Pattern Recognition and Applications Lab. !!!!!!!!Seminario!di!Sicurezza!Informa6ca!!Edizione!Febbraio!2014!

Transcript

1 Pattern Recognition and Applications Lab Sicurezzadeidisposi6viAndroid SeminariodiSicurezzaInforma6ca EdizioneFebbraio2014 University OfCagliari Do$.Ing.DavideMaiorca DepartmentofElectrical andelectronic Engineering 1 Sommario IntroduzioneadAndroid Generalitàsull archite$uraastra6 Archite$uraalivelloKernel Archite$uraalivelloapplicazione Ges6onedeipermessi GeneralitàsuiMalware University OfCagliari DepartmentofElectrical andelectronicengineering 2

2 MondoMobile University OfCagliari DepartmentofElectrical andelectronicengineering 3 MondoMobile Insicuro University OfCagliari DepartmentofElectrical andelectronicengineering 4

3 MondoMobile Insicuro(2) University OfCagliari DepartmentofElectrical andelectronicengineering 5 MondoMobile Insicuro(3) University OfCagliari DepartmentofElectrical andelectronicengineering 6

4 Sicurezza:perchéAndroid? Pia$aformaaperta facilitàdisviluppoediffusione DiversiMarkets GooglePlay ufficiale AppverificateconGoogleBouncer) Amazon,GetJar,SlideME(nonufficiali) Cos6disviluppocontenu6 Librerieestrumen6consolida6perlosviluppo Possibilitàdia$accosuvarieversioni University OfCagliari DepartmentofElectrical andelectronicengineering 7 Android Ufficialmentenatonel2007 SponsorizzatodaGoogleepossedutodalla OpenHandsetAlliance CompletamenteOpenSource disponibileilcodicesorgente Interamentepensatoperdisposi6vimobili odmizzazioneba$eria,ecc. University OfCagliari DepartmentofElectrical andelectronicengineering 8

5 VersioniAndroid University OfCagliari DepartmentofElectrical andelectronicengineering 9 Android:Stru$ura 4Stra6Fondamentali Funzionideltelefono(Rubrica,contad,etc.) Applica6onFramework(ges6onedelleadvità, risorse,contentproviders,etc.) Libreriena6veecodicerun6me(Dalvik) KerneldiLinux(funzionifondamentalidelsistema) University OfCagliari DepartmentofElectrical andelectronicengineering 10

6 Android:Stru$ura(Stack) University OfCagliari DepartmentofElectrical andelectronicengineering 11 Android:LinuxKernel Ges6onedeiprocessi Driverperl accessoarisorsefisiche L usodeidriverèabilitatodachiamatedisistema Supportacomunicazionefraprocessi(IPC) DriverBinder(Intents) Sockets University OfCagliari DepartmentofElectrical andelectronicengineering 12

7 Android:Sandbox Ogniapplicazionevieneeseguitainunambiente isolato Ogniappaccedesoloalsuoinsiemedirisorse unaappnonpuòmodificareida6sucuiagisceun altraapp Seunaappvienecompromessa,lealtreappnonnevengono influenzate OgniapplicazionehailsuoLinuxUserID(FSUID) Impediscecheleconseguenzediunexploitcontrounaapppossano propagarsi adaltreapp Maèsicura? SedueapplicazionicondividesserolostessoFSUIDpotrebbero condividerelerisorse E possibiledefinireunacondivisionediuserid(shareduserid) University OfCagliari DepartmentofElectrical andelectronicengineering 13 Android:Sandbox(2) University OfCagliari DepartmentofElectrical andelectronicengineering 14

