hacktricks/mobile-pentesting/android-app-pentesting/android-applications-basics.md

29 KiB

Conceitos Básicos de Aplicativos Android

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

Siga HackenProof para aprender mais sobre bugs web3

🐞 Leia tutoriais de bugs web3

🔔 Receba notificações sobre novos programas de recompensas por bugs

💬 Participe de discussões na comunidade

Modelo de Segurança do Android

Existem duas camadas:

  • O SO, que mantém aplicativos instalados isolados uns dos outros.
  • O próprio aplicativo, que permite que os desenvolvedores exponham determinadas funcionalidades e configurem as capacidades do aplicativo.

Separação de UID

Cada aplicativo é atribuído um ID de usuário específico. Isso é feito durante a instalação do aplicativo para que o aplicativo possa interagir apenas com arquivos de propriedade de seu ID de usuário ou arquivos compartilhados. Portanto, apenas o próprio aplicativo, certos componentes do SO e o usuário root podem acessar os dados dos aplicativos.

Compartilhamento de UID

Dois aplicativos podem ser configurados para usar o mesmo UID. Isso pode ser útil para compartilhar informações, mas se um deles for comprometido, os dados de ambos os aplicativos serão comprometidos. É por isso que esse comportamento é desencorajado.
Para compartilhar o mesmo UID, os aplicativos devem definir o mesmo valor android:sharedUserId em seus arquivos de manifesto.

Isolamento

O Android Application Sandbox permite executar cada aplicativo como um processo separado sob um ID de usuário separado. Cada processo tem sua própria máquina virtual, portanto, o código de um aplicativo é executado em isolamento de outros aplicativos.
A partir do Android 5.0(L), o SELinux é aplicado. Basicamente, o SELinux negou todas as interações de processos e, em seguida, criou políticas para permitir apenas as interações esperadas entre eles.

Permissões

Quando você instala um aplicativo e ele solicita permissões, o aplicativo está solicitando as permissões configuradas nos elementos uses-permission no arquivo AndroidManifest.xml. O elemento uses-permission indica o nome da permissão solicitada dentro do atributo de nome. Ele também tem o atributo maxSdkVersion que impede a solicitação de permissões em versões superiores à especificada.
Observe que os aplicativos Android não precisam solicitar todas as permissões no início, eles também podem solicitar permissões dinamicamente, mas todas as permissões devem ser declaradas no manifesto.

Quando um aplicativo expõe funcionalidade, ele pode limitar o acesso apenas a aplicativos que possuem uma permissão especificada.
Um elemento de permissão tem três atributos:

  • O nome da permissão
  • O atributo permission-group, que permite agrupar permissões relacionadas.
  • O nível de proteção que indica como as permissões são concedidas. Existem quatro tipos:
    • Normal: Usado quando não há **amea

Filtro de Intenção

Um Filtro de Intenção especifica os tipos de Intenção que uma atividade, serviço ou Receptor de Transmissão pode responder. Ele especifica o que uma atividade ou serviço pode fazer e que tipos de transmissões um Receptor pode manipular. Ele permite que o componente correspondente receba Intenções do tipo declarado. Os Filtros de Intenção são normalmente definidos via arquivo AndroidManifest.xml. Para Receptor de Transmissão, também é possível defini-los em código. Um Filtro de Intenção é definido por sua categoria, ação e filtros de dados. Ele também pode conter metadados adicionais.

No Android, uma atividade/serviço/provedor de conteúdo/receptor de transmissão é público quando exported é definido como true, mas um componente também é público se o manifesto especificar um filtro de intenção para ele. No entanto, os desenvolvedores podem tornar explicitamente os componentes privados (independentemente de quaisquer filtros de intenção) definindo o atributo exported como false para cada componente no arquivo manifesto. Os desenvolvedores também podem definir o atributo permission para exigir uma determinada permissão para acessar o componente, restringindo assim o acesso ao componente.

Intenções Implícitas

As intenções são criadas programaticamente usando um construtor de intenções:

Intent email = new Intent(Intent.ACTION_SEND, Uri.parse("mailto:"));

A Ação do intent declarado anteriormente é ACTION_SEND e o Extra é um Uri de mailto (o Extra é a informação extra que o intent espera).

Este intent deve ser declarado dentro do manifesto como no exemplo a seguir:

<activity android:name="ShareActivity">
	<intent-filter>
       <action android:name="android.intent.action.SEND" />
       <category android:name="android.intent.category.DEFAULT" />
    </intent-filter>
</activity>

Um intent-filter precisa corresponder à ação, dados e categoria para receber uma mensagem.

