Segurança no Android

Transcript

1. SEGURANÇA NO ANDROID você está se preocupando com isso? Rafael

   Toledo @_rafaeltoledo

2. O QUE QUEREMOS? Muitos usuários Usuários que transacionam Dados para

   evoluir e melhorar o produto

3. PORÉM... Com grandes poderes vem grandes responsabilidades

4. None
5. None
6. None

7. OPS...

8. PODE ACONTECER PERTO DE VOCÊ

9. INCLUSIVE COM VOCÊ!

10. ANDROID Ambiente de execução inseguro: Root, Custom Roms, Custom Kernels,

    Custom Recoveries, Apps

11. ANÁLISE & ATAQUE

12. QARK Quick Android Review Kit Ferramenta simples de usar capaz

    de encontrar vulnerabilidades de segurança comuns em aplicativos Android github.com/linkedin/qark

13. QARK $ python qarkMain.py

14. QARK Analisar um APK local ou baixar um APK do

    device / emulador conectado via ADB (incluindo os apps do sistema) Procurar por problemas no Android Manifest Descompilar usando 3 ferramentas diferentes

15. QARK

16. APKTOOL / DEX2JAR / JD-GUI Ferramentas para descompilação e visualização

    do código descompilado (JD-GUI) ibotpeaches.github.io/apktool github.com/pxb1988/dex2jar jd.benow.ca

17. APKTOOL / DEX2JAR / JD-GUI Navegação manual nas pastas do

    projeto nos permite: - Descobrir frameworks / bibliotecas utilizadas - Obter chaves de SDK / Tokens de Acesso - Entender e descobrir lógicas de negócio - Descobrir e explorar vulnerabilidades no cliente e servidor

18. ACESSO ROOT Permite controle total sobre o dispositivo Acesso a

    dados de apps, até então protegidos shell@android:/ $ ls /data/data opendir failed, Permission denied shell@android:/ $ su root@android:/ # ls /data/data :)

19. ACESSO ROOT Ler e Modificar facilmente arquivos dos apps (Shared

    Preferences, Content Providers, SQLite) Instalar outras ferramentas como o Frida - www.frida.re Frida permite injetar código JavaScript para explorar apps nativos não só Android, como iOS, Windows, Mac, Linux...

20. DROZER "O Drozer permite assumir o papel de um aplicativo

    Android e interagir com outros aplicativos, por meio do mecanismo de Comunicação Inter-Processo (IPC) do Android e do sistema operacional subjacente" labs.mwrinfosecurity.com/tools/drozer

21. $ drozer console connect Selecting 8b4345b... (LGE Nexus 4 6.0.1)

    ... drozer Console (v2.3.4) dz> list ...exibe os módulos do drozer... DROZER analisando um app

22. DROZER analisando um app dz> run app.package.info -a com.example.app Package:

    com.example.app Application Label: App Exemplo Process Name: com.example.app Version: 1.0 Data Directory: /data/data/com.example.app APK Path: /data/app/com.example.app-1/base.apk UID: 10052 GID: [3003]

23. DROZER analisando um app Shared Libraries: null Shared User ID:

    null User Permissions: - android.permission.INTERNET - android.permission.ACCESS_WIFI_STATE ... Defines Permissions: - com.example.app.permission.C2D_MESSAGE

24. DROZER possibilidades de ataque dz> run app.package.attacksurface com.example.app Attack Surface:

    13 activities exported 7 broadcast receivers exported 0 content providers exported 4 services exported

25. DROZER listando Activities exportadas dz> run app.activity.info -a com.example.app Package:

    com.example.app com.example.app.SignInActivity com.example.app.HomeActivity dz> run app.activity.start --component \ com.example.app com.example.app.HomeActivity

26. DEFESA

27. DETECÇÃO DE AMBIENTE debug public static boolean isDebuggable(Context context) {

    return (context.getApplicationInfo().flags & ApplicationInfo.FLAG_DEBUGGABLE) != 0; }

28. DETECÇÃO DE AMBIENTE emulador public static boolean isEmulator() { return

    Build.FINGERPRINT.startsWith("generic") || Build.FINGERPRINT.startsWith("unknown") || Build.MODEL.contains("google_sdk") || Build.MODEL.contains("Emulator") || Build.MODEL.contains("Android SDK built for x86") || Build.MANUFACTURER.contains("Genymotion") || (Build.BRAND.startsWith("generic") && Build.DEVICE.startsWith("generic")) || "google_sdk".equals(Build.PRODUCT) || "goldfish".equals(Build.HARDWARE); }