8 Android:IPC Androidaggiungenuovefunzionalitàrispe$oallaclassica ges6onedeiprocessilinux DalcorsodiSistemiOpera6vi Segnali Filesystem Sockets Binder(alivellodikernel) Intents(adesempio:dichiararel intenzionediusareunbrowser esterno) InterazioneconiContentProvidersperlages6onedeida6 University OfCagliari DepartmentofElectrical andelectronicengineering 15 Android:LinuxKernel(2) Possibilitàdifirmaredigitalmenteleappmediantecer6fica6 Filesystemcriptato(Kernel>=3.0,AES128bit) Protezioneconpasswordperaccessoaldisposi6vo Protezionecontroerroridimemoria DEP(DataExecu6onPreven6on) DaIceCreamSandwichèstatointrodo$oASLR(AddressSpaceLayout Randomiza6on) Moltopiùdifficilecrearea$acchiusandotecnichesofis6catecomeil ReturnOrientedProgramming University OfCagliari DepartmentofElectrical andelectronicengineering 16

9 Android:Root Glismane$onineavrannosicuramentesen6toparlare Root=CONTROLLO ChièRoot?IlKernel Mapotrestediventarloanchevoi Controllototalesulsistema,suipermessieleapplicazioni U6leperglisviluppatorieperildebugging Maprovateadimmaginarechesuccederebbeseunmalware o$enessepermessidiroot UnmalwareconpermessidiRootpotrebbefarimpazzireilvostro telefono(efarvianchespendereunbelpo disoldini ) Fareilrootnonèdifficile manonèconsigliato University OfCagliari DepartmentofElectrical andelectronicengineering 17 Android:LibrerieNa6ve Scri$einC/C++(daNONconfondereconquelle usateinjavaperprogrammareilcodice ) Siinterfaccianoconl applica6onframework Libc SQLLite OpenGL Emoltealtre Sonol unicostrumentoconcuiuna$accantepuò dire$amenteaccedereallamemoriadurante l esecuzionediunprogramma University OfCagliari DepartmentofElectrical andelectronicengineering 18

10 Android:JavavsDalvik SuAndroidsiprogrammausandoillinguaggiodiprogrammazione Java MalaJavaVirtualMachine(JVM)èpocoefficiente Provateaeseguirlasuunosmartphonecon256MBdimemoria interna... Pocoodmizzata DalvikèunavirtualmachinesimileaJVMmamoltopiùodmizzata permobile IlcodiceDalvikèo$enutoa$raversolaconversionedalbytecode Javadopolacompilazione Efficienzamoltomaggiore(odmizzatoperARM) University OfCagliari DepartmentofElectrical andelectronicengineering 19 Android:JavavsDalvik(2) University OfCagliari DepartmentofElectrical andelectronicengineering 20

11 Android:JavavsDalvik(3) LaJavaVirtualMachineèunamacchinaastack Esempio:Primadieffe$uareunaoperazionematema6cagli argomen6devonoesseredeposita6nellostack Consumapiùistruzioni LaDalvikVirtualMachineèunamacchinaaregistri Esempio:risulta6parzialiecomplessivivengonomemorizza6in registrivirtuali(inizianotudperv). ATTENZIONE:NONCOINCIDONOCONIREGISTRIDELLACPU Consumamenoistruzioni University OfCagliari DepartmentofElectrical andelectronicengineering 21 Android:JavavsDalvik(4) Java VM Dalvik VM I parametri sono sempre contenuti negli ultimi registri in questo caso V1 University OfCagliari DepartmentofElectrical andelectronicengineering 22

12 Android:Applicazioni Due6pologie Na6ve par6diandroidstessooinstallatedaivendors Possonoaverecer6fica6disicurezza Installatedall utente Questadis6nzionesaràmoltoimportantequandoparleremo dipermessi ServiziCloudxBased GooglePlay AndroidUpdates Applica6onServices University OfCagliari DepartmentofElectrical andelectronicengineering 23 ApplicazioniAndroid:Componen6 Advità Servizi BroadcastReceivers ContentProviders University OfCagliari DepartmentofElectrical andelectronicengineering 24

13 ApplicazioniAndroid:Advità Singolaschermatadelvostroprogramma Unaadvitàperschermata cioèquandol utentecambiaschermata,cambiaanche advità Unaapplicazionehaadvitàmul6ple cioèschermatemul6ple Ovviamente,diverseadvitàpossonoesserein esecuzione Androidodmizzalages6onedelleadvitàconilciclo delleadvità University OfCagliari DepartmentofElectrical andelectronicengineering 25 ApplicazioniAndroid:Cicloadvità University OfCagliari DepartmentofElectrical andelectronicengineering 26

