بررسی نشت داده‌های حساس در نسخه پشتیبان اندروید

در این مقاله به ویژگی گرفتن نسخه پشتیبان اتوماتیک می‌پردازیم. نگرانی اصلی در مورد اینکه آیا داده‌های حساس کاربر ممکن است در فرایند تهیه نسخه پشتیبان افشا گردند؟

در مقالات اول، دوم و سوم به تحلیل آسیب‌پذیری‌های موبایل که در گروه آسیب پذیری M2:Insecure Data Storage قرار می گیرند پرداختیم در این مقاله نیز مورد دیگری را اضافه خواهیم کرد: تست نسخه پشتیبان برای داده های حساس و مهم.

مرور

مانند سایر سیستم عامل های موبایل، اندروید ویژگی گرفتن نسخه پشتیبان اتوماتیک را ارایه می‌دهد. نسخه پشتیبان معمولا شامل کپی از داده‌ها و تنظیمات برنامه‌های نصب شده می‌باشد. نگرانی اصلی در مورد اینکه آیا داده‌های حساس کاربر ممکن است در فرایند تهیه نسخه پشتیبان افشا گردند؟

اندروید با توجه به اکوسیستم گسترده‌اش راه‌کارهای زیادی را پشتیبانی می‌کند:

  • اندروید دارای ویژگی تهیه نسخه پشتیبان به کمک USB می‌باشد. هنگامیکه USB debugging  فعال می‌باشد، شما می‌توانید با دستور adb backup برای تهیه نسخه‌های پشتیبان تمام اطلاعات و نسخه‌های پشتیبان اطلاعات دایرکتوری نرم‌افزار استفاده کنید.
  • گوگل یک ویژگی “Back Up My Data”  فراهم می‌کند که از کلیه داده‌های برنامه روی سرورهای گوگل نسخه پشتیبان تهیه می‌کند.
  • دو API نسخه پشتیبان برای توسعه دهندگان نرم‌افزارها در دسترس می‌باشد
    • Key/Value Backup: (Backup API or Android Backup Service) در سرویس شبکه ابری نسخه پشتیبان اندروید را آپلود می‌کند.
    • Auto Backup: برای اندروید های ۶ به بالا (و API 23 به بالا) گوگل ویژگی “Auto Backup for Apps feature.” را اضافه کرده است. این ویژگی به طور اتوماتیک حداکثر ۲۵ مگابایت از داده‌های برنامه‌های کاربردی را با اکانت کاربر در Google Drive هم‌گام می‌کند.

تحلیل ایستا

محلی

اندروید یک مشخصه به نام allowBackup را برای تهیه نسخه پشتیبان داده‌های برنامه ایجاد می‌کند. این مشخصه در فایل AndroidManifest.xml تنظیم می‌شود. اگر مقدار این مشخصه true باشد، دستگاه به کاربران اجازه می‌دهد با ADB از طریق دستور $ adb backup از داده های برنامه نسخه پشتیبان تهیه کنند.

جهت جلوگیری ایجاد نسخه پشتیبان از اطلاعات برنامه ویژگی android:allowBackup را برابر false قرار داده شود. وقتی این ویژگی در دسترس نباشد، تنظیمات allowBackup به صورت پیش‌فرض فعال می‌شود و گزینه تهیه نسخه پشتبان باید به صورت دستی غیرفعال شود.

بنابراین در فایل AndroidManifest.xml فلگ زیر را بررسی کنید:

android:allowBackup="true"

اگر مقدار فلگ true بود بررسی کنید آیا برنامه کاربردی مورد نظر هر نوع داده حساسی را ذخیره می‌کند.

شبکه ابری Cloud

بدون توجه به اینکه آیا شما از کدام یک از موارد (key/value backup or auto backup) در برنامه استفاده می‌کنید، موارد زیر باید مشخص گردد:

  • کدام فایل‌ها به شبکه ابری فرستاده می‌شود: (Shared Preferences)
  • آیا فایل‌ها شامل اطلاعات حساس هستند؟
  • آیا اطلاعات حساس قبل از ارسال به شبکه ابری رمزگذاری شده‌اند؟

نکته: اگر نمی‌خواهید فایل‌ها را با Google Cloud به اشتراک بگذارید، می‌توانید آن‌ها را از حالت Auto Backup خارج کنید. اطلاعات حساس ذخیره شده در دستگاه باید قبل از ارسال به شبکه ابری رمز گذاری شوند.

