一文了解如何使用移动应用安全组件soot和flowdroid(代码片段)

华为云开发者社区 华为云开发者社区     2023-01-30     521

关键词:

摘要:移动应用安全检测,soot、flowdroid分别作为静态分析、污点分析主要工具,能我们能够快速高效的进行检测分析、本文主要介绍两个工具的基本操作及相应的使用场景

本文分享自华为云社区《移动应用安全常用组件Soot、Flowdroid简介&基本使用》,作者:舞阳河畔程序猿 。

概述

Android作为一个开放的移动应用平台,无论是系统还是APK应用面临严峻的安全问题,针对应用安全面临的威胁,检测技术也在不断演进,但是基于静态分析的方式始终绕不过Soot跟FlowDroid,前者是一个java语言分析工具,同时也支持APK文件的分析,后者则是污点分析工具,通过生成Graph追踪污点传输路径。下面针对这两个进行介绍介绍,帮助读者能快速入门。

Soot

简介

soot是java优化框架,提供4种中间代码来分析和转换字节码。

  • Baf:精简的字节码表示,操作简单
  • Jimple:适用于优化的3-address中间表示
  • Shimple:Jimple的SSA变体
  • Grimple:适用于反编译和代码检查的Jimple汇总版本。

soot提供的输入格式有:java、android、class等

输出格式有:Java字节码、android字节码、Jimple、Jasmin、shimple、baf等,这些实际业务中常使用的,当然还有其它的格式,这里不再一一列举。

借助soot对android的分析能力,我们可以进一步分析安卓应用的安全漏洞,比如组件暴露、加密算法等存在的安全问题。

基本使用

可以GIT下载最新的soot jar包,我下载的是4.1.0版本中的sootclasses-trunk-jar-with-dependencies.jar 包,这个包应该自带了soot所需要的所有依赖。下载完成后使用powershell进入jar文件所在的文件夹,可以输入以下命令:

java -cp sootclasses-trunk-jar-with-dependencies.jar soot.Main查看soot相关的信息

首先我们来看soot怎么分析java代码(这里以class文件分析为例):

第一步,配置soot环境信息

StringBuffer cp = new StringBuffer();
cp.append(".");
cp.append(File.pathSeparator + apiPath);
cp.append(File.pathSeparator + "C:\\\\Program Files\\\\Java\\\\jre1.8.0_171\\\\lib\\\\rt.jar" + File.pathSeparator 
                  + "C:\\\\Program Files\\\\Java\\\\jre1.8.0_171\\\\lib\\\\jce.jar");
System.setProperty("soot.class.path", cp.toString());

第二步,设置soot的配置属性(各属性说明可以参考GIT上官方文档信息)

soot.options.Options.v().set_keep_line_number(true);
soot.options.Options.v().set_whole_program(true);
soot.options.Options.v().setPhaseOption("jb", "use-original-names:true");
soot.options.Options.v().setPhaseOption("cg", "verbose:false");
soot.options.Options.v().setPhaseOption("cg", "trim-clinit:true");
soot.options.Options.v().set_src_prec(Options.src_prec_class);
soot.options.Options.v().set_prepend_classpath(true);
soot.options.Options.v().setPhaseOption("wjop", "enabled:false");

第三步,拿到代码信息

for (String clzName : SourceLocator.v().getClassesUnder("class文件所在路径")) 
	System.out.printf("api class: %s\\n", clzName);
	// 加载要处理的类设置为应用类,并加载到soot环境Scene中
	Scene.v().loadClass(clzName, SootClass.BODIES).setApplicationClass();

for (SootClass clz : Scene.v().getApplicationClasses()) 
	//遍历获取类、方法等需要的信息

现在,我们在看看soot怎么分析android apk

Options.v().set_src_prec(Options.src_prec_apk);
Options.v().set_output_format(Options.output_format_jimple);
Options.v().set_process_dir("待处理文件所在路径");
// 安卓JDK所在目录,只需要指定官方SDK包platforms-new目录下jar所在路径即可
Options.v().set_android_jars("jdk path");
Options.v().set_keep_line_number(true);
Options.v().set_allow_phantom_refs(true);
Options.v().set_process_multiple_dex(true);
Options.v().set_whole_program(true);
Scene.v().loadNecessaryClasses();
new CallGraphBuilder().build();

同样,我们可以得到apk的代码信息,包括class、method、attribute等,基于这些进行进一步分析并应用到实际检测业务中。

使用场景

使用Soot对Android应用进行静态分析,目前包括主要的检测场景:

  • 检测应用中敏感字符串url和email、IP等
  • 检测应用中风险代码片段
  • 检测应用可能存在的漏洞,如组件暴露、过度申请权限、不安全加密算法等

FlowDroid

简介

FlowDroid是目前对Android app进行污点分析效果最好的工具之一。 污点分析的目的其实很简单,就是为了检查是否应用中是否存在从污点源到泄漏点的数据流。 但是它的优点在于它构建的数据流精度很高,可以对上下文,流,对象和字段敏感,从而使得分析结果非常精确。