14 ApplicazioniAndroid:CicloAdvità (2) Star%ng:l advitànonèancorainmemoria.vengonoesegui6unaserie dimetodiperportarlaallostatodirunning(consumamoltaba$eria) Running:advitàinquelmomentoeseguitadall utente(dovepuò interagire).assumeprioritàrispe$oatu$elealtre Paused:statointermediorispe$oallostop.Disolitosihaquandouna advitàèsulloschermomanonin focus (cioèl utentenon interagisce). Stopped:l advitànonèvisibile,maèancorainmemoria.questo capitaperchéspessosipassadaunaadvitàadun altrausatapoco precedentemente. Destroyed:l advitàvienerimossadallamemoria(n.b.nonè necessariochesia stopped ) University OfCagliari DepartmentofElectrical andelectronicengineering 27 ApplicazioniAndroid:Servizi Esecuzioneinbackground Nonhannocomponen6diinterfaccia Esempio:musicamentrestateusandoilvostro telefono(background) Ciclodivitachesirichiamaaquellodelleadvità(ma menocomplessa) University OfCagliari DepartmentofElectrical andelectronicengineering 28

15 ApplicazioniAndroid:Cicloservizi University OfCagliari DepartmentofElectrical andelectronicengineering 29 ApplicazioniAndroid:Broadcast Receivers Sfru$anoilmeccanismopublish/subscribe(opa$ern dell osservatore) Ilreceiverèunmeccanismocheresta dormiente esiadva soloquandoaccadeuncertoeventodelsistemaaquestoè so$oscri$o Esempi Arrivodiunsms Telefonate Ba$eriascarica Nonsonoesegui6 advamente inmemoria University OfCagliari DepartmentofElectrical andelectronicengineering 30

16 ApplicazioniAndroid:Content Providers Interfacceperlacondivisionedida6fralevarieapplicazioni L esecuzioneinsandbox,infad,fasìcheogniapplicazione lavorisolosuunaspecificapartedellerisorse LeloroAPIaderisconoalmodelloCRUD(CreateReadeUpdate Delete) Usatodatan6ssimeapplicazioniAndroid(Esempio:Contad) University OfCagliari DepartmentofElectrical andelectronicengineering 31 ApplicazioniAndroid:Contents Providers(2) University OfCagliari DepartmentofElectrical andelectronicengineering 32

17 ApplicazioniAndroid:Intents Messaggi cheges6sconolacomunicazionefra: Iblocchidell applicazionestessa Blocchidiapplicazionidiverse Possonoessereesplici6oimplici6 Esplici6quandovieneCHIARAMENTEspecificatoildes6natario(ades., l applicazioneda conta$are ) Implici6quandononvienespecificatoildes6natariomasolol azione (e.g.voglioaprireunapaginaweb:chisi candida?) University OfCagliari DepartmentofElectrical andelectronicengineering 33 ApplicazioniAndroid:Intents(2) University OfCagliari DepartmentofElectrical andelectronicengineering 34

18 ApplicazioniAndroid:APK Formatocompressochecon6enetudida6 necessariadeseguirel applicazione(comelozip) Con6enetreelemen6principali: Fileeseguibile(classes.dex) Filesdirisorse(6picamenteXML) Manifest.xml University OfCagliari DepartmentofElectrical andelectronicengineering 35 ApplicazioniAndroid:Eseguibile Sempredenominatoclasses.dex E ilfilechecon6enetu$eleclassiusatedalprogramma Con6eneanchelamaggiorpartedellestringhe(manon necessariamentetu$e:alcunepossonoessereneifilesdi risorse) E formatodaunaseriedisezioniinterconnessefradiloro E unfilemolto delicato :unasingolamodificadiunbytepuò interamentecomprome$erel applicazione InAndroidèpresenteunmeccanismodicontrollodell integrità dell applicazionearun6mechiamato verificatore Qualsiasiviolazionediintegritàindividuatafabloccarel esecuzione dell applicazione University OfCagliari DepartmentofElectrical andelectronicengineering 36

