Etude des aspects de sécurité Android & Audit d'une application Android

PROJET FIN DE FORMATIONEtude des aspects de sécurité

Audit d'une application Android

Réalisé par: Mr. Saad DARDAR

Encadré par:Pr. Ghizlane Orhanou

Pr. Said EL HAJJI

UNIVERSITE MOHAMMED V AGDAL

FACULTE DES SCIENCES

Le jury:

Pr. Said El Hajji : Professeur à la Faculté des sciences de RabatDr. Ghizlane Orhanou : Docteur Ingénieur, Chef de service à la Cour des comptesM. Abdelmajid Lakbabi : Expert en Sécurité, MTDS MarocPr. Abdellatif EL GHAZI : Professeur à l’université internationale de RabatM. Mohamed Ennahbaoui : Doctorant à la Faculté des Sciences Rabat

PROJET FIN DE FORMATIONEtude des aspects de sécurité

Audit d'une application Android

Introduction

I. Etude des aspects de sécurité du système d’exploitation Android :

II. Principes de développement sécurisé des applications Android

III. Audit d’une application Android (RadioMAv2) : Conclusion

Plan de la présentation :

Introduction

Application Android

Pour quoi

Android ?

Etude des

aspects

Développement sécurisé

I. Etude des aspects de sécurité du système d’exploitation Android :

1. Architecture d’Android2. ROM et accès root 3. Modèle de sécurité4. Protection des données

5. Android, IOS, Windows phone 7.

Architecture du système d’exploitati on Android :

Shema Architecture Android

Architecture du système d’exploitati on Android - Le noyau Linux :

Le cœur du système Android, c’est la base de ce dernier.

I l permet de faire le pont entre le matériel et la pile logicielle.

Gère les services du système.

Linux est le cœur du système Android mais il n’est pas une distributi on linux.

Architecture du système d’exploitati on Android - Les bibliothèques (l ibrairies) :

•Bibliothèque système C. Implémentati on de la bibliothèque standard C (l ibc), opti misée pour les systèmes Linux embarqués et dérivée de BSD.•SQLite. L’un des meilleures Bases de données (rapide, légère et puissante).•FreeType : gérant les bitmap et le rendu des polices•SurfaceFlinger. Pour l ’accès au sous-système d'affi chage.•LibWebCore. un moteur de navigateur web (tourne, à la fois le navigateur Android et une vue web intégrable).•Skia. Moteur graphique 2D•Bibliothèques multi médias (MPEG4, MP3, JPG …etc.)•OpenGL ES (3D)

Architecture du système d’exploitati on Android - Le moteur d’exécuti on Android (Android Runti me)

Un moteur d'exécuti on, bibliothèque d'exécuti on ou runti me est un système logiciel qui permet l'exécuti on de programmes dans un langage de programmati on donné, dans le cas du système Android on parle de Java.

Schéma qui indique les étapes nécessaries à la compilati on et à l ’exécuti on d'un programme Android standard .

Architecture du système d’exploitati on Android - Le moteur d’exécuti on Android (Android Runti me)

Architecture du système d’exploitati on Android - Applicati on et Framework pour les applicati ons

La seule couche visible et accessible par l’uti lisateur fi nal. Un ensemble de programmes de base que l’on peut trouver sur Android (SMS, calendrier, photos, web et autres). Toutes ces applicati ons sont développées à l’aide du langage de programmati on Java. le Framework du système Android permet aux développeurs, en leurs fournissant divers API, de créer des applicati ons riches et innovantes.

Architecture du système d’exploitati on Android - Applicati on et Framework pour les applicati ons

ROM et accès root :


STOCK ROM : c’est la ROM standard (offi cielle), le matériel vient avec cett e version pré-installé.

CUSTOM ROM : c’est la ROM non offi cielle personnalisée qu’on peut installer sur notre matériel, il existe trois sortes de cett e ROM :

• Celles qui permett ent de booster la vitesse et la stabilité du matériel (Smartphone, Tablett e,…) • Celles qui permett ent d'installer une version Android normalement non compati ble avec un matériel • Celles qui permett ent de rajouter de nombreuses foncti onnalités.


Rooti ng tout simplement c’est avoir les droits d’administrateur et c’est à l’aide d’un peti t logiciel nommé « SU » qui nous rend super-uti lisateur (Super-user).

