yol içindeki parametreler

URL'nin yolunda bir parametre kullanan herhangi bir derin bağlantının da kontrol edilmesi gerekmektedir: https://api.example.com/v1/users/{username}, bu durumda, example://app/users?username=../../unwanted-endpoint%3fparam=value gibi bir şeye erişerek bir yol geçişi zorlayabilirsiniz.
Uygulama içinde doğru uç noktaları bulursanız, ık Yönlendirme (yolun bir kısmı alan adı olarak kullanılıyorsa), hesap ele geçirme (CSRF belirteci olmadan kullanıcı detaylarını değiştirebilirseniz ve zafiyetli uç nokta doğru yöntemi kullanıyorsa) ve diğer zafiyetleri neden olabilirsiniz. Daha fazla bilgi burada.

Daha fazla örnek

Bağlantılar hakkında ilginç bir ödül avı raporu (/.well-known/assetlinks.json) burada.

Taşıma Katmanı İnceleme ve Doğrulama Hataları

  • Android uygulamaları tarafından sertifikaların her zaman doğru şekilde incelenmediği yaygındır. Bu uygulamaların genellikle uyarıları göz ardı edip öz imzalı sertifikaları kabul etmesi veya bazı durumlarda HTTP bağlantılarına geri dönmesi olağandır.
  • SSL/TLS el sıkışması sırasında müzakereler bazen zayıf olabilir, güvensiz şifreleme süitleri kullanılabilir. Bu zafiyet, bağlantının ortadaki adam (MITM) saldırılarına duyarlı hale getirir, saldırganların verileri şifresini çözerek ele geçirmesine izin verir.
  • Uygulamaların güvenli kanalları kullanarak kimlik doğrulaması yapmasına rağmen, diğer işlemler için şifrelenmemiş kanallar üzerinden iletişim kurması durumunda özel bilgilerin sızması riski vardır. Bu yaklaşım, oturum çerezleri veya kullanıcı detayları gibi hassas verileri kötü niyetli varlıklar tarafından ele geçirilmesine karşı korumaz.

Sertifika Doğrulama

Sertifika doğrulamasına odaklanacağız. Güvenliği artırmak için sunucunun sertifikasının bütünlüğü doğrulanmalıdır. Bu, güvensiz TLS yapılandırmaları ve hassas verilerin şifrelenmemiş kanallar üzerinden iletilmesi önemli riskler oluşturabilir. Sunucu sertifikalarını doğrulama adımları ve zafiyetleri ele almak için detaylı bilgi için, bu kaynak kapsamlı rehberlik sağlar.

SSL Pinning

SSL Pinning, uygulamanın sunucunun sertifikasını uygulama içinde depolanan bilinen bir kopya ile karşılaştırmasını sağlayan bir güvenlik önlemidir. Bu yöntem, MITM saldırılarını önlemek için önemlidir. Hassas bilgilerle uğraşan uygulamalar için SSL Pinning uygulaması kesinlikle önerilir.

Trafik İnceleme

HTTP trafiğini incelemek için, proxy aracının sertifikasını yüklemek gereklidir (örneğin, Burp). Bu sertifikayı yüklemeden, şifreli trafiğin proxy aracılığıyla görünmeyebileceğini unutmayın. Özel bir CA sertifikası yüklemek için kılavuz için, buraya tıklayın.

API Seviyesi 24 ve üzerini hedefleyen uygulamalar, şifreli trafiği incelemek için ağ güvenlik yapılandırmasını proxy'nin CA sertifikasını kabul edecek şekilde değiştirmeyi gerektirir. Bu adım, şifreli trafiği incelemek için kritik öneme sahiptir. Ağ Güvenlik Yapılandırmasını değiştirme hakkında talimatlar için, bu öğreticiye başvurun.