19 ApplicazioniAndroid:Classes.dex Divisoinvariesezioni,interconnessefradiloro Sezionedellestringhe Sezionedei6pi(formatadastringhecherappresentanoI6pi) Sezionedeiproto6pi(definisce6podiritorno,parametrie nomedeimetodi) Sezionedeimetodi(definisceleinformazionidelmetodo, comeadesempioilsuobytecode) Sezionedelleclassi(definisceleinformazionisullaclasse, comeilloro6po) Sezionedelleannotazioniedeldebug(informazioni aggiun6vesuclassiemetodi) University OfCagliari DepartmentofElectrical andelectronicengineering 37 ApplicazioniAndroid:Risorse FileXML Definisconoprincipalmenteproprietàgrafichedella applicazione,comeadesempioillayoutdelleadvità Mapossonoancheconteneredellestringheusate dall applicazione Avolteèpiùfacileprogrammareunaapplicazione valorizzandoalmassimoifilesdirisorse University OfCagliari DepartmentofElectrical andelectronicengineering 38

20 ApplicazioniAndroid:Manifest.xml Definiscetudicomponen6dell applicazioneandroid Entrypoints(Ipun6di avvio dell applicazione.ricordate cheinunaapplicazioneandroidilmainnonesiste) Definiscelalistadelleadvità Definiscelapresenza/assenzadicontentproviders Definisceifiledirisorseu6lizza6 Definisceil6podiSDK(ovvero:versionediAndroid)sucui l applicazionevieneeseguita Emoltoaltro University OfCagliari DepartmentofElectrical andelectronicengineering 39 ApplicazioniAndroid:Sicurezza ComepuòunaapplicazioneAndroidsfru$arelerisorsedel sistema? Devechiedereilpermesso Ilmodellodipermessigaran6scelasicurezzaalivello dell applicazione Ipermessivengonoapprova6/nonapprova6QUANDOVIENE INSTALLATAL APPLICAZIONE Nonsipuòtornareindietrounavoltaacce$a6 LerichiestevengonodefinitenelManifest.xmldallo sviluppatore University OfCagliari DepartmentofElectrical andelectronicengineering 40

21 ApplicazioniAndroid:Permessi University OfCagliari DepartmentofElectrical andelectronicengineering 41 ApplicazioniAndroid:Permessi(2) Qua$rodiversecategorie Normal:permessichenoncos6tuisconounpericoloperlasicurezza Dangerous:permessicheaccedonoada6sensibilidell utente(di ques6permessivienechiestaconfermaall utentealmomento dell installazione Signature:permessichepossonoessereo$enu6solosel applicazione halostessocer6ficatodelprodu$oredeldisposi6vo SignatureOrSystem:permessiusa6solonelleapplicazionipresen6 nell immaginedelsistemaandroid(se,adesempio,cisono applicazioniprodo$edadiversiprodu$orichehannobisognodi condividerelestesserisorse) University OfCagliari DepartmentofElectrical andelectronicengineering 42

22 ApplicazioniAndroid:Permessi(3) Perchéipermessisonocosìimportan6? Un applicazionemalevolapotrebberichiederel accessoadei permessipericolosi Ilproblemaèche,moltospesso,ancheleapplicazioni legidmerichiedonopermessipericolosi(avolteinu6li) Diventaquindidifficiledis6nguereapplicazionilegidmeda quellemalevolesolosullabasedeipermessi University OfCagliari DepartmentofElectrical andelectronicengineering 43 ApplicazioniAndroid:Permessi(4) University OfCagliari DepartmentofElectrical andelectronicengineering 44

23 ApplicazioniAndroid:Permessi(5) University OfCagliari DepartmentofElectrical andelectronicengineering 45 ApplicazioniAndroid:Permessi(6) Conl avanzaredelleversioniedelletecnologieu6lizzate,il numerodipermessidangerousèaumentato Nonsolo,maanchel introduzionedinuoveversionidelle applicazionihal effe$odiaumentareipermessi Questofavoriscefenomenicomeilrepackaging(vedi malware) University OfCagliari DepartmentofElectrical andelectronicengineering 46

