Abschlussbericht - Semesterprojekt. Android-Sicherheit Implementierung des Tools AndroSherrif

Transkript

1 Humboldt-Universität zu Berlin Institut für Informatik Abschlussbericht - Semesterprojekt Android-Sicherheit Implementierung des Tools AndroSherrif Betreuer: Bratislav Milic Autoren: Erik Nellessen, Samira Akili, Merlin Pahic, Ole Richter 12. März 2014

2 2 Tools 1 Einleitung Viele Apps nutzen heute zur Übertragung sensibler Daten das Protokoll SSL/TLS. Dieses bietet prinzipiell eine sichere Übertragung über das Internet. Voraussetzung für die Benutzung der SSL/TLS API ist ein valides X.509-Zertifikat. Ist kein valides Zertifikat vorhanden oder wird aus anderen Gründen nicht die SSL/TLS API verwendet, muss die Validierung der Zertifikate selbst programmiert werden. Dabei können einige Fehler auftreten, die zu einer unsicheren Verbindung führen: 1. Allen Zertifikaten trauen, egal, von wem diese signiert sind. 2. Nicht überprüfen, ob der Hostname zum Zertifikat passt. Des weiteren ergeben sich Probleme, die nicht direkt mit der Implementierung von SSL/TLS in Zusammenhang stehen. Zum einen traut Android von vornherein über 100 CAs und zum anderen mixen einige Apps sichere und nicht sichere Verbindungen oder verzichten komplett auf eine sichere Verbindung. Eine Möglichkeit Apps auf eine korrekte Verwendung von SSL/TLS zu überprüfen ist das Tool Mallodroid. Mallodroid untersucht Android-Apps auf falsch implementierte Zertifikat-Validierung mit Hilfe statischer Analysemethoden. Unsere Aufgabe war es nun die Analyseergebnisse von Mallodroid auf dem Smartphone komfortable verfügbar zu machen. Da Mallodroid in Python geschrieben ist und nicht für den Einsatz auf Smartphones entworfen wurde, lag es nahe das Tool auf einem Linux-Server laufen zu lassen, der die Analyse durchführt und an die App auf dem Smartphone sendet. Zusätzlich erweiterten wir das Projekt noch um die Anbindung des Analysetools Androwarn. Androwarn untersucht die App auf potentiell gefährliches oder die Privatsphäre gefährdendes Verhalten. 2 Tools Prinzipiell ist die Serveranwendung um mehrere Tools erweiterbar. Um weitere Tools hinzuzufügen, muss lediglich die Ausgabe entsprechend geparst und eventu- 2

3 2.1 Mallodroid ell ausgewertet werden. Im Ramen des Semesterprojektes haben wir uns allerdings auf die Implementierung von zwei Tools beschränkt. Da der Nutzer einen schnellen Überblick erhalten soll, haben wir versucht, die Ergebnisse der einzelnen Tools mit Hilfe einer Bewertungsfunktion zu bewerten. Dabei gibt es drei Abstufungen der Bewertung, die mit Ampelfarben dargestellt werden (Grün, Gelb und Rot). Zu bemerken ist, dass die Bewertungsfunktion mehr oder weniger genau ist und ohne die detaillierte Auswertung der Apps nur einen sehr groben Anhaltspunkt bietet, ob eine App möglicherweise gefährlich für den Nutzer und seine Privatsphäre ist. Im weiteren folgt eine genauere Beschreibung der von uns verwendeten Tools. 2.1 Mallodroid Das Tool Mallodroid, welches auf androguard aufbaut, versucht Implementierungsfehler bei der Verwendung von SSL/TLS aufzuspüren. Dies geschieht mit Hilfe statischer Code-Analyse. Dabei geht das Tool folgendermaßen vor: 1. Decompilieren der APK-Datei 2. Durchsuchen des Quelltextes auf, vom Standard abweichende, Implementierungen der Zertifikatvalidierung 3. Die gefundenen Segmente des Quellcodes auf Fehler überprüfen 4. Ergebnis und Ausschnitt des Quellcodes ausgeben Die Aussagekraft der Ergebnisse ist allerdings beschränkt. Es kann durch die Statische Analyse keine Aussage von Mallodroid darüber getroffen werden, ob der entsprechende Quellcode überhaupt aufgerufen wird und wenn ja, ob durch diesen sensible Daten übertragen werden. Bei genaueren Untersuchungen der App Whatsapp zum Beispiel fanden wir heraus, dass der fehlerhaft implementierte Quelltext, die Mallodroid als Ergebnis angab, nicht aufgerufen wird. 3