它实现精准分析的原因有几点:

  • 1. 它对Android声明周期进行了比较完整的构建,例如Activity中的OnCreate,OnResume等。通过抽象一个dummyMain作为分析的入口来支持Android应用的分析;
  • 2. 它实现了精准的数据流分析,其中包含前向污点分析和后向别名分析。他们的实现其实都是基于heros的数据流分析框架来实现的。这里面的算法比较复杂,我的理解是这两种分析都是满足上下文敏感和流敏感的,后向分析的算法提供了对象敏感和字段敏感的支持;
  • 3. 它支持简单的native code的污点分析

当然,它也存在一些不足之处,包括:

  • 1. 不能对组件间(Intent)的污点传播进行分析
  • 2. 隐式流问题
  • 3. native code不能完美支持

尽管存在一些不足之处,在各大会议上也已经提出了数十种新的静态污点分析算法,相比FlowDroid在一些数据集或是DroidBench上有着更快的运行速度以及更优的精准度。但FlowDroid仍然是公共资源中可获取的静态污点分析工具的唯一选择,因为很多paper提供的源代码几乎没有注释与文档,导致使用极其困难;另外科研人员往往仅在有限的测试集上进行了运行,所以去使用这样的程序不可避免的会遇到Bug。相比之下,FlowDroid作为被持续维护的一款框架,其稳定性上具备了一定的保证,同时其底层的Soot框架强大的功能与较为完善的文档,使得FlowDroid上手难度相对较低。

基本使用

环境配置

FlowDroid的配置方法有两种,可以直接下载相关jar包,也可以使用maven配置依赖。jar包可以去FlowDroid的GitHub上进行下载,仅需soot-infoflow-android-classes.jar和soot-infoflow-classes.jar两个文件即可,另外去Soot的仓库 下载包含了heros与jasmin的sootclasses-trunk-jar-with-dependencies.jar,将上述三个包加入项目依赖便完成了FlowDroid的配置

运行

整个FlowDroid最顶层的类便是soot.jimple.infoflow.android.SetupApplication,大部分的设置与运行都可以通过操作这个类的实例进行。SetupApplication既可以在调用runInfoflow()时传入配置参数,也可以在初始化SetupApplication时或初始化后传入配置参数。SetupApplication的初始化函数以及runInfoflow函数有多种不同参数类型的实现,可以查阅源码后根据情况选择,这里仅提供我自己使用的一种方式:

关于Source、Sink

污点分析中的source点表示污点分析的起始点,而sink点表示污点分析的结束点。换言之,FlowDroid在“扫描”这个apk后,会从source点开始分析数据流,当数据流“流到”sink点时将其标注。FlowDroid中的source与sink均为类方法,在soot-infoflow-android下有提供一份SourcesAndSinks.txt的文件,是FlowDroid当时使用的一些可能涉及到访问隐私数据的api,从里面很容易看出声明文件的格式:

每一行作为独立的声明,%开头的表示注释,可以根据应用需求自行添加删减Source与Sink的声明。

使用场景

Flowdroid本身输出结果只是数据流信息,需要结合我们定制source、sink信息产生业务价值,一般有以下使用场景:

  • 隐私数据泄露检测
  • 污点传播类问题检测
  • Android组件间数据传递风险检测

文末福利:华为云漏洞扫描服务VSS 基础版限时免费体验>>>

点击关注,第一时间了解华为云新鲜技术~

android应用层组件安全测试基础实战技巧

...定义权限前言前面写过移动安全-Android安全测试框架Drozer一文,记录了如何使用Drozer对Android四大组件进行安全测试,本文补充下其他一些零散的测试知识。AdbShelladbshell提供了很多实用的命令可供测试者使用,如am、pm等命令。am... 查看详情

androidjetpack架构组件一文带你了解viewmodel的使用和原理(代码片段)

本文首发于微信公众号「后厂技术官」前言在本系列的第4和第5篇文章中,介绍了LiveData的使用和原理,LiveData和ViewModel是一对好搭档,这篇文章我们一起来学习什么是ViewModel、ViewModel基本使用、ViewModel的原理。1.什么... 查看详情

适用于移动设备和 Web 的安全 API

...是如何保护这个API免受CSRF、XSS和其他类型的攻击。据我了解,有两种常见的身份验证策略各有利弊:基于令牌的身份验证基于 查看详情

androidjetpack架构组件一文带你了解lifecycle(使用篇)(代码片段)

本文首发于微信公众号「后厂村码农」前言在上一篇文章中,我们基本了解了什么是AndroidJetpack,这一篇文章来介绍AndroidJetpack架构组件的Lifecycle,Lifecycle用于帮助开发者管理Activity和Fragment的生命周期,由于Lifecycl... 查看详情

