شرح باگ‌بانتی آسیب‌پذیری Insecure Data Storage در اپلیکیشن‌های اندرویدی

ذخیره‌سازی ناامن داده: وقتی که اطلاعات حساس بصورت Clear-Text ذخیره می‌شوند.

وقتی اسم ذخیره‌سازی نا امن داده‌ها رو می‌شنویم، ناخودآگاه به این فکر می‌کنیم که ممکنه کسی به اطلاعات شخصی و حساب کاربری ما توی گوشیمون دسترسی پیدا کنه. خب قطعا این جالب نیست و با شنیدنش استرس می‌گیریم. این استرس رو دولوپرها هم زمانی که کدشون توسط ما Reverse می‌شه هم دارن. که اگه خوش‌شانس باشیم، می‌تونیم از توش Stringهایی رو پیدا کنیم که ممکنه برای اون کمپانی گرون تموم بشه (مثل کلید API، آدرس IP سرور، آدرس پنل مدیریتی تحت وب و …)

همین مفهومی که الان فهمیدین، اسم یه آسیب‌پذیری هست به نام Insecure Data Storage، توی دستگاه‌هایی که هرروز با خودمون حمل می‌کنیم. از قضا این آسیب‌پذیری توی لیست 10 آسیب‌پذیری خطرناک متدولوژی OWASP هم هست. پس آسیب‌پذیری با اهمیتی هست و جا داره که توی محیط عملیاتی بیشتر بررسیش کنیم و یکی از بانتی‌هایی که من گرفتم رو باهم ببینیم.

قبل از این که شروع کنیم، باید اپلیکیشنی که روش می‌خوایم کار کنیم رو مشخص کنیم. توصیه‌ی اکید می‌کنم که از اپلیکیشن‌های ساده‌تر و یا اپلیکیشن‌هایی که دارای امتیاز کمتری هستند، شروع کنید که انگیزتون رو در حین فرآیند تست از دست ندید (اگه اول کار هستین). مثلا برای شروع، اپلیکیشن‌های جدیدی که تازه معروف شدن، انتخاب خوبی هستش و اغلب تو هر اپ استوری که جستجو کنید، می‌تونید اپلیکیشن هدف خاص خودتون رو پیدا کنید.

خب من روی اپلیکیشنی مربوط به یکی از برنامه‌های بانتی پلتفرم HackerOne بود، تحلیل‌هام رو شروع کردم. نکته دیگه‌ای که برای کوتاه شدن این مقاله باید بگم اینه که ما به طور خاص دنبال کلید API Key گوگل هستیم. وگرنه همه می‌دونیم که اپلیکیشن‌ها حاوی اطلاعاتی هستند که برای ما ارزشمندن و بررسی همه‌ی اون‌ها از حوصله‌ی این مقاله خارجه. حالا چرا google api key ؟ چوناستفاده از سرویس‌های گوگل در اپلیکیشن‌های مختلف خیلی متداوله و زیاد دیده می‌شه.. برای بررسی آسیب‌پذیری‌هایی از این نوع توصیه می‌شه تو گام اول فایل apk دانلود‌شده رو به وسیله Jadx باز کنیم. نکته خیلی مهمی که وجود داره، اینه که هم رشته‌های حیاتی و هم رشته‌های بی‌اهمیت، معمولا تو دو تا فایل ذخیره شدن. فایل strings.xml و فایل AndroidManifest.xml. تو عکس پایین فایل strings.xml رو می‌بینیم.

خب همون‌طور که مشاهده می‌کنید، کلید API گوگل پیدا شد. اما حالا ممکنه براتون سوال پیش بیاد که این کلید به چه دردی می‌خوره ! من برای چک کردن اینکه این کلید معتبر هست یا نه و اینکه چه کارهایی میشه با این API Key کرد، از ابزار KeyHacks استفاده کردم ( این ابزار رو میتونید از این لینک دانلود کنید). از این ابزار هم توی تست اپلیکیشن‌های موبایل می‌تونید استفاده کنید و هم توی تست وب اپلیکیشن‌ها. در نهایت به خروجی زیر رسیدم:

البته عبارتی که مشاهده می‌کنیم، Response مطلوب ما نیست و شاید فکر کنید به همین زودی به بن‌بست رسیدیم. به طور قطع محدودیتی که در این لایه وجود داره، به درخواست ارسالی ما به سرور مربوط می‌شه. یعنی محدودیتی که روی IP ما به وجود آوردن. خب تو این مرحله من با استفاده از headerهای مختلفی که وجود داشت، سعی کردم این محدودیت IP رو دور بزنم ولی موفق نبودم. فکر دیگه ای که به نظرم رسید این بود که ممکنه نیاز به یکسری Headers در درخواست باشه و با اضافه کردنش بتونیم از این محدودیت بگذریم و سمت سرور احراز هویت بشیم. در این مرحله در کد جاوای دیکامپایل شده غرق شدم و با دقت به دنبال رشته‌هایی که در ابتدا از عبارت X-something استفاده کردند، گشتم. همون‌طور که تو شکل زیر می‌بینید در نتیجه‌ی این بررسی، به جواب خوبی رسیدم.

با بررسی کد این اپلیکیشن، مطابق شکل بالا مشخص شد که دو header به نام‌های X-Android-Cert و X-Android-Package در همان درخواست ارسال می‌شوند. پس ما تونستیم تو این مرحله ساختار درخواست ارسالی به سمت سرور رو پیدا کنیم. الان تنها باید مقادیر این هدر ها رو بدرستی کنیم. در فیلد X-Android-Cert باید hash گواهینامه اپلیکیشن رو قرار بدیم. این مورد رو از کجا پیدا کنیم؟ کار سختی نیست، فقط باید محتوای فایل CERT.RSA در پوشه‌ی /META-INF رو مثل شکل زیر، به وسیله‌ی ابزار keytool استخراج کنید.

هدر دوم هم، همون‌طور که از اسمش مشخصه، package name اپلیکیشن رو باید وارد کنیم. یعنی قالبی مثل com.something.app که در فایل AndroidManifest.xml وجود داره.

بعد از ارسال دوباره درخواست با ساختار جدید، بلاخره response معتبر برام ارسال شد و از قضا پنل وبی بود که همه اطلاعات مربوط به session های کاربر توش ذخیره شده بود. در نهایت بعد از گزارش این آسیب پذیری موفق شدم  450 دلار بانتی بگیرم.