4 3 Implementation Trotzdem stellen die gefundenen Fehler in der Implementierung eine potentielle Sicherheitslücke dar und weisen darauf hin, dass bei der Entwicklung der App nicht einwandfrei vorgegangen wurde. Link zum Github-Repository von mallodroid: mallodroid 2.2 Androwarn Das Tool Androwarn ergänzt die Ergebnisse von Mallodroid, indem es untersucht, auf welche sensiblen Daten die zu untersuchende App Zugriff hat. Des weiteren wird die App auf möglicherweise gefährliches Verhalten für den Nutzer untersucht (z.b. Modifikation von Daten, code execution, Zugriff auf die Kommunikation über IP oder Bluetooth). Dabei wird auch das Tool androguard verwendet. Die Genauigkeit der Ausgabe kann dabei in drei verschiedene Level unterteilt werden. Wir haben uns auf den ersten Level beschränkt, da die erweiterte Ausgabe der höheren Level zu technisch für eine leicht zu verstehende Ausgabe war. Link zur Google-Code-Site von androguard: Link zum Github Repository von androwarn: androwarn 3 Implementation Der Ablauf einer Analyse gestaltet sich wie folgt: Der Server wartet auf einen HTTP-GET-Request, der entweder den Pfad /tools oder Werte für die Header- Felder sha_256_value (SHA-256-Hashwert der APK-Datei, von der der Benutzer die Analyseergebnisse haben möchte), name (Name der App/APK-Datei) und tools (Liste der Werkzeuge, deren Analyseergebnisse der Benutzer haben möchte) enthält. Steht der Pfad /tools im GET-Request, sendet der Server eine HTTP-Response zurück, die den Statuscode 200 und die Liste der verfügbaren Tools (Namen und Beschreibungen) im JSON-Format enthält. Steht nicht der Pfad tools im GET-Request und enthält der GET-Request Werte für die 4

5 Abbildung 1: Sequenzdiagramm zum Ablauf der App-Server-Kommunikation Header-Felder sha_256_value, name und tools, so versucht der Server, Analyseergebnisse bereitzustellen. Für jedes einzelne Werkzeug wird überprüft, ob das Analyseergebnis zum gesendeten Hash-Wert (sha_256_value) bereits für das Werkzeug in der Datenbank steht. Ist dies der Fall, kann das Analyseergebnis an die App geschickt werden (HTTP-Response mit Statuscode 200 und dem Analyseergebnis im JSON-Format im Datenteil), es muss nicht erneut analysiert werden. Ist das nicht der Fall, wird eine HTTP-Response mit Statuscode 201 gesendet und eine POST-Anfrage erwartet, die die Header-Felder content-length (Größe des Datenteils), name und tools enthält sowie eine APK-Datei im Datenteil. Der Server führt dann die Analyse der übertragenen APK-Datei durch und schickt das Ergebnis an die App (HTTP-Response mit Statuscode 200 und dem Analyseergebnis im JSON-Format im Datenteil). Sollte ein GET-Request weder den Pfad /tools noch Werte für die drei Header- Felder enthalten, wird eine HTTP-Response mit dem Statuscode 418 und einer 5