O processo de "resolução de intenção" determina qual aplicativo deve receber cada mensagem. Esse processo considera o atributo de prioridade, que pode ser definido na declaração do intent-filter, e aquele com a maior prioridade será selecionado. Essa prioridade pode ser definida entre -1000 e 1000 e os aplicativos podem usar o valor SYSTEM_HIGH_PRIORITY. Se ocorrer um conflito, uma janela "escolher" aparece para que o usuário possa decidir.

Intenções explícitas

Uma intenção explícita especifica o nome da classe que está sendo direcionada:

Intent downloadIntent = new (this, DownloadService.class):

Em outras aplicações, para acessar o intent previamente declarado, você pode usar:

Intent intent = new Intent();
intent.setClassName("com.other.app", "com.other.app.ServiceName");
context.startService(intent);

Intenções Pendentes

Elas permitem que outras aplicações realizem ações em nome da sua aplicação, usando a identidade e permissões do seu aplicativo. Ao construir uma Intenção Pendente, deve-se especificar uma intenção e a ação a ser executada. Se a intenção declarada não for explícita (não declarar qual intenção pode chamá-la), um aplicativo malicioso pode executar a ação declarada em nome do aplicativo da vítima. Além disso, se uma ação não for especificada, o aplicativo malicioso poderá fazer qualquer ação em nome da vítima.

Intenções de Transmissão

Ao contrário das intenções anteriores, que são recebidas apenas por um aplicativo, as intenções de transmissão podem ser recebidas por vários aplicativos. No entanto, a partir da versão API 14, é possível especificar o aplicativo que deve receber a mensagem usando Intent.setPackage.

Alternativamente, também é possível especificar uma permissão ao enviar a transmissão. O aplicativo receptor precisará ter essa permissão.

Existem dois tipos de transmissões: Normais (assíncronas) e Ordenadas (síncronas). A ordem é baseada na prioridade configurada dentro do receptor. Cada aplicativo pode processar, retransmitir ou descartar a transmissão.

É possível enviar uma transmissão usando a função **sendBroadcast(intent, receiverPermission) ** da classe Context.
Você também pode usar a função sendBroadcast do LocalBroadCastManager para garantir que a mensagem nunca saia do aplicativo. Usando isso, você nem precisará exportar um componente receptor.

Transmissões Adesivas

Esse tipo de transmissão pode ser acessado muito tempo depois de ser enviado.
Eles foram descontinuados no nível de API 21 e é recomendável não usá-los.
Eles permitem que qualquer aplicativo espie os dados, mas também os modifique.

Se você encontrar funções contendo a palavra "adesivo" como sendStickyBroadcast ou sendStickyBroadcastAsUser, verifique o impacto e tente removê-los.

Links profundos permitem acionar uma intenção via URL. Um aplicativo pode declarar um esquema de URL dentro de uma atividade, para que toda vez que o dispositivo Android tente acessar um endereço usando esse esquema, a atividade do aplicativo seja chamada:

Neste caso, o esquema é myapp:// (observe também a categoria BROWSABLE)

Se dentro do intent-filter você encontrar algo como isto:

Então, está esperando algo como http://www.example.com/gizmos

Se você encontrar algo como isto:

Significará que está esperando um URL começando por example://gizmos
Neste caso, você pode tentar abusar da funcionalidade criando uma página da web com as seguintes cargas úteis. Ele tentará navegar para páginas arbitrárias e tentará executar JS:

<a href="example://gizmos/https://google.com">click here</a>
<a href="example://gizmos/javascript://%250dalert(1)">click here</a>

Para encontrar o código que será executado no aplicativo, vá para a atividade chamada pelo deeplink e procure a função onNewIntent.

Aprenda como chamar deep links sem usar páginas HTML.

AIDL - Android Interface Definition Language

A Linguagem de Definição de Interface Android (AIDL) permite definir a interface de programação que tanto o cliente quanto o serviço concordam em usar para comunicar-se entre si usando comunicação entre processos (IPC). No Android, um processo normalmente não pode acessar a memória de outro processo. Então, para conversar, eles precisam decompor seus objetos em primitivas que o sistema operacional possa entender e enviar os objetos através dessa fronteira para você. O código para fazer essa transferência é tedioso de escrever, então o Android o manipula para você com o AIDL.

Serviços que usam AIDL são referidos como Serviços Vinculados. Na classe do serviço, você encontrará o método onBind. É onde a interação começa, então é a parte inicial do código a ser revisada em busca de possíveis vulnerabilidades.

