Shikata Ga Nai

Private? There is no such things.

Hacking Mobile Platforms — Basic Penetration Testing on Android Applicationsをまとめてみた

Hello there, ('ω')ノ

 

記事:

 https://chennylmf.medium.com/hacking-mobile-platforms-basic-penetration-testing-on-android-applications-58845fa4c721

 

モバイルプラットフォームのハッキング - Androidアプリケーションの基本的な侵入テスト

1.概要:
   - モバイルデバイスは、進化することでデスクトップやラップトップを置き換えつつあり、ユーザーがメールのアクセスやインターネットの閲覧、GPSナビゲーション、重要なデータの保存などを行えるようになった。
   - モバイルセキュリティの調査は非常に重要。

 

2.モバイルアプリのセキュリティ:
   - モバイルセキュリティの大きな構成要素であり、Androidアプリの解析のための役立つツールや方法をここで議論したい。
   - アプリのセキュリティは、APKの構造的セキュリティやOWASPのトップ10の脆弱性など、さまざまな側面にまとめられる。
   - APKの解析は、Androidアプリテストに取り組む際の主要なステップである。

 

3.AndroidManifest.xml:
   - 各アプリプロジェクトには、プロジェクトソースセットのルートにAndroidManifest.xmlファイルが必要。
   - このマニフェストファイルは、AndroidのビルドツールやAndroid OS、Google Playにアプリに関する基本情報を示す。

 

 

4.Android APKパッケージの抽出:
   - apktoolを使用して、AndroidManifest.xmlファイルの詳細を確認する。
   - このファイルには、アプリケーション名、SDKバージョン、ユーザ権限、アプリケーションサービスなどの情報が記載されている。

 

5.ユーザー権限のさらなる解析:
   - Androidアプリは、ユーザの許可を取得してさまざまなリソースにアクセスしたり、制限された/特権的なアクションを実行したりする必要がある。
   - これらの許可は、アプリケーションAPKにパッケージされたAndroidManifest.xmlファイルに記載されている。
   - 悪意のあるアプリの特徴の1つは、その広告目的と関係のない許可を持っていることである。
   - この段階では、疑わしい/不必要な許可を特定することが目的。

 

6.ツール:
   - 静的解析を手動で行うためのコマンドラインツール:apktool, apptなど
   - グラフィカルインターフェイスツール:ClassyShark, jd-guiなど

 


   - 静的解析を自動的に行うツール:MobSF (Mobile Security Framework)

 

 

 

Best regards, (^^ゞ