SSL Pinning'i Atlatma

SSL Pinning uygulandığında, HTTPS trafiğini incelemek için bunu atlatmak gerekebilir. Bu amaçla çeşitli yöntemler mevcuttur:

  • apk-mitm ile SSLPinning'i atlamak için apk'yi otomatik olarak değiştirin. Bu seçeneğin en büyük avantajı, SSL Pinning'i atlamak için kök erişimi gerekmemesidir, ancak uygulamayı silip yeni bir tane yüklemeniz gerekebilir ve bu her zaman işe yaramayabilir.
  • Bu korumayı atlamak için Frida'yı (aşağıda tartışıldı) kullanabilirsiniz. Burada Burp+Frida+Genymotion'u kullanma kılavuzuna erişebilirsiniz: https://spenkk.github.io/bugbounty/Configuring-Frida-with-Burp-and-GenyMotion-to-bypass-SSL-Pinning/
  • objection kullanarak otomatik olarak SSL Pinning'i atlamayı deneyebilirsiniz: objection --gadget com.package.app explore --startup-command "android sslpinning disable"
  • MobSF dinamik analizini kullanarak otomatik olarak SSL Pinning'i atlamayı deneyebilirsiniz (aşağıda açıklanmıştır)
  • Hala yakalayamadığınız bazı trafiğin olduğunu düşünüyorsanız, trafiği iptables kullanarak burp'a yönlendirmeyi deneyebilirsiniz. Bu blogu okuyun: https://infosecwriteups.com/bypass-ssl-pinning-with-ip-forwarding-iptables-568171b52b62

Ortak Web Zafiyetlerini Arama

Uygulama içinde ortak web zafiyetlerini de aramak önemlidir. Bu zafiyetleri tanımlama ve bunları azaltma hakkında detaylı bilgi bu özetin kapsamı dışındadır ancak başka yerlerde kapsamlı bir şekilde ele alınmıştır.

Frida

Frida, geliştiriciler, ters mühendisler ve güvenlik araştırmacıları için dinamik enstrümantasyon aracıdır.
Çalışan uygulamalara erişebilir ve çalışma zamanında yöntemleri kancalayabilir, davranışı değiştirebilir, değerleri değiştirebilir, değerleri çıkarabilir, farklı kodları çalıştırabilirsiniz...
Android uygulamalarını pentest etmek istiyorsanız, Frida'yı nasıl kullanacağınızı bilmelisiniz.

Belleği Dökme - Fridump

Uygulamanın, şifreler veya mnemonikler gibi saklamaması gereken hassas bilgileri bellekte saklayıp saklamadığını kontrol edin.

Fridump3 kullanarak uygulamanın belleğini dökleyebilirsiniz:

# With PID
python3 fridump3.py -u <PID>

# With name
frida-ps -Uai
python3 fridump3.py -u "<Name>"

Bu, belleği ./dump klasörüne dökecek ve orada aşağıdaki gibi bir şeyle grep yapabilirsiniz:

{% code overflow="wrap" %}

strings * | grep -E "^[a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+$"

{% endcode %}

Keystore'daki Hassas Veriler

Android'de Keystore, hassas verileri saklamak için en iyi yerdir, ancak yeterli izinlerle erişmek hala mümkündür. Uygulamalar burada hassas verileri açık metin olarak sakladığından, pentestler bu verileri kontrol etmelidir çünkü kök kullanıcı veya cihaza fiziksel erişimi olan biri bu verileri çalabilir.

Bir uygulama keystore'da tarih saklasa bile, veriler şifrelenmiş olmalıdır.

Keystore içindeki verilere erişmek için bu Frida betiğini kullanabilirsiniz: https://github.com/WithSecureLabs/android-keystore-audit/blob/master/frida-scripts/tracer-cipher.js

frida -U -f com.example.app -l frida-scripts/tracer-cipher.js

Parmak İzi/Biyometrik Atlatma

Aşağıdaki Frida betiği kullanılarak Android uygulamalarının belirli hassas alanları korumak için gerçekleştirebileceği parmak izi doğrulamasını atlatmak mümkün olabilir:

{% code overflow="wrap" %}

frida --codeshare krapgras/android-biometric-bypass-update-android-11 -U -f <app.package>

{% endcode %}

Arka Plan Resimleri

Uygulamayı arka plana aldığınızda, Android uygulamanın bir anlık görüntüsünü saklar, böylece önyüze geri getirildiğinde uygulama önceden yüklendi gibi görünür.