Um serviço vinculado é o servidor em uma interface cliente-servidor. Ele permite que componentes (como atividades) se vinculem ao serviço, enviem solicitações, recebam respostas e realizem comunicação entre processos (IPC). Um serviço vinculado normalmente vive apenas enquanto serve outro componente do aplicativo e não é executado em segundo plano indefinidamente.

Messenger

Um Messenger é outro tipo de mecanismo IPC. Como o Messenger também é um "Serviço Vinculado", os dados passados do aplicativo cliente também são processados através do método onBind. Portanto, a revisão do código deve começar por este método e você deve procurar a invocação de funcionalidades sensíveis ou manipulação insegura de dados.

Binder

É estranho encontrar uma classe Binder invocada diretamente, pois é muito mais fácil usar o AIDL (que abstrai a classe Binder). No entanto, é bom saber que o Binder é um driver de nível de kernel que move dados da memória de um processo para a de outro (https://www.youtube.com/watch?v=O-UHvFjxwZ8).

Componentes

Estes incluem: Atividades, Serviços, Receptores de Transmissão e Provedores.

Atividade de Lançamento e outras atividades

Uma atividade Android é uma tela da interface do usuário do aplicativo Android. Nesse sentido, uma atividade Android é muito semelhante às janelas em um aplicativo de desktop. Um aplicativo Android pode conter uma ou mais atividades, ou seja, uma ou mais telas.

A atividade de lançamento é o que a maioria das pessoas pensa como o ponto de entrada para um aplicativo Android. A atividade de lançamento é a atividade que é iniciada quando um usuário clica no ícone de um aplicativo. Você pode determinar a atividade de lançamento olhando o manifesto do aplicativo. A atividade de lançamento terá as seguintes intenções MAIN e LAUNCHER listadas.

Lembre-se de que nem todo aplicativo terá uma atividade de lançamento, especialmente aplicativos sem interface do usuário. Exemplos de aplicativos sem interface do usuário (e, portanto, sem atividade de lançamento) são aplicativos pré-instalados que executam serviços em segundo plano, como correio de voz.

<activity android:name=".LauncherActivity">
	<intent-filter>
    	<action android:name="android.intent.action.MAIN" />
        <category android:name="android.intent.category.LAUNCHER" />
    </intent-filter>
</activity>

As atividades podem ser exportadas permitindo que outros processos no dispositivo iniciem a atividade. Por padrão, elas não são exportadas, mas você pode exportá-las definindo:

<service android:name=".ExampleExportedService" android:exported="true"/>

Observe que a capacidade de burlar proteções de atividades nem sempre é uma vulnerabilidade, você precisa verificar a qual dados você obteve acesso. Além disso, algumas atividades retornam dados para um chamador. Nesses cenários, você precisa procurar o método setResult e verificar os dados que são passados para o parâmetro Intent. Se forem dados sensíveis, você pode ter uma vulnerabilidade de vazamento de informações e ela pode ser explorada com aplicativos capazes de se comunicar com a Activity.

O código de uma atividade começa com o método onCreate.

Subclasse de Aplicativo

Os aplicativos Android podem definir uma subclasse de Application. Os aplicativos podem, mas não precisam definir uma subclasse personalizada de Application. Se um aplicativo Android define uma subclasse de Application, essa classe é instanciada antes de qualquer outra classe no aplicativo.

Se o método attachBaseContext for definido na subclasse de Application, ele será chamado primeiro, antes do método onCreate.

Serviços

Serviços executam em segundo plano sem uma interface do usuário. Eles são usados para realizar processos de longa duração, mesmo se o usuário começar a usar um aplicativo diferente.

Existem inúmeras maneiras pelas quais eles podem ser iniciados e, portanto, são um ponto de entrada para aplicativos. A maneira padrão pela qual um serviço pode ser iniciado como um ponto de entrada para um aplicativo é por meio de Intents.

Quando o método startService é chamado para iniciar um Serviço, o método onStart no Serviço é executado. Ele será executado indefinidamente até que o método stopService seja chamado. Se o serviço for necessário apenas enquanto o cliente estiver conectado, o cliente deve "vinculá-lo" usando o método bindService.

Para um serviço vinculado (consulte a seção anterior), os dados serão passados para o método onBind.

Por exemplo, um serviço pode reproduzir música em segundo plano enquanto o usuário está em um aplicativo diferente, ou pode buscar dados na rede sem bloquear a interação do usuário com uma atividade.

Um serviço pode ser exportado, o que permite que outros processos no dispositivo iniciem o serviço. Por padrão, os serviços não são exportados, mas podem ser configurados no Manifest:

<service android:name=".ExampleExportedService" android:exported="true"/>

Receptores de transmissão

As transmissões podem ser consideradas um sistema de mensagens e os receptores de transmissão são os ouvintes. Se um aplicativo registrou um receptor para uma transmissão específica, o código desse receptor é executado quando o sistema envia a transmissão. Observe que, nesse caso, vários aplicativos podem receber a mesma mensagem.