Elargi les capacités du matériel Android. Permet d'installer n'importe quelle applicati on. Exécuter toutes sortes de commandes normalement inaccessible aux uti lisateurs .


Le root est une manipulati on assez dangereuse qui comporte des risques. Presque dans tout les cas car lorsqu’on root notre Smartphone par exemple on perd notre garanti e chez le fournisseur ou lorsqu’on installe une applicati on il peut avoir le privilège de ce mode (root) et ainsi avoir la main sur des données personnelles ou fi chiers du système.

Modèle de sécurité :

Modèle de sécurité - Défi niti on d’un modèle de sécurité

Un modèle de sécurité peut être défi ni comme un formalisme permett ant de représenter, de façon claire et non-ambiguë, la politi que de sécurité.

On modélise :• Pour mieux comprendre le système qu’on développe.• Pour visualiser ses propriétés. • Pour spécifi er sa structure ou son comportement. • Pour documenter et guider sa constructi on, etc .

Les modèles de sécurité peuvent être classés en deux grandes familles :

• Des modèles généraux, qui sont plutôt des méthodes de descripti on formelle, pouvant s’appliquer à toute sorte de politi ques.

• Des modèles spécifi ques, développés pour représenter une politi que d’autorisati on parti culière.

Modèle de sécurité - Défi niti on d’un modèle de sécurité

Modèle de sécurité - Signature numérique

Quand le développeur veut publier une applicati on sur Google Play, il doit payer pour acquérir un certi fi cat et signé ainsi l’applicati on pour qu’elle soit reconnue par Google. Cett e prati que existe sur la plupart des systèmes (Symbian Signed, IOS de Apple,…).

Les applicati ons modifi ées par un virus ou par un pirate invalide automati quement la signature numérique, cependant il existe des opti ons sur le système Android qui permet d’installer ces applicati ons non signées.

Modèle de sécurité - Isolati on

Ce modèle de sécurité (Android) est basé sur le modèle de sécurité du système Linux, mais avec des modifi cati ons, qui consistent à l ' isolati on des applicati ons.

A l ' installati on d'une applicati on on lui att ribut un compte Unix (uid).

Si des applicati ons sont signées par le même certi fi cat, el les peuvent alors partager le même uti lisateur.

Lors de l ' installati on de l 'applicati on on lui att ribut un répertoire privé, chemin par défaut : /data/data/app_package_name , ce répertoire ou seulement les fi chiers de ce dernier, peuvent être partagés entre des applicati ons diff érentes en modifi ant les droits d'accès du système.

Les applicati ons Android n'uti lise pas directement le matériel (hardware) car elles n'ont pas l'accès aux périphériques (/dev/*) ce n'est pas le même cas du système Linux, c’est pourquoi elles uti lisent un processus le 'system_app' qui permet de contrôler les privilèges avant de passer à l'exécuti on

Modèle de sécurité - Isolati on

La cryptographie ou chiff rement des données c’est un ensemble de techniques permett ant de chiff rer des données, c'est-à-dire permett ant de les rendre inintelligibles sans une acti on spécifi que.

Le système Android comme tous les systèmes propose des API pour cela comme « javax.crypto », mais ils doivent être bien uti lisées si non l’uti lisati on de ces derniers n’aura pas d’eff et .

Protecti on des données - Cryptage (chiff rement)

Dans le système Android il se peut que notre applicati on soit installée dans une mémoire externe comme une carte SD, dans ce cas :

Lors de son installati on on génère un fi chier chiff ré avec l’applicati on plus ses données.

Lorsque le système veut accéder à l’applicati on il doit monter un disque virtuel par applicati on afi n de déchiff rer ses données.

Malgré ce système de protecti on il est possible de le surpasser et déchiff rer ainsi les données.

Protecti on des données - Cryptage (chiff rement)

Afi n de protéger les applicati ons qui uti lisent des communicati ons réseaux sous le système Android, des API sont conçues. Ces API exploitent les technologies TLS et SSL. L’uti lisati on de ces derniers permet :• L'authenti fi cati on mutuelle du serveur et du client.• Le chiff rement et la vérifi cati on de l'intégrité des connexions.

Pour les entreprises et afi n de protéger leur applicati ons, ils uti lisent des connexions VPN (réseau privé virtuel) qui repose sur un protocole, appelé protocole de tunnelisati on (tunneling) :• Un protocole permett ant aux données passant d'une extrémité du VPN à l'autre.• D'être sécurisées par des algorithmes de cryptographie.