一文了解rainbond云原生应用管理平台(代码片段)

Rainbond是一个云原生应用管理平台,使用简单,不需要懂容器、Kubernetes和底层复杂技术,支持管理多个Kubernetes集群,和管理企业应用全生命周期。遵循以应用为中心的设计理念,统一封装容器、Kubernetes和底层基础设施相关技术... 查看详情

来吧!一文彻底搞定vue组件!(代码片段)

作者|Jeskson来源|达达前端小酒馆Vue组件的概述组件是什么呢,了解组件对象的分析,Vue组件中的data属性,props传递数据的原理到底是什么。事件通信的那些事如何了解父子组件事件通信,和遇到非父子组件事件通信如何处理。组... 查看详情

一文了解提权:溢出提权和第三方组件提权(代码片段)

...务器的一个用户,较多见1、linux提权基础知识:一文了解linux下的用户( 查看详情

一文了解sun.misc.unsafe(代码片段)

Java语言和JVM平台已经度过了20岁的生日。它最初起源于机顶盒、移动设备和Java-Card,同时也应用在了各种服务器系统中,Java已成为物联网(InternetofThings)的通用语言。我们显然可以看到Java已经无处不在!但是不那么为人所知的... 查看详情

使用 WSO2 作为移动应用程序的 API 网关时,如何安全地处理用户密钥和秘密

】使用WSO2作为移动应用程序的API网关时,如何安全地处理用户密钥和秘密【英文标题】:WhenusingWSO2asAPIgatewayformobileapp,howtohandlecomsumer-keyandsecretsecurely【发布时间】:2020-04-1522:33:29【问题描述】:我们正在构建一个移动应用程序... 查看详情

一文了解nebulagraph上的spark项目

...何方便地使用三者呢?甚至在自己的场景下组合应用?来一文了解它们吧。在NebulaGraph生态中,有3个Spark成员:NebulaSparkConnector、NebulaExchange、NebulaAlgorithm,如何方便地使用三 查看详情

一文了解haas支付服务

背景移动互联网日益普及,现如它已融入到人们的生活中,感受最大的是现在出门带现金的人越来越少了,年轻人几乎很少使用现金去消费,使用的都是移动支付。随着支付应用的逐渐普及,很多智能设备都... 查看详情

如何在使用 Flow 时将 props 传播到使用精确 props 的 React 组件?

】如何在使用Flow时将props传播到使用精确props的React组件?【英文标题】:HowcanIspreadpropstoaReactcomponentthatusesexactpropswhenusingFlow?【发布时间】:2018-07-2807:33:33【问题描述】:考虑以下使用流道具的示例。import*asReactfrom\'react\';typeFooPr... 查看详情

如何在移动应用程序中安全地存储密码

】如何在移动应用程序中安全地存储密码【英文标题】:Howtosecurelystoreapasswordinamobileapplication【发布时间】:2018-07-3100:26:33【问题描述】:我最后几天都在阅读文章和OWASP,这就是我想要的设计。我的应用程序会将数据保存在云... 查看详情

保姆级教程:写出自己的移动应用和小程序(篇八)

...务器域名与请求接口的使用。本期文章中,我们重点学习如何在开发过程中使用小程序组件。小程序的组件分为两类:内置组件自定义组件为了方便讲解,本系列文章直接使用了微信小程序的要求进行讲解,但不要担心,在​​... 查看详情

安全算法一文带你简要了解常见常用的安全算法(代码片段)

本文由RT-Thread论坛用户recan原创发布:https://club.rt-thread.org/ask/article/3108.html0前言笔者有多年从事金融POS机系统开发的经验,对数据的安全理解较深,期间对各式各样的安全算法也是经常打交道,现整理一些基本概... 查看详情

一文了解边缘计算与云计算

公有云计算平台使企业能够使用全球服务器补充其私有数据中心,将基础设施扩展到任何位置,并根据自身需求扩展和缩减计算资源。这些公私混合云为企业计算应用提供了前所未有的灵活性、价值和安全性。但在全球... 查看详情

可视化太酷辽!一文了解排序和搜索算法在前端中的应用(代码片段)

一文了解排序和搜索算法在前端中的应用⏳序言🧭一、文章结构抢先知⌚二、排序和搜索1、定义2、JS中的排序和搜索⏰三、排序算法1、冒泡排序💡(1)定义(2)实现思路(3)图例(4)... 查看详情

cordova

...文件系统和其他本地移动功能。适用人群我们正在为希望了解移动开发的HTML,CSS和JavaScript开发人员创建此教程。在课程中,我们将通过大多数Cordova关键点,我们将向您展示如何使用大多数Cordova插件。提供的所有示例都可以用... 查看详情