Existem 2 maneiras pelas quais um aplicativo pode registrar um receptor: no Manifest do aplicativo ou registrado dinamicamente no código do aplicativo usando a chamada de API registerReceiver. No manifesto, você pode limitar as transmissões que aceita por meio do uso de permissões dentro do elemento receptor. Quando definido dinamicamente, você pode passar a permissão para o método registerReceiver.

Em ambos os casos, para registrar o receptor, os filtros de intenção para o receptor são definidos. Esses filtros de intenção são as transmissões que devem acionar o receptor.

Quando as transmissões específicas são enviadas para as quais o receptor está registrado, onReceive na classe BroadcastReceiver é executado.

Um aplicativo pode registrar um receptor para a mensagem de bateria fraca, por exemplo, e alterar seu comportamento com base nessa informação.

A transmissão pode ser assíncrona (cada receptor a recebe) ou síncrona (a transmissão é recebida de maneira ordenada com base na prioridade definida para recebê-la).

{% hint style="danger" %} Observe que qualquer aplicativo pode se definir como prioridade máxima para receber uma transmissão. {% endhint %}

Para examinar o código implementado em um receptor de transmissão, você precisa procurar o método onReceive da classe do receptor.
Observe que as Transmissões Ordenadas podem descartar o Intent recebido ou até mesmo modificá-lo usando um dos métodos setter. Portanto, os receptores devem validar os dados.

Provedor de conteúdo

Os provedores de conteúdo são a maneira como os aplicativos compartilham dados estruturados, como bancos de dados relacionais. Portanto, é muito importante usar permissões e definir o nível de proteção apropriado para protegê-los.
Os provedores de conteúdo podem usar os atributos readPermission e writePermission para especificar quais permissões um aplicativo deve ter. Essas permissões têm precedência sobre o atributo de permissão.
Além disso, eles também podem permitir exceções temporárias definindo o grantUriPermission como verdadeiro e, em seguida, configurando os parâmetros apropriados no elemento grant-uri-permission dentro do elemento do provedor dentro do arquivo manifesto.

O grant-uri-permission tem três atributos: path, pathPrefix e pathPattern:

  • path: permite especificar todo o caminho a ser excluído
  • pathPrefix: permite especificar o início do caminho
  • pathPattern: permite o uso de curingas e substituições simbólicas para obter um controle mais granular.

É importante validar e sanitizar a entrada recebida para evitar vulnerabilidades potenciais, como injeção de SQL.

Recursos do Provedor de Conteúdo:

  • O componente Provedor de Conteúdo fornece dados de um aplicativo para outros sob demanda.
  • Você pode armazenar os dados no sistema de arquivos, em um banco de dados SQLite, na web ou em qualquer outro local de armazenamento persistente que seu aplicativo possa acessar.
  • Por meio do provedor de conteúdo, outros aplicativos podem consultar ou até mesmo modificar os dados (se o provedor de conteúdo permitir).
  • O provedor de conteúdo é útil nos casos em que um aplicativo deseja compartilhar dados com outro aplicativo.
  • É muito semelhante a bancos de dados e possui quatro métodos.
    • insert()
    • update()
    • delete()
    • query()

FileProvider

Este é um tipo de Provedor de Conteúdo que irá compartilhar arquivos de uma pasta. Você pode declarar um provedor de arquivos assim:

<provider android:name="androidx.core.content.FileProvider"
            android:authorities="com.example.myapp.fileprovider"
            android:grantUriPermissions="true" android:exported="false">
            <meta-data
                android:name="android.support.FILE_PROVIDER_PATHS"
                android:resource="@xml/filepaths" />
</provider>

Observe o atributo android:exported porque se for true aplicativos externos poderão acessar as pastas compartilhadas.
Observe que a configuração android:resource="@xml/filepaths" está indicando que o arquivo res/xml/filepaths.xml contém a configuração de quais pastas este FileProvider irá compartilhar. Este é um exemplo de como indicar para compartilhar uma pasta naquele arquivo:

<paths>
    <files-path path="images/" name="myimages" />
</paths>

Compartilhar algo como path="." pode ser perigoso mesmo que o provedor não seja exportado, se houver outra vulnerabilidade em alguma parte do código que tente acessar esse provedor.
Você pode acessar uma imagem dentro dessa pasta com content://com.example.myapp.fileprovider/myimages/default_image.jpg

O elemento <paths> pode ter vários filhos, cada um especificando um diretório diferente para compartilhar. Além do elemento <files-path>, você pode usar o elemento <external-path> para compartilhar diretórios no armazenamento externo, e o elemento <cache-path> para compartilhar diretórios no seu diretório de cache interno.
Para obter mais informações sobre atributos específicos de provedores de arquivos, vá aqui.