6 3 Implementation Fehlernachricht zurück gesendet. 3.1 Server Die Server-Software wurde komplett in Python geschrieben. Der Server führt die Analyse wie im folgenden Sequenzdiagramm dargestellt durch: Abbildung 2: Sequenzdiagramm zum Ablauf der Analyse einer APK-Datei. Ist das Analyseergebnis zu einer Datei (bzw. deren SHA-256-Hashwert) für ein Werkzeug bereits in der Datenbank vorhanden, muss nicht erneut analysiert werden, es kann einfach das vorhandene Ergebnis im JSON-Format an die App geschickt werden. Ist das nicht der Fall, wird von der App die APK-Datei gefordert und gespeichert. Der Server berechnet dann den SHA-256-Hashwert zu dieser Datei, analysiert sie mit dem Werkzeug und speichert das Analyseergebnis unter dem Hashwert, dem Namen der Datei und dem Werkzeug im JSON-Format in der Datenbank. Das Analyseergebnis wird anschließend im JSON-Format an die App gesendet und die gespeicherte Datei wird gelöscht. 6

7 3.1 Server Das Python-Skript greift dabei wie im folgenden Diagramm dargestellt auf die externen Werkzeuge zu: mallodroid androwarn APK von der App Python-Skript Analyseer - gebnis Abbildung 3: Diagramm zum Aufbau der Server-Software Durch diesen Aufbau der Software können Werkzeuge leicht hinzugefügt oder entfernt werden. 7

8 3 Implementation 3.2 App Die App, die den Namen Androsheriff trägt, ist das äußere Erscheinungsbild unserer Arbeit. Sie wurde mithilfe des ADT Plugins in eclipse entwickelt. Neben der Kommunikation mit dem Server, die bereits zu Beginn des Kapitels beschrieben wurde, werden noch folgende Funktionalitäten durch sie zur Verfügung gestellt: Abruf einer Liste der bereits auf dem Gerät installierten Apps vom OS Parsen der Analyseergebnisse des Servers Abbildung 4: Tab-Ansicht der App 8

9 3.2 App Zunächst wurde für die App eine GUI mit einer Tabansicht entwickelt, wie in Abbildung 3 zu sehen ist. Auf diese Weise konnte von der Verwendung mehrerer Activities und somit auch Intents abgesehen werden, was das Multithreading erleichterte. Da sich auf diese Weise die Navigation durch die App etwas unintuitiv gestaltete, haben wir uns entschieden, die GUI der endgültigen App in vier Activitys zu gliedern. Abbildung 5: Activity-Ansicht Die erste Activity gibt einen Überblick über die Funktionalität und Handhabung der App. Die zweite Activity lädt die installierten Apps in eine Liste und gibt dem User die Möglichkeit auszuwählen, welche davon analysiert werden sollen. Zum Start der dritten Activity wird eine Liste der aktuell auf dem Server verfügba- 9

10 4 Ausblick ren Tools angezeigt. Durch Anklicken der Tools kann eine genauere Beschreibung der Funktionalität dieser angezeigt werden, die ebenfalls vom Server mitgeliefert wurde. Nach Auswahl der Tools, die für die Analyse genutzt werden sollen, kann man in die vierte Activity (siehe Abb. 5) gelangen. Diese stellt in einer Liste jeweils Tupel einer ausgewählten App und den ausgewählten Tools bereit. Für den groben Überblick über das Sicherheitslevel, das der App von den Tools zugeordnet wurde, gibt es ein Ampelrating. Genauere Details der Analyse können pro Tool einzeln abgerufen werden. Alle Activitys sind zusätzlich mit einem Navigationsbalken am unteren Bildschirmrand versehen, um die Menüführung zu erleichtern. 4 Ausblick Um das Projekt weiter zu entwickeln, sollte der Fokus auf die Erweiterung um neue Analysetools, die Verbesserung der Navigation durch die App und die Beschleunigung des Analyseprozesses durch den Server gelegt werden. Nach Verbesserung dieser Aspekte wäre eine breite Nutzung der App durchaus vorstellbar. Gerade durch die Vereinfachung der Benutzung der Analysetools kann durch die App ein deutlicher Mehrwert, gerade für unerfahrene Benutzer, generiert werden. 10