Protecti on des données - Sécurité des communicati ons

Android IOS ‘Apple’ Windows mobile 7

A l' installation d'une application on lui attribut un compte Unix (UID).Si des applications sont signées par le même certifi cat, elles peuvent alors partager le même utilisateur.

Tourne sous un seul utilisateur « mobile ».

Utilise des chambres. (Trusted Computing Base : tous les privilèges...)

Pour chaque application il existe un répertoire privé.



Ce répertoire ou seulement les fi chiers de ce dernier, peuvent être partagés entre des applications diff érentes en modifi ant les droits d'accès du système.

Les communications entre applications se font à travers une copie des fi chiers d'une application à une autre.

Windows Phone ne permet pas le partage des fi chiers d'une application

Le système Android comme tous les systèmes propose des API pour cela

Pour le chiff rement, un composant électronique est inclus dans les terminaux.

Pour le chiff rement, on a accès à toute une couche de sécurité qui est très simple à utiliser et qui inclut les algorithmes les plus classiques.

Android, IOS, Windows phone 7.

II. Principes de développement sécurisé des applications Android

1. Validation des entrées

2. Les situations de concurrence (race condition)

3. Les fi chiers

4. Les Permissions

5. Protection contre les att aques

Les données venant vers une applicati on soit directement entrées par l’uti lisateur ou indirectement via une autre applicati on ou par réseau ne sont pas tout le temps des données fi ablesCe problème (validati on des entrées) existe aussi sous Android et peut causer plusieurs att aques, les plus connues sont :

Débordement de tampon (Buff er Overfl ow en anglais).

SQL injecti on.

Ingénierie sociale (social engineering en anglais).

Validati on des entrées :

Le principe général :Un processus désire accéder de manière exclusive à une ressource du système. Il s'assure qu'elle ne soit déjà uti lisée par un autre processus puis se l'approprie et l'emploie à sa guise.

Le problème :Survient lorsqu'un autre processus profi te du laps de temps s'écoulant entre la vérifi cati on et l'accès eff ecti f pour s'att ribuer la même ressource.

Les situati ons de concurrence (race conditi on):

Les conséquences :- On se retrouve dans des situati ons de blocages défi niti fs des deux processus. - Dans les cas plus prati ques, ce comportement mène à des dysfoncti onnements parfois graves de l'applicati on.- Des véritables failles de sécurité quand un des processus profi te indûment des privilèges de l'autre.

Le système Android nous permet de parvenir un service d'une autre applicati on via un thread diff érent ce qui permet l'existence d'une situati on de concurrence cependant d'autres systèmes, IOS ou Windows phone n'ont pas le même problème, car il est impossible d'avoir un traitement en tâche de fond.

Les situati ons de concurrence (race conditi on):

Chaque applicati on possède son propre répertoire avec ses propres fi chiers.

I l est possible qu'une applicati on partage ces fi chiers, ça dépend des permissions.

La liste des diff érentes permissions pour la créati on d'un fi chier dans la mémoire interne :

MODE_PRIVATE crée un fi chier (ou remplace l 'existant), i l ne sera disponible que pour notre applicati on .• MODE_APPEND crée un fi chier• MODE_WORLD_READABLE accès en lecture par les autres applicati ons• MODE_WORLD_WRITEABLE accès en écriture par les autres applicati ons• MODE_WORLD_READABLE|MODE_WORLD_WRITEABLE accèsen lecture et écriture par tous.

Les fi chiers:

Les Permissions - Les permissions des applicati ons

Quand on veut installer une applicati on, cett e dernière demande à l’uti lisateur des permissions.Ces permissions qui sont demandées doivent être inscrites dans un fi chier ‘AndroidManifest.xml’.Exemple:

Ces permissions dans Android peuvent être regroupées en quatre catégories :

• Normale • Dangereux • Signature • SignatureOrSystem

Les Permissions - Les permissions des applicati ons

Une applicati on sous Android est un ensemble de composants rassemblés grâce à un fi chier de confi gurati on, c’est le fi chier AndroidManifest.Ces principaux concepts sont :

Acti vité :

Les vues :

Les contrôles : (boutons, champs de saisie, etc.)

Le fi chier de confi gurati on (sous format XML) :• le point d’entrée de l’applicati on (quel code doit être exécuté au démarrage de l’applicati on) ;• quels composants consti tuent ce programme ;• les permissions nécessaires à l’exécuti on du programme.

