与很多应用一样,安卓 APP 也是有本地存储的。本地存储会涉及到两大方面的安全问题,存储的数据和存储的方式。存储数据的安全主要是指,本地数据库中是否存储了敏感信息,包括身份证号码、银行卡号、账号密码等。对于敏感数据的定义根据不同的业务场景会有不同,读者可以根据自身情况自行把握。存储方式的安全,主要是指如何进行敏感数据存储的,如是否对敏感数据做了明文存储,是否存在本地sql注入,是否对数据的访问权限做了合理控制等。
一、存储数据分析
在测试存储安全的时候,通常要先去用一遍 APP 的功能,很容易理解,只有你使用了 APP ,某些数据才会存储下来。
安卓 APP 的本地存储通常会在两个地方:内部存储和外部存储。内部存储通常是指手机本身的存储空间,而外部存储主要是指 sdcard 的存储空间。
1、内部存储
通常的存储位置为 /data/data/package name,以 wifi万能钥匙为例,其本地存储位置为 /data/data/com.snda.wifilocating。
从上图可以看到,在目录下有很多文件夹,用途如下:
app_bin:
app_webview :webview本地缓存文件
cache: 缓存文件
databases:数据库文件
files:应用自己创建的文件
lib -> /data/app-lib/com.snda.wifilocating-1:so库文件
shared_prefs:Shared Preferences 文件
可以通过命令 adb pull /data/data/com.snda.wifilocating 将手机上的文件拉到本地进行分析。
首先为了分析方便,我们先在模拟器上安装一下 busybox。因为 android 系统虽然是基于linux的,但是很多基本命令都被阉割了,而busybox里面集成了常用的命令。
在 https://busybox.net/ 下载对应的文件,将文件 push 到手机
adb push busybox/data/tmp/busybox
adb shell 到手机,依次执行以下命令
root@test:/ # cd/data/tmp
root@test:/data/tmp# chmod 755 busybox
root@test:/data/tmp# ./busybox mount -o rw,remount /
root@test:/data/tmp# ./busybox cp busybox /sbin
*.so 可以使用ida进行反编译查看其中的信息,也可以使用 linux 下的strings 命令来提取字符串信息。
*.xml 可以使用 notepad++进行分析。比如 mac.xml 文件中就存储了手机的 mac 地址信息。
*.db 可以使用 SQLite browser 来浏览分析。其官方地址为 http://sqlitebrowser.org/
*journa 为日志文件,一般无需分析
其他类型文件可以使用 notepad++ 查看或者自行搜索对应文件的打开工具。
2、外部存储
在分析外部存储的时候,首先去反编译一下 APK 文件,在AndroidManifest.xml 文件中查看一下是否申请了外部存储相关权限,如下:
如果没有申请相关权限,就可以不用去分析外部存储的文件了。
一般外部存储的目录为 /sdcard/Android/data/app pacakge name,比如 wifi万能钥匙的外部存储目录为/sdcard/Android/data/com.snda.wifilocating。其文件分析方法与内部存储一致。
3、其他文件
我们在进行敏感信息检查的时候,不要只局限于内部存储和外部存储。APK 文件本身包含的敏感信息我们也不应该错过,给出几个例子如下:
1)AndroidManifest.xml 文件
很多应用会在此文件中的 meta-data 标签中保存一些秘钥信息或者硬编码密码等等。
2)反编译后的代码文件中
比如说很多加密秘钥
3)其他任何可以分析的地方,比如资源文件、so库文件等等。
欢迎关注微信公众号 “安卓APP安全测试”
网友评论