Ancak, bu anlık görüntü duyarlı bilgileri içeriyorsa, bu görüntüye erişimi olan biri bu bilgileri çalabilir (unutmayın ki buna erişmek için kök erişime ihtiyacınız vardır).

Bu anlık görüntüler genellikle şurada saklanır: /data/system_ce/0/snapshots

Android, FLAG_SECURE düzen parametresini ayarlayarak ekran görüntüsü alınmasını engellemenin bir yolunu sağlar. Bu bayrağı kullanarak, pencere içeriği güvenli olarak işlenir, ekran görüntülerinde görünmesini veya güvenli olmayan ekranlarda görüntülenmesini engeller.

getWindow().setFlags(LayoutParams.FLAG_SECURE, LayoutParams.FLAG_SECURE);

Android Uygulama Analizcisi

Bu araç, dinamik analiz sırasında farklı araçları yönetmenize yardımcı olabilir: https://github.com/NotSoSecure/android_application_analyzer

Intent Enjeksiyonu

Geliştiriciler genellikle bu Intent'leri ele alan ve bunları startActivity(...) veya sendBroadcast(...) gibi yöntemlere ileten aktiviteler, servisler ve yayın alıcıları gibi proxy bileşenler oluştururlar, bu da riskli olabilir.

Tehlike, saldırganların bu Intent'leri yanıltarak non-exported uygulama bileşenlerini tetiklemesine veya hassas içerik sağlayıcılarına erişmesine izin vermesinde yatar. Dikkate değer bir örnek, WebView bileşeninin URL'leri Intent nesnelerine Intent.parseUri(...) aracılığıyla dönüştürmesi ve ardından bunları yürütmesidir, bu da potansiyel olarak kötü niyetli Intent enjeksiyonlarına yol açabilir.

Temel Öğretiler

  • Intent Enjeksiyonu, web'in Açık Yönlendirme sorununa benzerdir.
  • Saldırılar, güvensiz işlemleri yürütmek için yönlendirilebilecek Intent nesnelerinin geçirilmesini içerir.
  • Non-exported bileşenleri ve içerik sağlayıcılarını saldırganlara açığa çıkarabilir.
  • WebView'ın URL'lerini Intente dönüştürmesi istenmeyen eylemleri kolaylaştırabilir.

Android İstemci Tarafı Enjeksiyonları ve Diğerleri

Bu tür zayıflıkları muhtemelen Web'den biliyorsunuzdur. Bir Android uygulamasında bu tür zayıflıklara karşı özellikle dikkatli olmalısınız:

  • SQL Enjeksiyonu: Dinamik sorgular veya İçerik Sağlayıcılarla uğraşırken parametreli sorgular kullandığınızdan emin olun.
  • JavaScript Enjeksiyonu (XSS): JavaScript ve Eklenti desteğinin herhangi bir WebView için devre dışı bırakıldığından emin olun (varsayılan olarak devre dışı). Daha fazla bilgi burada.
  • Yerel Dosya Dahil Etme: WebView'lerin dosya sistemine erişiminin devre dışı bırakılmış olması gerekir (varsayılan olarak etkin) - (webview.getSettings().setAllowFileAccess(false);). Daha fazla bilgi burada.
  • Kalıcı çerezler: Android uygulaması oturumu sonlandırdığında çerez iptal edilmiyor veya hatta diske kaydedilebiliyor olabilir.
  • Güvenli Bayrak çerezlerde

Deneyimli hackerlar ve ödül avcıları ile iletişim kurmak için HackenProof Discord sunucusuna katılın!

