Loading…
This event has ended. View the official site or create your own event → Check it out
This event has ended. Create your own
Join us at OWASP AppSec APAC 2014 !!
View analytic
Thursday, March 20 • 11:40am - 12:30pm
Android にプリインストールされたアプリの改ざん / Preinstalled Android application poisoning

Sign up or log in to save this to your schedule and see who's attending!

第三者が作成したビルト済みのAndroidアプリに対して、調査やチート等に活用できる新しい改ざん手法の紹介と、その手法を実際に活用したアプリ解析/攻撃方法を紹介します。
現在、ハッカーが調査等の目的において、ビルトされたAndroidアプリケーションのコードを改ざんする際の手法としてapk-tool等を使用した手法は広く知られています。
しかしその手法には、アプリをPCに取得->展開->改ざん->再パッケージ化->再署名->インストールといったように多くのステップが必要となり、さらに、再署名によりアプリの署名が変更されてしまうことで機能の一部が正常に動作しなくなる問題や、プリインストールアプリは改ざんしたアプリを上書きインストールできないため、実質改ざんが非常に難しいという問題があります。
そこで今回は新しい手法として、私が発見し、調査の際に使用しているAndroid上のキャッシュされた実行バイナリ(odexファイル)を直接改ざんする方法を紹介します。
odexファイルの構造はGoogleのサイトを始めとして複数のサイトで解説されていますが、odexファイルを直接編集する手法はあまり見かけないため、一歩変わったアプローチだと考えています。
また、このキャッシュファイルを改ざんするには端末のroot化が必須となりますが、Androidの調査研究を行うためにはroot化は必然となるため、全く問題のないことだと考えられます。
この改ざん手法により、改ざんの際のアプリの展開や再署名のステップを減らすとともに、署名の変更による影響をなくし、さらにプリインストールアプリを改ざん可能にします。
また、これらの改ざん手法はAndroid SDKで提供されるdexdumpとバイナリエディタを使用するだけで誰でも簡単に実行できます。
※改ざん手法の一部は下記の発表実績に記載しているOWASP Japan 1st Local Chapter Meetingで紹介しています。
この手法には以下の2つの特徴があります。
・アプリの改ざんを効率化でき、さらにキャッシュファイルを削除することで簡単にアプリを改ざん前の状態に戻せる
・悪用することでプリインストールアプリのbot化やMITM攻撃に使用できる
この手法の有用性をご理解いただくために、プリインストールアプリ(auのEメールアプリを予定)を改ざんし、ログを出力させて解析を効率よく行うデモと、
ウイルスアプリからプリインストールアプリ(facebookアプリを予定)のアクセス先URLをポイズニングしてMITM攻撃をしかけるデモをお見せします。

The recent method of hackers using apk-tool etc. to alter preinstalled Android applications for the purpose of research has up until now required numerous steps including downloading, deploying, altering, re-packaging, re-signing and installing the app which leads to some features failing to function properly and problems such as not being able to overwrite the altered application.  It is here that I would like to share a new approach that I discovered which directly alters the binary (odex file) on the Android cache.

Although odex file construction is explained on numerous sites including sites from Google, this novel approach not widely known directly alters odex files.  Not only does eliminating the need to deploy and re-sign the app eliminate the risk of the function failing to function properly while at the same time making alterations possible, since this can accomplished using a binary editor and dexdump found on Android SDK, this method can be used easily by anyone.  The explanations plans to feature demonstrations of altering a preinstalled app and analyzing the log results as well as demonstrating an MITM attack using a Facebook app with a poisoned URL link.

Speakers
avatar for 加藤 義登 / Yoshitaka Kato

加藤 義登 / Yoshitaka Kato

Senior Security Consultant, Hewlett-Packard Japan, Ltd.
日本ヒューレット・パッカード株式会社 エンタープライズセキュリティサービス本部に所属。ヒューレット・パッカード社でグローバルに展開されているペネトレーションテスト、インシデントレスポンスサービスのAPJ担当をしています。Web... Read More →


Thursday March 20, 2014 11:40am - 12:30pm
Secure Your Site Hall(HALL WEST)

Attendees (4)