24 Android:Malware Applicazionicheeseguonoazionimalevole Smsanumeripremium Furtoda6personali Telefonate indesiderate Trasformazionedelterminaleinbotnet Piàdi50famigliedimalwarediverse Glian6virussonoancoraabbastanzainefficien6controquesta nuovaminaccia University OfCagliari DepartmentofElectrical andelectronicengineering 47 Android:Malware(Tassonomia) Tecnichedicreazioneprincipali Repackaging Update DrivexByxDownload Altri(standxalone) ClassificazioneperAdvazione(BroadCastreceivers) ClassificazioneperMaliciousPayloads(Tipidia$acco) University OfCagliari DepartmentofElectrical andelectronicengineering 48

25 AndroidMalware:Repackaging LeapplicazionihannounformatoAPK(compresso) Vieneinie$atounpayloadmalignoall interno dell applicazionedecompressachevienepoiricompressae firmata Infine,vieneso$omessaadunostore(solitamentediterze par6) Possonoesseresfru$a6deipermessicontenu6 nell applicazioneprincipale(permessidangerous) E latecnicausataperlasuasemplicitàeperladisponibilitàdi frameworksperl a$acco AFE(AndroidFrameworkForExploita6on) University OfCagliari DepartmentofElectrical andelectronicengineering 49 AndroidMalware:Update Dopoaverinstallatol applicazione(legidma),vivienechiesto discaricareunaggiornamento L aggiornamentoconta$aunurlmalevolochescaricaunaapp maliciouschevienepoieseguita N.B.avoltel app aggiornata puòesserecontenutadentro l applicazionestessa Questatecnicaèu6lizzatadaalcunitraimalwaremobilepiù famosi BaseBridge DroidKungFu University OfCagliari DepartmentofElectrical andelectronicengineering 50

26 AndroidMalware:Update(2) University OfCagliari DepartmentofElectrical andelectronicengineering 51 AndroidMalware:DrivexBy Downloads Stessatecnicausataneimalwarecomuni Unadver6sementvireindirizzaversounurlmaligno Dall urlverràscaricataunaappmalignacheverràeseguita Esempimalware: GGTracker JIFake University OfCagliari DepartmentofElectrical andelectronicengineering 52

27 AndroidMalware:Altri Ovviamente,unmalwarepuòessereproge$ato standalone Diversevarian6 Spyware Malwarecheusanointerfaccesimiliadapplicazionilegidme(nota: NONSONOREPACKAGEDEsempio:FakeNe{lix) Applicazioniconfunzionalitàibride(eseguonofunzionalitàlegidme reali,misteamalicious) University OfCagliari DepartmentofElectrical andelectronicengineering 53 AndroidMalware:Advazione Alcunimalware,peradvarsi,sfru$anoilmeccanismodei broadcastreceivers Siadvanoricevendodeisegnali BOOT_COMPLETED(Avviodelsistema) SMS_RECEIVED(Rimuovemessaggiversonumeripremiuminmodo chel utentenonsiaccorgadiessereinfe$o) ediversialtri University OfCagliari DepartmentofElectrical andelectronicengineering 54

28 AndroidMalware:Tipidia$acco Rootexploits(PrivilegeEscala6on) Remotecontrol FinancialCharge Informa6onCollec6on University OfCagliari DepartmentofElectrical andelectronicengineering 55 AndroidMalware:Tipidia$acco RootExploits Sfru$anodeibugnelsistemaAndroidpero$enerepermessi diroot Inquestomodo,unaapplicazionemalevolapuòprendereil controllodelsistema Gliexploitsdiroot,però,nonsonotan6 Esempio:(libsysu6ls,Gingerbreak,RATC,etc.) Tudperversionifinoalla2.3.6 University OfCagliari DepartmentofElectrical andelectronicengineering 56