Hacking İçgörüleri
Hacking'in heyecanını ve zorluklarını inceleyen içeriklerle etkileşime girin

Gerçek Zamanlı Hack Haberleri
Hızlı tempolu hacking dünyasını gerçek zamanlı haberler ve içgörülerle takip edin

En Son Duyurular
Başlatılan en yeni ödül avcılarını ve önemli platform güncellemelerini takip edin

Bize Discord katılın ve bugün en iyi hackerlarla işbirliğine başlayın!

Otomatik Analiz

MobSF

Statik analiz

Uygulamanın güvenlik açıklarını değerlendirmek için güzel bir web tabanlı arayüz kullanarak statik analiz yapabilirsiniz. Ayrıca dinamik analiz de yapabilirsiniz (ancak ortamı hazırlamanız gerekmektedir).

docker pull opensecurity/mobile-security-framework-mobsf
docker run -it -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest

MobSF, Android(apk), IOS(ipa) ve Windows(apx) uygulamalarını analiz edebilir (Windows uygulamaları, Windows ana bilgisayarında kurulu olan MobSF'den analiz edilmelidir).
Ayrıca, bir ZIP dosyası oluşturursanız ve Android veya IOS uygulamasının kaynak kodunu içine koyarsanız (uygulamanın kök klasörüne gidin, her şeyi seçin ve bir ZIP dosyası oluşturun), bu da analiz edilebilir.

MobSF ayrıca analizleri karşılaştırmanıza ve VirusTotal'ı entegre etmenize olanak tanır (API anahtarınızı MobSF/settings.py dosyasında ayarlamanız ve etkinleştirmeniz gerekecektir: VT_ENABLED = TRUE VT_API_KEY = <API Anahtarınız> VT_UPLOAD = TRUE). Ayrıca VT_UPLOAD'ı False olarak ayarlarsanız, dosya yerine hash yüklenecektir.

MobSF ile Desteklenen Dinamik Analiz

MobSF, Android için dinamik analizde de çok faydalı olabilir, ancak bu durumda ana bilgisayarınıza MobSF ve genymotion kurmanız gerekecektir (bir sanal makine veya Docker çalışmayacaktır). Not: Önce genymotion'da bir sanal makine başlatmanız ve ardından MobSF'yi başlatmanız gerekmektedir.
MobSF dinamik analizörü, şunları yapabilir:

  • Uygulama verilerini dökme (URL'ler, günlükler, panoya kopyalananlar, sizin tarafından alınan ekran görüntüleri, "Exported Activity Tester" tarafından alınan ekran görüntüleri, e-postalar, SQLite veritabanları, XML dosyaları ve diğer oluşturulan dosyalar). Ekran görüntüleri dışında tüm bunlar otomatik olarak yapılır, ekran görüntüsü almak istediğinizde veya tüm dışa aktarılan etkinliklerin ekran görüntülerini almak istediğinizde "Exported Activity Tester" düğmesine basmanız gerekmektedir.
  • HTTPS trafiğini yakalama
  • Frida kullanarak çalışma zamanı bilgileri elde etme

Android sürümlerinden > 5 itibaren Frida otomatik olarak başlatılacak ve global proxy ayarları trafiği yakalamak için ayarlanacaktır. Sadece test edilen uygulamadan trafiği yakalayacaktır.

Frida

Varsayılan olarak, SSL pinning'i atlamak, root tespiti ve debugger tespiti yapmak ve ilginç API'leri izlemek için bazı Frida Komut Dosyalarını kullanacaktır.
MobSF ayrıca dışa aktarılan etkinlikleri çağırabilir, onların ekran görüntülerini alabilir ve rapor için bunları kaydedebilir.

