摘要:移動應用安全檢測,soot、flowdroid分別作為靜態分析、污點分析主要工具,能我們能夠快速高效的進行檢測分析、本文主要介紹兩個工具的基本操作及相應的使用場景
本文分享自華為雲社區《移動應用安全常用組件Soot、Flowdroid簡介&基本使用》,作者:舞陽河畔程序猿 。
概述
Android作為一個開放的移動應用平台,無論是系統還是APK應用面臨嚴峻的安全問題,針對應用安全面臨的威脅,檢測技術也在不斷演進,但是基於靜態分析的方式始終繞不過Soot跟FlowDroid,前者是一個java語言分析工具,同時也支持APK文件的分析,后者則是污點分析工具,通過生成Graph追蹤污點傳輸路徑。下面針對這兩個進行介紹介紹,幫助讀者能快速入門。
Soot
簡介
soot是java優化框架,提供4種中間代碼來分析和轉換字節碼。
- Baf:精簡的字節碼表示,操作簡單
- Jimple:適用於優化的3-address中間表示
- Shimple:Jimple的SSA變體
- Grimple:適用於反編譯和代碼檢查的Jimple匯總版本。
soot提供的輸入格式有:java、android、class等
輸出格式有:Java字節碼、android字節碼、Jimple、Jasmin、shimple、baf等,這些實際業務中常使用的,當然還有其它的格式,這里不再一一列舉。
借助soot對android的分析能力,我們可以進一步分析安卓應用的安全漏洞,比如組件暴露、加密算法等存在的安全問題。
基本使用
可以GIT下載最新的soot jar包,我下載的是4.1.0版本中的sootclasses-trunk-jar-with-dependencies.jar 包,這個包應該自帶了soot所需要的所有依賴。下載完成后使用powershell進入jar文件所在的文件夾,可以輸入以下命令:
java -cp sootclasses-trunk-jar-with-dependencies.jar soot.Main查看soot相關的信息
首先我們來看soot怎么分析java代碼(這里以class文件分析為例):
第一步,配置soot環境信息
StringBuffer cp = new StringBuffer(); cp.append("."); cp.append(File.pathSeparator + apiPath); cp.append(File.pathSeparator + "C:\\Program Files\\Java\\jre1.8.0_171\\lib\\rt.jar" + File.pathSeparator + "C:\\Program Files\\Java\\jre1.8.0_171\\lib\\jce.jar"); System.setProperty("soot.class.path", cp.toString());
第二步,設置soot的配置屬性(各屬性說明可以參考GIT上官方文檔信息)
soot.options.Options.v().set_keep_line_number(true); soot.options.Options.v().set_whole_program(true); soot.options.Options.v().setPhaseOption("jb", "use-original-names:true"); soot.options.Options.v().setPhaseOption("cg", "verbose:false"); soot.options.Options.v().setPhaseOption("cg", "trim-clinit:true"); soot.options.Options.v().set_src_prec(Options.src_prec_class); soot.options.Options.v().set_prepend_classpath(true); soot.options.Options.v().setPhaseOption("wjop", "enabled:false");
第三步,拿到代碼信息
for (String clzName : SourceLocator.v().getClassesUnder("class文件所在路徑")) { System.out.printf("api class: %s\n", clzName); // 加載要處理的類設置為應用類,並加載到soot環境Scene中 Scene.v().loadClass(clzName, SootClass.BODIES).setApplicationClass(); } for (SootClass clz : Scene.v().getApplicationClasses()) { //遍歷獲取類、方法等需要的信息 }
現在,我們在看看soot怎么分析android apk