29. DETECÇÃO DE AMBIENTE origem da instalação public static boolean verifyInstaller(Context

    context) { final String installer = context.getPackageManager() .getInstallerPackageName(context.getPackageName()); return installer != null && installer.compareTo("com.android.vending") == 0; }

30. DETECÇÃO DE AMBIENTE root RootBeer Verifica a presença de binários,

    apps e propriedades no device que possam indicar root github.com/scottyab/rootbeer

31. Storage criptografado no estilo chave-valor Não implementa a interface SharedPreference

    Utiliza a Conceal do Facebook para criptografia github.com/facebook/conceal github.com/orhanobut/hawk STORAGE Hawk

32. compile 'com.orhanobut:hawk:2.0.1' // Application ou primeira Activity Hawk.init(context).build(); Hawk.put(key, T);

    T value = Hawk.get(key); STORAGE Hawk

33. Extensão do SQLite com criptografia AES-256 Possui versão para Android

    - e possui versão comercial www.zetetic.net/sqlcipher/sqlcipher-for-android/ compile 'net.zetetic:android-database-sqlcipher:3.5.7@aar' STORAGE SQLCipher - SQLite

34. // Application ou primeira Activity SQLiteDatabase.loadLibs(context); File databaseFile = getDatabasePath("demo.db");

    databaseFile.mkdirs(); SQLiteDatabase database = SQLiteDatabase.openOrCreateDatabase( databaseFile, "test123", null); database.execSQL("create table t1(a, b)"); database.execSQL("insert into t1(a, b) values(?, ?)", new Object[]{"one for the money", "two for the show"}); STORAGE SQLCipher - SQLite

35. CWAC-SafeRoom github.com/commonsguy/cwac-saferoom Permite integrar o SQLCipher com o Room (Architecture

    Components) STORAGE SQLCipher - integração com Room

36. Utilizar protocolos de criptografia mais recentes - TLS 1.2 SSL

    Pinning - github.com/square/okhttp/wiki/HTTPS Preocupação com autenticação / autorização - lógica SEMPRE no servidor { "authenticated": true } // SQN! NETWORKING

37. NETWORKING OkHttp: TLS 1.2 ConnectionSpec connectionSpec = new ConnectionSpec.Builder( ConnectionSpec.MODERN_TLS)

    .tlsVersions(TlsVersion.TLS_1_2) // Android 4.1+ .build(); new OkHttpClient.Builder() .connectionSpecs(Collections.singletonList(connectionSpec)) .build();

38. NETWORKING OkHttp: Certificate Pinning CertificatePinner certificatePinner = new CertificatePinner.Builder() .add("api.myproduct.com",

    "sha256/...") .add("api.myproduct.com", "sha256/...") .add("api.myproduct.com", "sha256/...") .build(); new OkHttpClient.Builder() .certificatePinner(certificatePinner) .build();

39. SAFETYNET API do Play Services SafetyNet Attestation API SafetyNet Safe

    Browsing API SafetyNet reCAPTCHA API (11.x) SafetyNet Verify Apps API (11.x) developer.android.com/training/safetynet/index.html

40. www.guardsquare.com/en/proguard Otimiza, ofusca classes e remove código não utilizado Parte

    do Toolkit do Android getDefaultProguardFile('proguard-android.txt') OFUSCAÇÃO Proguard

41. www.guardsquare.com/en/proguard Otimiza, ofusca classes e remove código não utilizado Parte

    do Toolkit do Android getDefaultProguardFile('proguard-android-optimize.txt') OFUSCAÇÃO Proguard

42. www.guardsquare.com/dexguard Ofuscação pra valer do código-fonte e resources Utilitários (RootDetector,

    CertificateChecker, DebugDetector, EmulatorDetector, TamperDetector) Custa caro, mas dependendo da criticidade do seu app, é um investimento que se paga! OFUSCAÇÃO Dexguard

43. # Proguard -assumenosideeffects class android.util.Log { public static boolean isLoggable(java.lang.String,

    int); public static int v(...); public static int i(...); public static int w(...); public static int d(...); public static int e(...); } github.com/JakeWharton/timber LOGGING

44. FIQUEM ALERTAS!

45. RECOMENDAÇÕES www.crypto101.io Livro: Android Security Internals Livro: Hacking Android github.com/rafaeltoledo/android-security

46. Centro Av. Presidente Wilson, 231 - 29º andar (21) 2240-2030

    Cidade Monções Av. Nações Unidas, 11.541 - 3º andar (11) 4119-0449 Savassi Av. Getúlio Vargas, 671 Sala 800 - 8º andar (31) 3360-8900 www.concrete.com.br speakerdeck.com/rafaeltoledo