Dinamik testi başlatmak için yeşil düğmeye basın: "Start Instrumentation". Frida komut dosyaları tarafından oluşturulan günlükleri görmek için "Frida Live Logs" düğmesine basın ve kancalanan yöntemlere yapılan tüm çağrıları, iletilen argümanları ve döndürülen değerleri görmek için "Live API Monitor" düğmesine basın ("Start Instrumentation" düğmesine bastıktan sonra görünecektir).
MobSF ayrıca kendi Frida komut dosyalarınızı yüklemenize izin verir (Friday komut dosyalarınızın sonuçlarını MobSF'ye göndermek için send() işlevini kullanın). Yükleyebileceğiniz birkaç önceden yazılmış komut dosyası da vardır (MobSF/DynamicAnalyzer/tools/frida_scripts/others/ içine daha fazlasını ekleyebilirsiniz), bunları seçin, "Yükle" düğmesine basın ve "Start Instrumentation" düğmesine basın (bu komut dosyalarının günlüklerini "Frida Live Logs" içinde görebileceksiniz).

Ayrıca, bazı Yardımcı Frida işlevleri bulunmaktadır:

  • Yüklenen Sınıfları Sırala: Yüklenen tüm sınıfları yazdırır
  • Dizeleri Yakalama: Uygulamayı kullanırken yakalanan tüm dizeleri yazdırır (çok gürültülü)
  • Dize Karşılaştırmalarını Yakalama: Çok faydalı olabilir. Karşılaştırılan 2 dizeyi ve sonucun Doğru mu Yanlış mı olduğunu gösterecektir.
  • Sınıf Yöntemlerini Sırala: Sınıf adını (örneğin "java.io.File") girin ve sınıfın tüm yöntemlerini yazdıracaktır.
  • Sınıf Desenini Ara: Desene göre sınıfları arar
  • Sınıf Yöntemlerini İzle: Bir tüm sınıfı izler (sınıfın tüm yöntemlerinin girdilerini ve çıktılarını görür). Unutmayın ki varsayılan olarak MobSF, birkaç ilginç Android Api yöntemini izler.

Kullanmak istediğiniz yardımcı modülü seçtikten sonra "Start Intrumentation" düğmesine basmanız ve tüm çıktıları "Frida Live Logs" içinde görmelisiniz.

Shell

Mobsf ayrıca dinamik analiz sayfasının alt kısmında bazı adb komutları, MobSF komutları ve yaygın shell komutları ile bir kabuk getirir. Bazı ilginç komutlar:

help
shell ls
activities
exported_activities
services
receivers

HTTP araçları

HTTP trafiği yakalandığında, yakalanan trafiğin kötü bir görünümünü "HTTP(S) Trafik" altında veya daha güzel bir görünümü "HTTP Araçları Başlat" yeşil altında görebilirsiniz. İkinci seçenekten, yakalanan istekleri Burp veya Owasp ZAP gibi proxy'lere gönderebilirsiniz.
Bunu yapmak için, Burp'u açın --> Intercept'i kapatın --> MobSB HTTPTools'ta isteği seçin --> "Fuzzera Gönder" düğmesine basın --> proxy adresini seçin (http://127.0.0.1:8080\).

MobSF ile dinamik analizi tamamladıktan sonra, zayıflıkları aramak için "Web API Fuzzer'ı Başlat" düğmesine basabilirsiniz.

{% hint style="info" %} MobSF ile dinamik analiz yapıldıktan sonra, proxy ayarlarının yanlış yapılandırılmış olabileceği ve bunları GUI üzerinden düzeltemeyeceğiniz belirtiliyor. Proxy ayarlarını düzeltmek için şunları yapabilirsiniz:

adb shell settings put global http_proxy :0

{% endhint %}

Inspeckage ile Desteklenen Dinamik Analiz

Araç Inspeckage adresinden temin edilebilir.
Bu araç, bir dinamik analiz gerçekleştirirken uygulamada neler olduğunu bilmenizi sağlamak için bazı Hooks kullanır.