Options.v().set_src_prec(Options.src_prec_apk); Options.v().set_output_format(Options.output_format_jimple); Options.v().set_process_dir("待處理文件所在路徑"); // 安卓JDK所在目錄,只需要指定官方SDK包platforms-new目錄下jar所在路徑即可 Options.v().set_android_jars("jdk path"); Options.v().set_keep_line_number(true); Options.v().set_allow_phantom_refs(true); Options.v().set_process_multiple_dex(true); Options.v().set_whole_program(true); Scene.v().loadNecessaryClasses(); new CallGraphBuilder().build();
同樣,我們可以得到apk的代碼信息,包括class、method、attribute等,基於這些進行進一步分析並應用到實際檢測業務中。
使用場景
使用Soot對Android應用進行靜態分析,目前包括主要的檢測場景:
- 檢測應用中敏感字符串url和email、IP等
- 檢測應用中風險代碼片段
- 檢測應用可能存在的漏洞,如組件暴露、過度申請權限、不安全加密算法等
FlowDroid
簡介
FlowDroid是目前對Android app進行污點分析效果最好的工具之一。 污點分析的目的其實很簡單,就是為了檢查是否應用中是否存在從污點源到泄漏點的數據流。 但是它的優點在於它構建的數據流精度很高,可以對上下文,流,對象和字段敏感,從而使得分析結果非常精確。
它實現精准分析的原因有幾點:
- 1. 它對Android聲明周期進行了比較完整的構建,例如Activity中的OnCreate,OnResume等。通過抽象一個dummyMain作為分析的入口來支持Android應用的分析;
- 2. 它實現了精准的數據流分析,其中包含前向污點分析和后向別名分析。他們的實現其實都是基於heros的數據流分析框架來實現的。這里面的算法比較復雜,我的理解是這兩種分析都是滿足上下文敏感和流敏感的,后向分析的算法提供了對象敏感和字段敏感的支持;
- 3. 它支持簡單的native code的污點分析
當然,它也存在一些不足之處,包括:
- 1. 不能對組件間(Intent)的污點傳播進行分析
- 2. 隱式流問題
- 3. native code不能完美支持
盡管存在一些不足之處,在各大會議上也已經提出了數十種新的靜態污點分析算法,相比FlowDroid在一些數據集或是DroidBench上有着更快的運行速度以及更優的精准度。但FlowDroid仍然是公共資源中可獲取的靜態污點分析工具的唯一選擇,因為很多paper提供的源代碼幾乎沒有注釋與文檔,導致使用極其困難;另外科研人員往往僅在有限的測試集上進行了運行,所以去使用這樣的程序不可避免的會遇到Bug。相比之下,FlowDroid作為被持續維護的一款框架,其穩定性上具備了一定的保證,同時其底層的Soot框架強大的功能與較為完善的文檔,使得FlowDroid上手難度相對較低。
基本使用
環境配置
FlowDroid的配置方法有兩種,可以直接下載相關jar包,也可以使用maven配置依賴。jar包可以去FlowDroid的GitHub上進行下載,僅需soot-infoflow-android-classes.jar和soot-infoflow-classes.jar兩個文件即可,另外去Soot的倉庫 下載包含了heros與jasmin的sootclasses-trunk-jar-with-dependencies.jar,將上述三個包加入項目依賴便完成了FlowDroid的配置
運行
整個FlowDroid最頂層的類便是soot.jimple.infoflow.android.SetupApplication,大部分的設置與運行都可以通過操作這個類的實例進行。SetupApplication既可以在調用runInfoflow()時傳入配置參數,也可以在初始化SetupApplication時或初始化后傳入配置參數。SetupApplication的初始化函數以及runInfoflow函數有多種不同參數類型的實現,可以查閱源碼后根據情況選擇,這里僅提供我自己使用的一種方式:
關於Source、Sink
污點分析中的source點表示污點分析的起始點,而sink點表示污點分析的結束點。換言之,FlowDroid在“掃描”這個apk后,會從source點開始分析數據流,當數據流“流到”sink點時將其標注。FlowDroid中的source與sink均為類方法,在soot-infoflow-android下有提供一份SourcesAndSinks.txt的文件,是FlowDroid當時使用的一些可能涉及到訪問隱私數據的api,從里面很容易看出聲明文件的格式:
每一行作為獨立的聲明,%開頭的表示注釋,可以根據應用需求自行添加刪減Source與Sink的聲明。
使用場景
Flowdroid本身輸出結果只是數據流信息,需要結合我們定制source、sink信息產生業務價值,一般有以下使用場景:
- 隱私數據泄露檢測
- 污點傳播類問題檢測
- Android組件間數據傳遞風險檢測
文末福利:華為雲漏洞掃描服務VSS 基礎版限時免費體驗>>>