Mais informações sobre FileProviders aqui.

WebViews

WebViews são efetivamente navegadores da web incorporados em aplicativos Android.
O conteúdo do WebView pode ser retirado de sites remotos ou pode ser arquivos incluídos no aplicativo.
Os WebViews são vulneráveis às mesmas vulnerabilidades que afetam qualquer navegador da web. No entanto, existem algumas configurações que podem ser úteis para limitar a superfície de ataque.

Existem dois tipos de WebViews no Android:

  • O WebViewClient, mais adequado para renderização de HTML simples. Isso não executará a função de alerta JS. Portanto, testes de XSS usando essa função serão inválidos.
  • O cliente WebChrome, é um navegador Chrome.

Observe que os navegadores WebView não têm acesso aos cookies do navegador nativo.

Para carregar uma URL ou arquivo, é possível usar as funções loadUrl, loadData ou loadDataWithBaseURL. É importante acessar apenas URLs sanitizados.
A segurança do WebView pode ser configurada por meio do objeto WebSettings.
Por exemplo, a execução de código JS pode ser desativada usando o método setJavaScriptEnabled com o valor false. Isso removerá a possibilidade de um XSS e outras vulnerabilidades relacionadas ao JS.

A funcionalidade JavaScript "Bridge" injeta objetos Java em um WebView tornando-os acessíveis ao JS. A partir do Android 4.2, os métodos devem ser anotados com @JavascriptInterface para serem acessíveis ao JavaScript.

Se true for passado para setAllowContentAccess, os WebViews poderão acessar os Provedores de Conteúdo via esquema content://. Isso obviamente representa um risco de segurança. Observe que, se esse acesso for concedido, é muito importante garantir que a URL content:// seja segura.

Por padrão, arquivos locais podem ser acessados pelos WebViews por meio de URLs file://, mas existem várias maneiras de impedir esse comportamento:

  • Passar false para setAllowFileAccess, impede o acesso ao sistema de arquivos com exceção de ativos via file:///android_asset e file:///android_res. Esses caminhos devem ser usados apenas para dados não confidenciais (como imagens), portanto, isso deve ser seguro.
  • O método setAllowFileAccess indica se um caminho de uma URL file:// deve ser capaz de acessar o conteúdo de outras URLs do esquema de arquivo.
  • O método setAllowUniversalAccessFromFileURLs indica se um caminho de uma URL file:// deve ser capaz de acessar o conteúdo de qualquer origem.

Outros componentes do aplicativo

Assinatura do aplicativo

  • O Android requer que todos os aplicativos sejam assinados digitalmente com um certificado antes que possam ser instalados. O Android usa este certificado para identificar o autor de um aplicativo.
  • Para executar o aplicativo no dispositivo, ele deve ser assinado. Quando o aplicativo é instalado em um dispositivo, o gerenciador de pacotes verifica se o aplicativo foi assinado corretamente com o certificado no arquivo apk ou não.
  • O aplicativo pode ser autoassinado ou pode ser assinado por meio de uma CA.
  • A assinatura do aplicativo garante que um aplicativo não possa acessar nenhum outro aplicativo, exceto por meio de IPC bem definido e também que ele seja passado sem modificações para o dispositivo.

Verificação do aplicativo

  • O Android 4.2 e posterior suportam a verificação do aplicativo. Os usuários podem optar por habilitar "Verificar aplicativos" e ter aplicativos avaliados por um verificador de aplicativos antes da instalação.
  • A verificação do aplicativo pode alertar o usuário se ele tentar instalar um aplicativo que possa ser prejudicial; se um aplicativo for especialmente ruim, ele pode bloquear a instalação.

Gerenciamento de dispositivos móveis

MDM ou Mobile Device Management são conjuntos de software usados para garantir requisitos de controle e segurança sobre dispositivos móveis. Esses conjuntos usam recursos referidos como API de Administração de Dispositivos e requerem a instalação de um aplicativo Android.

Geralmente, as soluções MDM executam funções como impor políticas de senha, forçar a criptografia de armazenamento e permitir a exclusão remota de dados do dispositivo.

Siga o HackenProof para aprender mais sobre bugs web3

🐞 Leia tutoriais de bugs web3

🔔 Receba notificações sobre novas recompensas por bugs

💬 Participe de discussões na comunidade

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