Les Permissions - Les permissions des composants

Le désassemblage est l'acti on inverse de l'assemblage.Il existe des outi ls qui ont la possibilité de surpasser la protecti on et les verrous classiques, d'extraire le code de l'applicati on et même réassembler le code (exemple d'outi ls : Smali, Baksmali, Dedexer, Anti LVL).

Pour protéger son code contre ces outi ls :

• Uti liser des "Class Loaders" • Des chaînes de caractères cryptées• Des outi ls d'obfuscati on (ProGuard)• Intégrati on d'un code dans l'applicati on afi n de détecte son intégrité ainsi savoir si son code a été modifi é en eff ectuant une vérifi cati on de signature

Protecti on contre les att aques – Désassemblage.

Avec le débogueur vous pouvez observer le comportement de votre programme au moment de l'exécuti on et déterminer l'emplacement des erreurs de logique.

Les applicati ons sous le système Android n'échappent pas aux débogages, car ce traitement n'est pas fait pour les att aquants, mais pour les développeurs afi n de remonter des bugs via plusieurs outi ls comme « DDMS » qui se trouve dans le SDK Android.

Afi n d’éviter le débogage on met dans la valeur de l’att ribut « android:debuggable » la valeur « false »

Protecti on contre les att aques - Débogage des applicati ons.

III. Audit d’une application Android (RadioMAv2) :

1. Introducti on à l’audit d’une applicati on2. Arborescence d’une applicati on Android 3. Récupérati on, désassemblage et débogage d’une

applicati on Android4. Étude du code et du comportement de l’applicati on

Android:5. Assemblage et signature de l’applicati on Android:6. Sécurisati on de l’applicati on Android

L'audit de sécurité d'une applicati on est une acti vité très uti lisée dans le monde de sécurité et de qualité de logiciel, c'est comme le conseil en sécurité.L'audit peut être eff ectué dans diff érents buts, notamment vérifi er si : les contrôles en place sont opérati onnels et sont suffi sants, les données saisies, stockées ou produites par les traitements sont de bonnes qualités, les traitements sont effi caces et donnent les résultats att endus, l 'applicati on est correctement documentée, les procédures mises en œuvre dans le cadre de l'applicati on sont à jour et adaptées, l 'exploitati on informati que de l'applicati on se fait dans de bonnes conditi ons, la foncti on ou le processus couvert par l'applicati on sont effi caces et producti fs

Audit d’une application Android (RadioMAv2) :

Introduction à l’audit d’une application

L'audit sécurité peut se faire de plusieurs manières, cett e tâche est diffi cile à modéliser, mais on peut identi fi er des lignes principales :

Récupérer l'applicati on Désassemblage de l'applicati on Décompiler le bytecode (dans le cas ou c'est possible) Déboguer l'applicati on Etudier le code Sniff er les communicati ons.


Introduction à l’audit d’une application

l ’arborescence d’un projet par défaut créer avec l ’ IDE Ecl ipse


Arborescence d’une application Android :

src : Ce dossier conti ent les sources de votre applicati on (code JAVA) et les packages.gen: Conti ent le code source produit par les outi ls de compilati on.assets : Conti ent des données non internati onalisées qui seront uti lisées dans votre applicati on (images, vidéos, licence…etc).Res : Conti ent les ressources du projet (interface, image, …).AndroidManifest.xml : Défi nit le comportement de votre applicati on au système Android. Ce fi chier défi nit par exemple (Le nom, l’icône, la version min du SDK, les acti vités, les services, etc…).



fi chiers qui se trouvent dans un package (appl icati on Android .APK)



AndroidManifest.xml : Défi nit les propriétés et acti vités de l'applicati on (Format XML encodé pour Android)

classes.dex: Fichier au format DEX contenant le code de l'applicati on

Res : Conti ent les ressources du projet (interface, image, …).

resources.arsc : conti ent des ressources compilés dans un format binaire; peut inclure des images, des chaînes ou d'autres données uti lisées par l’applicati on Android.



META-INF : dossier conti ent les données qui sont uti lisées pour assurer l'intégrité du package APK et la sécurité du système.Il conti ent trois fi chiers :

MANIFEST.MF: c’est le fi chier Manifest, I l permet de faire de nombreuses choses en plus de déclarer les composants de l'applicati on, comme nommer les librairies avec lesquelles l'applicati on a besoin d'être liée (en plus de la librairie Android) et identi fi er les permissions dont l'applicati on a besoin.

