ОБЩИЙ ОБЗОР УЯЗВИМОСТЕЙ В ОПЕРАЦИОННОЙ СИСТЕМЕ ANDROID

GENERAL OVERVIEW OF VULNERABILITIES IN THE ANDROID OPERATING

Filipp Shadrin

student, Institute of Fundamental Education, Ural Federal University,

Russia, Yekaterinburg

Dmitriy Tatarov

student, Faculty of Secure Information, Saint Petersburg National Research University of Information Technologies, Mechanics and Optics,

Russia, Saint-Petersburg

Vadim Kalinin

Independent researcher,

Russia, Saint-Petersburg

АННОТАЦИЯ

Мобильные телефоны в наши дни являются устройством, на котором содержатся важные персональные данные, несанкционированный доступ к которым может привести к плачевным последствиям. Учитывая, что устройствами под управлением операционной системы Android владеет несколько миллиардов человек [1]. При этом, средства обеспечения безопасности не позволяют полностью решить вопросы безопасности, связанные с мобильной операционной системой Android, а также, оценить возможный ущерб от действий злоумышленников. В связи с этим возникает задача проанализировать основные угрозы для данной ОС для дальнейшего формирования методики по оцениванию степени риска и возможной степени угроз информационной безопасности приложений для операционной системы Android.

ABSTRACT

Mobile phones these days are a device that contains important personal data, unauthorized access to which can lead to disastrous consequences. Moreover, several billion people own devices running the Android operating system [1]. Now, security measures do not completely solve the security issues associated with the Android mobile operating system, as well as assess the possible damage from the actions of intruders. In this regard, the task arises to analyze the main threats to this OS for the further formation of a methodology for assessing the degree of risk and the possible degree of threats to information security of applications for the Android operating system.

Ключевые слова: мобильная разработка; Android; безопасность приложения; анализ безопасности.

Keywords: mobile development; Android; application security; security assessment.

Рынок мобильных устройств постоянно растёт [1]. Рост количества мобильных устройств спровоцировал компании начать создание приложений под эти устройства. Так как пришлось переносить основную функциональность таких приложений и сервисов как: банкинга, социальных сетей, онлайн хранилищ данных, почтовых сервисов, онлайн магазинов – возникла проблема обработки и хранения персональных пользовательских данных.

Модель разграничения данных в ОС Android позволяет достаточно надёжно хранить данные пользователей, не позволяя сторонним приложениям иметь доступ к приватной информации посредством простого чтения файлов приложения. Однако, некоторые уязвимости механизмов, реализованных в ОС Android, создают ситуации, в которых чтение обрабатываемой в приложении информации, доступно сторонним приложениям.

Обрабатываемая информация может содержать в себе:

1. логины;
2. пароли;
3. личные переписки пользователя;
4. фотографии и иные медиафайлы пользователя.

Если данная информация попадёт в руки злоумышленников, она может нанести вред пользователю приложения и имиджу компании.

Одним из уязвимых мест в приложении может являться хранилище данных приложения. Для хранения данных пользователя на устройстве, разработчики обычно используют базы данных. В ОС Android базой данных, используемой по умолчанию, является SQLite. Данные приложений хранятся в каталоге /data/data. Этот каталог содержит директории с названиями в виде уникальных идентификаторов приложений, составляемых из доменов и названий приложения. Внутри каталогов приложения хранится информация, связанная с этим приложением. Помимо файлов с данными приложения, в этой директории хранится база данных, с которой происходит взаимодействие приложения. Файлы базы данных хранятся с расширением .db. Для изучения содержимого БД, рекомендуется воспользоваться утилитой DB Browser For SQLite. Пример содержимого базы данных приведён на Рисунке 1. Можно заметить, что структура БД приложения хранится в открытом виде. Просмотрев любую из таблиц, обнаруживается, что информация, хранимая в таблице, по умолчанию не шифруется.

Данное решение создаёт потенциальную уязвимость, так как хранение данных пользователя может привести к их утечке.

Рисунок 1. Пример содержимого БД приложения

В ОС Android имеется компонент Content Provider, ответственный за обеспечение приложений в ОС Android определённым набором данных. Так как Content Provider работает с базами данных, в том числе с SQLite, он подвержен атаке SQL injection [2]. Учитывая рассмотренную выше уязвимость в виде открытого способа хранения данных в базах данных в ОС Android, атака инъекцией позволяет получить приватную информацию.

Ещё одним механизмом операционной системы Android, где могут встречаться уязвимости, является передача данных по сети. Так, например, злоумышленник может осуществить перехват трафика. Если трафик не шифрован, злоумышленник, используя сторонние приложения или атаки типа MITM [4], может получить важную информацию о пользователе, например, сеансовые токены, логины и данные о банковских картах, и иную передаваемую по сети информацию.

Следующим механизмом, в котором могут возникать уязвимости, является структура файла Android приложения. Приложения в данной ОС имеют расширение .apk, однако, на деле это архив файлов.

В apk архиве в открытом виде хранятся ресурсы приложения (изображения, иконки, файлы разметки и т.д.), а также файла манифеста приложения (специальный конфигурационный файл). Однако, классы с исходным кодом хранятся в файле с расширением .dex и не позволяет заполучить исходный код простым просмотром содержимого файла. Тем не менее, существуют специальные сервисы и программы, выполняющие преобразование содержимого dex файла в код на языке Java [3]. Злоумышленник может прочитать исходный код приложения и найти уязвимые участки кода и проэксплуатировать их. Данная уязвимость может привести к самым разнообразным последствиям.

Таким образом, можно ещё раз убедиться в том, насколько остро стоит проблема безопасности в мобильных приложениях и сделать вывод об актуальности исследования уязвимостей в мобильном приложении для ОС Android.

Список литературы:

1. Продажи телефонов на ОС Android 2018 - [электронный ресурс] – Режим доступа. – URL: http://www.tadviser.ru/index.php/Статья:Смартфоны_%28мировой_рынок%29
2. SQL injections android - [электронный ресурс] – Режим доступа. – URL: https://solidgeargroup.com/sql-injection-in-content-providers-of-android-and-how-to-be-protected
3. APK tool - [электронный ресурс] – Режим доступа. – URL: https://ibotpeaches.github.io/Apktool/
4. MITM атака - [электронный ресурс] – Режим доступа. – URL: https://encyclopedia.kaspersky.ru/glossary/man-in-the-middle-attack/