  • Auto Backup از طریق مقدار بولین android:allowBackup درون فایل manifest برنامه تنظیم می‌شود. Auto Backup به صورت پیش فرض بر روی اندروید ۶ به بالا فعال می‌باشد. شما می‌توانید مشخصه android:fullBackupOnly را برای فعال سازی auto backup زمانیکه یک پشتیبان گیری را پیاده سازی می‌کنید به کار ببرید. اما در نظر داشته باشید این ویژگی هم برای اندروید ۶ به بالا در دسترس می‌باشد. دیگر نسخه‌های اندروید از ویژگی نسخه پشتیبان key/value استفاده می‌کنند.

Auto backup تقریبا شامل تمام فایل‌های برنامه می‌شود و برای هر برنامه کاربردی تقریبا ۲۵ مگابایت از فایل‌های آن‌ها را در اکانت Google Drive ذخیره می‌کند و آخرین نسخه‌های پشتیبان ذخیره می‌شود و نسخه‌های قبلی‌ها حذف می‌گردند.

  • Key/Value Backup: جهت فعال کردن این ویژگی، شما باید یک backup agent در فایل manifest تعریف کنید. در فایل AndroidManifest.xml مشخصه زیر را بررسی کنید
android:backupAgent

جهت پیاده‌سازی key/value backup یکی از کلاس‌های زیر را توسعه دهید:

برای چک کردن پیاده‌سازی key/value backup  این کلاس‌ها را در سورس کد بررسی کنید.

تحلیل پویا

بعد از تست و اجرای تمامی توابع در دسترس برنامه کاربردی، تلاش کنید تا با adb نسخه پشتیبان بگیرید. اگر ایجاد نسخه پشتیبان موفق بود، آرشیو نسخه پشتیبان را برای داده‌های حساس بررسی کنید. یک ترمینال باز کنید و دستور زیر را اجرا کنید:

$ adb backup -apk -nosystem <package-name>

در پاسخ این دستور پسوورد دستگاه اندروید سوال می شود که امری غیرالزامی است. در صورت عدم موفقیت از دستور زیر استفاده نمایید. مشکل به دلیل نسخه adb می باشد.

$ adb backup "-apk -nosystem <package-name>"

سپس ایجاد نسخه پشتیبان از روی دستگاه تان را با انتخاب “ Back up my data”  تایید کنید و بعد از اتمام  فرآیند پشتیبان گیری فایل .ab در دایرکتوری شما خواهد بود. دستور زیر را جهت تبدیل فایل .ab به .tar استفاده کنید:

$ dd if=mybackup.ab bs=24 skip=1|openssl zlib -d > mybackup.tar

در این دستور ممکن است  شما خطای openssl:Error: ‘zlib’ که دستور نامعتبر است را بگیرید. شما می توانید به جای آن از پایتون استفاده کنید.

dd if=backup.ab bs=1 skip=24 | python -c "import zlib,sys;sys.stdout.write(zlib.decompress(sys.stdin.read()))" > backup.tar

Android Backup Extractor یکی دیگر از ابزارهای نسخه پشتیبان می‌باشد که با jre7  یا jre8 اجرا می شود.

$ java -jar abe.jar unpack backup.ab

و بادستور زیر هم فایل .tar را استخراج کنید و بررسی وجود اطلاعات حساس بر روی فایل پشتیبان را می توانید انجام دهید.

$ tar xvf mybackup.tar

آموزش ویدیویی در مورد تحلیل انجام شده برنامه موبایل همانطور که در بالا ارایه شده از دو دیدگاه ایستا و دینامیک را می‌توانید مشاهده نمایید.

منابع

راهنمای امنیتی تست موبایل  OWASP.

در صورت تمایل به اشتراگ بگذارید