CERT.RSA: le certi fi cat de l’applicati on.

CERT.SF: c’est la liste des ressources et SHA-1 (un ensemble de foncti ons de hachage cryptographiques) supportés dans l’applicati on.




RadioMa v2 :

Avant de passer vers l'audit, nous allons choisir une application de Google Play (Play Store) puis récupérer son APK. Dans notre cas nous allons prendre l'application RadioMA v2.0 - Maroc (développé par Ayoub DARDORY) qui est gratuite et qui nous permet d'écouter la majorité des stations radios Marocaines qui diffusent en ligne.


Récupération, désassemblage et débogage d’une application Android :

Etapes pour lister les applications Android installées


Récupération, désassemblage et débogage d’une application Android :

Commande pour récupérer l’application Android « com.radioma-1.apk »


Désassemblage et débogage de l’application Android :

Commande pour désassembler l’application Android « com.radioma-1.apk »


Désassemblage et débogage de l’application Android : •Res : contient les ressources du projet (interface, image, …).

•Smali : contient les codes sources ayant la forme du langage Smali (signifie « assembleur » en islandais) et qui utilise la syntaxe Jasmin (Jasmin est un langage d'assemblage d'instructions de la machine virtuelle Java, ou de façon plus concise, un assembleur de Bytecode Java.

•AndroidManifest.xml : Définit le comportement de votre application au système Android.


Désassemblage et débogage de l’application Android : Débogage de l’application Android

Lors de l’exécution de la commande : > adb.exe logcat

Étude du code et du comportement de l’application Android:

Etude du fichier AndroidManifest.xml :

• android:debuggable="false" nous fait savoir que le développeur a annulé le débogage de l’application.

• <uses-permission android:name="android.permission.INTERNET" />Permission d’utiliser internet.

Le nom du package : package="com.radioma"


Etude du répertoire « res » :

Dans le premier « com.radioma-1\res\values » il existe des chaines de caractères par défaut, exemple « le fichier strings.xml » :</string> <string name="app_name">RadioMA</string> // le nom de l’application <string name="loading_error">Loading error</string> // Si une erreur survient


Etude du répertoire « smali » : Exemple : « Station.smali » : .class public Lcom/radioma/Station;// Le nom de la classe « Station » et le chemin du fichier lors de l’exécution.

.super Ljava/lang/Object;//hérite de l'objet (qui peut être l'activité, vue, etc)

.source "Station.java"// Le nom original du fichier Java dans notre cas c’est « Station.java »


Etude des communications :

Wireshark en cours de capture de paquets et avec comme filtre « http »



Analyse d’un paquet sur Wireshark



site radioma.ma et ces répertoires (app, update, version4, version5 …)


Assemblage et signature de l’application Android :

Commande pour assembler notre application Android



installation de l’application Android / message d’erreur causé par la signature.



signature et installation d’application Android.

Sécurisation de l’application Android « RadioMa v2 :

Google Play :

Sous le système Android il est possible de vérifier si notre application a été installée via Google Play, ainsi de ne pas permettre l'installation que par ce dernier.

if("com.google.android.feesback".equals(

getPackageManager().getInstallerPackageName(getPackageName())))

{// Si l’application est installé via Google

Playreturn false;

}


Emulateur :

On peut détecter si une application Android est dans un émulateur si on ajoute ce code.

String android_id = Secure.getString(getContentResolver(),Secure.ANDROID_ID);if (android_id == null){

// L’application tourne sous un émulateur, alors il faut l’arrêter.}


Serveur :

on peut accéder au serveur de l’application via un navigateur facilement afin de voir le contenu. Pour ne pas laisser le contenu accessible par tout le monde, on peut signer l’application avec la même signature du domaine ou essayer de créer un identifiant

Oui, il est préférable d’utiliser le protocole http en employant une syntaxe basée sur la notation XML, mais il est préférable d’utiliser la compression GZIP pour toutes les requêtes.

Si l’application utilise le composant Webkit (c’est notre cas) il est préférable de réduire au strict nécessaire les possibilités offertes à une application web comme l’accès à la géolocalisation, à JavaScript etc.

Conclusion

Merci !

Etude des aspects de sécurité Android & Audit d'une application Android

Documents

Transcript of Etude des aspects de sécurité Android & Audit d'une application Android