Yaazhini

Bu, bir GUI ile statik analiz yapmak için harika bir araçtır

Qark

Bu araç, kaynak kodunda veya paketlenmiş APK'lerde çeşitli güvenlikle ilgili Android uygulama zafiyetlerini aramak için tasarlanmıştır. Araç ayrıca bazı bulunan zafiyetleri sömürmek için bir "Proof-of-Concept" dağıtılabilir APK ve ADB komutları oluşturma yeteneğine sahiptir (Açık aktiviteler, intent'ler, tapjacking...). Drozer gibi, test cihazını rootlama ihtiyacı yoktur.

pip3 install --user qark  # --user is only needed if not using a virtualenv
qark --apk path/to/my.apk
qark --java path/to/parent/java/folder
qark --java path/to/specific/java/file.java

ReverseAPK

  • Kolay referans için tüm çıkarılan dosyaları görüntüler
  • APK dosyalarını otomatik olarak Java ve Smali formatına decompile eder
  • Yaygın güvenlik açıkları ve davranışlar için AndroidManifest.xml'i analiz eder
  • Yaygın güvenlik açıkları ve davranışlar için statik kaynak kod analizi
  • Cihaz bilgileri
  • ve daha fazlası
reverse-apk relative/path/to/APP.apk

SUPER Android Analyzer

SUPER, Windows, MacOS X ve Linux'da kullanılabilen bir komut satırı uygulamasıdır ve zayıflıkları aramak için .apk dosyalarını analiz eder. Bu işlemi APK'leri açarak ve zayıflıkları tespit etmek için bir dizi kural uygulayarak yapar.

Tüm kurallar rules.json dosyasında merkezlenmiştir ve her şirket veya testçi kendi ihtiyaçlarını analiz etmek için kendi kurallarını oluşturabilir.

En son ikili dosyaları indirme sayfasından indirebilirsiniz.

super-analyzer {apk_file}

StaCoAn

StaCoAn, mobil uygulamalarda statik kod analizi gerçekleştiren geliştiricilere, hata avcılarına ve etik hackerlara yardımcı olan çapraz platform aracıdır.

Kavram şudur: Mobil uygulama dosyanızı (bir .apk veya .ipa dosyası) StaCoAn uygulamasına sürükleyip bırakırsınız ve size görsel ve taşınabilir bir rapor oluşturacaktır. Ayarları ve kelime listelerini özelleştirebilirsiniz.

En son sürümü indirin:

./stacoan

AndroBugs

AndroBugs Framework, geliştiricilere veya hackerlara Android uygulamalarındaki potansiyel güvenlik açıklarını bulmalarına yardımcı olan bir Android zafiyet analiz sistemidir.
Windows sürümleri

python androbugs.py -f [APK file]
androbugs.exe -f [APK file]

Androwarn

Androwarn, Android uygulaması tarafından geliştirilen potansiyel kötü niyetli davranışları tespit etmek ve kullanıcıyı uyarı amacıyla olan bir araçtır.

Tespit, uygulamanın Dalvik bytecode'ının statik analizi ile gerçekleştirilir ve bu bytecode Smali olarak temsil edilir, androguard kütüphanesi ile.

Bu araç, Telefoni kimlik bilgilerinin dışa aktarılması, Ses/video akışının dinlenmesi, PIM verilerinin değiştirilmesi, Keyfi kod yürütme gibi "kötü" uygulamaların yaygın davranışlarını arar...

python androwarn.py -i my_application_to_be_analyzed.apk -r html -v 3

MARA Framework

MARA, Mobil Uygulama Tersine Mühendislik ve Analiz Çerçevesidir. OWASP mobil güvenlik tehditlerine karşı mobil uygulamaları test etmeye yardımcı olmak için yaygın olarak kullanılan mobil uygulama tersine mühendislik ve analiz araçlarını bir araya getiren bir araçtır. Amacı, bu görevi mobil uygulama geliştiricileri ve güvenlik uzmanları için daha kolay ve dostane hale getirmektir.