29 AndroidMalware:Tipidia$acco RemoteControl Trasformazionedellosmartphoneinunbot U6lizzatodaquasitudimalware Vengonou6lizza6deicommandiHTTPperpilotareibotda alcuniserverspecifici Avoltelacomunicazioneècriptata(es.PjApps) University OfCagliari DepartmentofElectrical andelectronicengineering 57 AndroidMalware:Tipidia$acco FinancialCharge EsisteunafunzionechiamatasendTextMessage(advabilecon permesso),capacedimandaresmssenzachel utentepossa controllarlo Ovviamente,inumericonta$a6sonopremiumacosto al6ssimo Avolte,vieneproprioeffe$uatauna so$oscrizione aservizi premium Ilmalwareèprogrammatopermandaredeterminate risposte al serviziochenecomportanolaso$oscrizione University OfCagliari DepartmentofElectrical andelectronicengineering 58

30 AndroidMalware:Tipidia$acco Informa6onStealing Molteinformazionipossonoesserediinteresseperun a$accante Numeriditelefono(rubrica) SMS Indirizzimail CredenzialiUtente University OfCagliari DepartmentofElectrical andelectronicengineering 59 AndroidMalware:Evasione Imalwarepossonoevadereglia$ualidisistemidi detec6ona$raversol offuscamento Sicambianoalcuneproprietàdell applicazionesenza comprome$erneilfunzionamento Solitamentel offuscamentosiusaancheperrendere piùdifficilel analisidiunaapplicazionedapartediun operatoreumano L offuscamentoagiscesopra$u$osulclasses.dex,più raramentesulmanifest/filesdirisorse University OfCagliari DepartmentofElectrical andelectronicengineering 60

31 AndroidMalware:Offuscamento Vari6pidioffuscamento String7renaming:cambiainomidiclassi/metodi/stringhe delprogramma String7encryp%on:comeilrenaming,mausaunafunzione percodificare/decodificareinomi Control7Flow7Graph7change:introducedellemodificheal CFGdell applicazionea$raversol aggiuntadimetodifidzi Reflec%on:usaleproprietàdellariflessionepermodificare ilbytecodedell applicazione Dynamic7Class7Load:caricaalcuneclassiesternearun6me senzachesianopresen6nelbytecode University OfCagliari DepartmentofElectrical andelectronicengineering 61 AndroidMalware:Offuscamento(2) Ques6a$acchisisonodimostra6efficacicontrogli a$ualisistemididetec6on(an6virus) Nontud,però,sonosta6messiinpra6caappieno (ades.lareflec6onèusatasoloparzialmente) Nuovetecnichedioffuscamentopossonoprendere spuntodaquelleusateconimalwarex86 E necessariosvilupparesistemididifesachesiano piùrobus6control offuscamento Disponibilidiversetesisull argomento University OfCagliari DepartmentofElectrical andelectronicengineering 62

32 Conclusioni Androidèunsistemaaperto,basatosuarchite$uraLinux,con unavastagammadiapplicazionidisponibili Lasuaarchite$uraastra6consente,dalpuntodivistadella sicurezza,unaprotezioneso$omolteplicipun6divista Tu$avia,propriolasuaaperturaèfontediunavastaquan6tà dia$acchi Glian6virussimostranoancorainefficien6so$oquesto aspe$o,ancheacausadia$acchicomel offuscamento Nuovisistemidovrannoesseresviluppa6percontrastare questotrend University OfCagliari DepartmentofElectrical andelectronicengineering 63 References AndroidSecurityOverview.h$p://source.android.com/tech/ security/ MarkoGargenta,AndyOram,BrianJepson.LearningAndroid. O REILLY XuetaoWei,LorenzoGomez,IulianNeam6u,MichalisFaloustos. PermissionEvolu6onintheAndroidEcosystem.InProceedingsof ACSAC 12 YajinZhou,XuxianJiang.Dissec6ngAndroidMalware: Characteriza6onandEvolu6on.InProceedingsofIEEES&P 12 WilliamEnck,MachigarOngtang,PatrickMcDaniel.Understanding AndroidSecurity.InIEEES&PVol.7,JanxFeb2009 GodfreyNolan.DecompilingAndroid.Apress University OfCagliari DepartmentofElectrical andelectronicengineering 64