靜態(tài)分析APK文件發(fā)現(xiàn)APP應(yīng)用硬編碼密碼泄露的示例分析

靜態(tài)分析APK文件發(fā)現(xiàn)APP應(yīng)用硬編碼密碼泄露的示例分析，相信很多沒(méi)有經(jīng)驗(yàn)的人對(duì)此束手無(wú)策，為此本文總結(jié)了問(wèn)題出現(xiàn)的原因和解決方法，通過(guò)這篇文章希望你能解決這個(gè)問(wèn)題。

今天給大家分享的Writeup是一篇關(guān)于安卓APP的靜態(tài)分析，由于該APP存在不安全存儲(chǔ)和硬編碼密碼泄露問(wèn)題，導(dǎo)致可以登錄其短信管理系統(tǒng)，劫持其短信接口配置，以下為相關(guān)分析研究，。

著手開(kāi)始

由于眾測(cè)項(xiàng)目范圍涉及到相關(guān)廠商的某款安卓APP，所以我就在我的安卓手機(jī)中下載了這款A(yù)PP應(yīng)用，并把其APK文件拿出來(lái)做靜態(tài)分析。在此推薦兩個(gè)原生快速的APK下載網(wǎng)址：

https://apk.support/apk-downloader

https://apkpure.com/

獲得了APK文件之后，我們需要對(duì)它進(jìn)行反編譯找到其中的Java類(lèi)文件進(jìn)行分析，這里可以安裝以下兩個(gè)工具：

https://github.com/pxb1988/dex2jar

https://mac.filehorse.com/download-jd-gui-java-decompiler/

安裝了上述工具后，我們把目標(biāo)APP的APK文件放到另一個(gè)單獨(dú)文件夾中，把其后綴由.apk更改為.zip，然后解壓zip文件，之后我們就可以看到一些xml文檔、路徑文件、模板資源文件等，在這些文件中我們的目標(biāo)是classes.dex文件，解壓后一般會(huì)發(fā)現(xiàn)一個(gè)或多個(gè)classes.dex文件。接著，我們用dex2jar把dex文件轉(zhuǎn)換為java文件，使用以下命令：

dex2jar classes.dex

如果該命令不管用，那么可以用dex2jar的另外一個(gè)版本命令：

d2j-dex2jar classes.dex

運(yùn)行上述命令之后會(huì)在文件夾內(nèi)生成如classes_dex2jar.jar的java文件，有了該文件后，我們就要用另一個(gè)好用的工具來(lái)對(duì)它反編譯了，這里我個(gè)人喜歡用的是JD-GUI，https://github.com/java-decompiler/jd-gui，用它打開(kāi)生成的jar文件后我們就能看到很多java資源文件，還能把這些不同資源文件進(jìn)行保存閱讀。

有了保存的資源文件代碼，我們要盡量從中找出一些問(wèn)題來(lái)，這里我推薦一個(gè)工具-動(dòng)化移動(dòng)安全滲透測(cè)試框架：    Mobile Security Framework（MobSF），它是一款智能、一體化的開(kāi)源移動(dòng)應(yīng)用(Android/iOS)自動(dòng)滲透測(cè)試框架，支持二進(jìn)制文件(APK & IPA)和源碼壓縮包，用它可以進(jìn)行靜態(tài)和動(dòng)態(tài)的分析。        

代碼分析

做好了上述工作后，我們就可以認(rèn)真分析安卓APP中的代碼了，回到我們的目標(biāo)APP中。當(dāng)我坐下來(lái)按照我的檢查列表分析時(shí)，不久我就發(fā)現(xiàn)其中一個(gè)叫Constant.java的文件，它位于APP的SMS路徑下，包含了一些零散的信息，如 Username、Loacation、Password等硬編碼服務(wù)信息以及短信發(fā)送接口（SMS API）的URL路徑。大概情況如下：

進(jìn)一步分析發(fā)現(xiàn)，該APP使用了reson8公司的短信即時(shí)發(fā)送平臺(tái)進(jìn)行商業(yè)化推廣，https://www.reson8.ae/，我瀏覽了reson8公司網(wǎng)站，發(fā)現(xiàn)其具備用戶登錄接口，所以我就想到了上述靜態(tài)分析中泄露的Username和Password信息，直接把它拿來(lái)這里登錄用看看，果然一輸入提交我就進(jìn)入了目標(biāo)APP公司的短信發(fā)送管理系統(tǒng)了：

該管理系統(tǒng)就是一個(gè)SMS API網(wǎng)關(guān)，通過(guò)它可以實(shí)現(xiàn)短信定向發(fā)送設(shè)置，營(yíng)銷(xiāo)升級(jí)和充值等管理操作，更關(guān)鍵的是可以下載用戶的手機(jī)號(hào)碼。

總結(jié)

在對(duì)APP做動(dòng)態(tài)和其它分析之前，建議對(duì)其做一些靜態(tài)分析，可以按照自己的檢查列表依次進(jìn)行，從中或許可以獲取到一些意想不到的零散信息。對(duì)于APP應(yīng)用公司來(lái)說(shuō)，千萬(wàn)要避免在APP中存儲(chǔ)一些密碼憑據(jù)相關(guān)的信息，即使有必要也需要進(jìn)行一些恰當(dāng)?shù)募用芴幚怼?/p>

看完上述內(nèi)容，你們掌握靜態(tài)分析APK文件發(fā)現(xiàn)APP應(yīng)用硬編碼密碼泄露的示例分析的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注億速云行業(yè)資訊頻道，感謝各位的閱讀！