Şunları yapabilir:

Koodous

Kötü amaçlı yazılımları tespit etmek için faydalı: https://koodous.com/

Kodu Obfuscate Etme/Deobfuscate Etme

Kodu obfuscate etmek için kullandığınız hizmet ve yapılandırmaya bağlı olarak, sırlar obfuscated olabilir veya olmayabilir.

ProGuard

Wikipedia'dan: ProGuard, Java kodunu küçülten, optimize eden ve obfuscate eden açık kaynaklı bir komut satırı aracıdır. Bytecode'ları optimize edebilir ve kullanılmayan talimatları tespit edip kaldırabilir. ProGuard ücretsiz yazılımdır ve GNU Genel Kamu Lisansı, sürüm 2 altında dağıtılmaktadır.

ProGuard, Android SDK'nın bir parçası olarak dağıtılır ve uygulamayı yayınlama modunda derlerken çalışır.

DexGuard

APK'nın deobfuscate edilmesi için adım adım kılavuz için https://blog.lexfo.fr/dexguard.html adresine bakın

(O kılavuzdan) Son kontrol ettiğimizde, Dexguard'ın işlem modu şuydu:

  • Bir kaynağı bir InputStream olarak yükle;
  • Sonucu şifrelemek için FilterInputStream'den miras alan bir sınıfa besle;
  • Bir reverser'ın birkaç dakikasını boşa harcamak için bazı gereksiz obfuscation yap;
  • Şifrelenmiş sonucu bir DEX dosyası almak için ZipInputStream'a besle;
  • Sonunda, elde edilen DEX'i loadDex yöntemini kullanarak bir Kaynak olarak yükle.

DeGuard

DeGuard, Android obfuscation araçları tarafından gerçekleştirilen obfuscation işlemini tersine çevirir. Bu, kod incelemesi ve kütüphaneleri tahmin etmeyi içeren birçok güvenlik analizine olanak tanır.

Obfuscated bir APK'yı platformlarına yükleyebilirsiniz.

Simplify

Bu, genel bir android deobfuscator'dır. Simplify, bir uygulamayı neredeyse yürütür ve ardından kodu aynı şekilde davranacak şekilde optimize etmeye çalışır ancak insanlar için daha anlaşılır hale getirir. Her optimizasyon türü basit ve geneldir, bu nedenle kullanılan belirli obfuscation türü önemli değildir.

APKiD

APKiD, bir APK'nın nasıl yapıldığı hakkında bilgi verir. Birçok derleyici, paketleyici, obfuscator ve diğer garip şeyleri tanımlar. Android için PEiD gibidir.

Manuel

Özel obfuscation'ı tersine çevirmenin püf noktalarını öğrenmek için bu kılavuzu okuyun (manual-deobfuscation.md)

Lablar

Androl4b

AndroL4b, tersine mühendislik ve kötü amaçlı yazılım analizi için farklı güvenlik uzmanları ve araştırmacılardan en son çerçeve, öğreticiler ve labları içeren ubuntu-mate tabanlı bir Android güvenlik sanal makinedir.

Referanslar

Henüz Denenmemiş

HackenProof Discord sunucusuna katılın ve deneyimli hackerlar ve hata ödül avcıları ile iletişim kurun!

Hacking Insights
Hacking'in heyecanını ve zorluklarını inceleyen içeriklerle etkileşime girin

Gerçek Zamanlı Hack Haberleri
Hızlı tempolu hacking dünyasını gerçek zamanlı haberler ve içgörülerle takip edin

En Son Duyurular
En yeni hata ödülleri ve önemli platform güncellemeleri hakkında bilgi edinin

Bize Discord katılın ve bugün en iyi hackerlarla işbirliğine başlayın!

htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahraman olmaya kadar AWS hackleme öğrenin

HackTricks'i desteklemenin diğer yolları: