iOS Pentesting
Last updated
Last updated
Koristite Trickest za lako kreiranje i automatizaciju radnih tokova pokretanih najnaprednijim alatima zajednice na svetu. Pribavite pristup danas:
Na ovoj stranici možete pronaći informacije o iOS simulatoru, emulatorima i jailbreak-u:
Tokom testiranja biće predložene nekoliko operacija (povezivanje sa uređajem, čitanje/pisanje/otpremanje/preuzimanje datoteka, korišćenje nekih alata...). Stoga, ako ne znate kako da izvršite neku od ovih radnji, molimo vas da počnete da čitate stranicu:
Za sledeće korake aplikacija treba da bude instalirana na uređaju i treba da je već dobila IPA datoteku aplikacije. Pročitajte stranicu Osnovne iOS Testne Operacije da biste naučili kako to da uradite.
Preporučuje se korišćenje alata MobSF za automatsku statičku analizu IPA datoteke.
Identifikacija zaštita prisutnih u binarnom kodu:
PIE (Position Independent Executable): Kada je omogućeno, aplikacija se učitava na nasumičnu adresu u memoriji svaki put kada se pokrene, što otežava predviđanje njene početne adrese u memoriji.
Stack Canaries: Da bi se proverila integritet steka, ‘kanarin’ vrednost se postavlja na stek pre pozivanja funkcije i ponovo se proverava kada funkcija završi.
ARC (Automatic Reference Counting): Da bi se sprečili uobičajeni problemi sa oštećenjem memorije
Enkriptovana Binarna Datoteka: Binarna datoteka treba da bude enkriptovana
Identifikacija Osetljivih/Neosiguranih Funkcija
Slabi Hashing Algoritmi
Neosigurane Nasumične Funkcije
Neosigurana ‘Malloc’ Funkcija
Neosigurane i Ranjive Funkcije
Pogledajte dinamičku analizu koju vrši MobSF. Moraćete da se krećete kroz različite prikaze i interagujete sa njima, ali će se povezivati sa nekoliko klasa dok radite druge stvari i pripremiće izveštaj kada završite.
Koristite komandu frida-ps -Uai
da odredite bundle identifier instaliranih aplikacija:
Naučite kako da enumerate the components of the application i kako lako da hook methods and classes sa objection:
Struktura IPA datoteke je suštinski kao zipped package. Preimenovanjem ekstenzije u .zip
, može se dekompresovati da bi se otkrio njen sadržaj. Unutar ove strukture, Bundle predstavlja potpuno upakovanu aplikaciju spremnu za instalaciju. Unutra, naći ćete direktorijum nazvan <NAME>.app
, koji obuhvata resurse aplikacije.
Info.plist
: Ova datoteka sadrži specifične konfiguracione detalje aplikacije.
_CodeSignature/
: Ovaj direktorijum uključuje plist datoteku koja sadrži potpis, osiguravajući integritet svih datoteka u paketu.
Assets.car
: Kompresovana arhiva koja čuva datoteke resursa poput ikona.
Frameworks/
: Ova fascikla sadrži nativne biblioteke aplikacije, koje mogu biti u obliku .dylib
ili .framework
datoteka.
PlugIns/
: Ovo može uključivati ekstenzije aplikacije, poznate kao .appex
datoteke, iako nisu uvek prisutne. * Core Data
: Koristi se za čuvanje trajnih podataka vaše aplikacije za offline korišćenje, za keširanje privremenih podataka i za dodavanje funkcionalnosti poništavanja u vašu aplikaciju na jednom uređaju. Da bi se podaci sinhronizovali između više uređaja u jednom iCloud nalogu, Core Data automatski odražava vašu šemu u CloudKit kontejneru.
PkgInfo
: Datoteka PkgInfo
je alternativni način za određivanje tipa i kodova kreatora vaše aplikacije ili paketa.
en.lproj, fr.proj, Base.lproj: Su paketi jezika koji sadrže resurse za te specifične jezike, i podrazumevani resurs u slučaju da je jezik nije podržan.
Sigurnost: Direktorijum _CodeSignature/
igra ključnu ulogu u sigurnosti aplikacije verifikovanjem integriteta svih datoteka u paketu putem digitalnih potpisa.
Upravljanje Resursima: Datoteka Assets.car
koristi kompresiju za efikasno upravljanje grafičkim resursima, što je ključno za optimizaciju performansi aplikacije i smanjenje njene ukupne veličine.
Frameworks i PlugIns: Ovi direktorijumi naglašavaju modularnost iOS aplikacija, omogućavajući programerima da uključe ponovo upotrebljive biblioteke koda (Frameworks/
) i prošire funkcionalnost aplikacije (PlugIns/
).
Lokalizacija: Struktura podržava više jezika, olakšavajući globalni doseg aplikacije uključivanjem resursa za specifične jezičke pakete.
Info.plist
Info.plist služi kao kamen temeljac za iOS aplikacije, obuhvatajući ključne konfiguracione podatke u obliku key-value parova. Ova datoteka je neophodna ne samo za aplikacije već i za ekstenzije aplikacija i frameworke koji su upakovani unutar. Struktuirana je u XML ili binarnom formatu i sadrži kritične informacije koje se kreću od dozvola aplikacije do sigurnosnih konfiguracija. Za detaljno istraživanje dostupnih ključeva, možete se obratiti Apple Developer Documentation.
Za one koji žele da rade sa ovom datotekom u pristupačnijem formatu, konverzija u XML može se lako postići korišćenjem plutil
na macOS-u (dostupno nativno na verzijama 10.2 i novijim) ili plistutil
na Linuxu. Komande za konverziju su sledeće:
Za macOS:
Za Linux:
Među bezbrojnim informacijama koje Info.plist datoteka može otkriti, značajni unosi uključuju stringove dozvola aplikacije (UsageDescription
), prilagođene URL sheme (CFBundleURLTypes
), i konfiguracije za App Transport Security (NSAppTransportSecurity
). Ovi unosi, zajedno sa drugim poput eksportovanih/importovanih prilagođenih tipova dokumenata (UTExportedTypeDeclarations
/ UTImportedTypeDeclarations
), mogu se lako pronaći pregledanjem datoteke ili korišćenjem jednostavne grep
komande:
Data Paths
U iOS okruženju, direktorijumi su posebno dodeljeni za sistemske aplikacije i aplikacije instalirane od strane korisnika. Sistemske aplikacije se nalaze u direktorijumu /Applications
, dok se aplikacije instalirane od strane korisnika nalaze pod /var/mobile/containers/Data/Application/
. Ove aplikacije imaju jedinstveni identifikator poznat kao 128-bit UUID, što otežava ručno lociranje fascikle aplikacije zbog nasumičnosti imena direktorijuma.
Kako aplikacije u iOS moraju biti u sandbox-u, svaka aplikacija će takođe imati fasciklu unutar $HOME/Library/Containers
sa CFBundleIdentifier
aplikacije kao naziv fascikle.
Međutim, obe fascikle (fascikle podataka i kontejnera) imaju datoteku .com.apple.mobile_container_manager.metadata.plist
koja povezuje obe datoteke u ključnoj MCMetadataIdentifier
).
Da bi se olakšalo otkrivanje direktorijuma instalacije aplikacije instalirane od strane korisnika, objection alat pruža korisnu komandu, env
. Ova komanda otkriva detaljne informacije o direktorijumu za dotičnu aplikaciju. Ispod je primer kako koristiti ovu komandu:
Alternativno, ime aplikacije može se pretraživati unutar /private/var/containers
koristeći find
komandu:
Komande kao što su ps
i lsof
se takođe mogu koristiti za identifikaciju procesa aplikacije i listanje otvorenih fajlova, redom, pružajući uvide u aktivne putanje direktorijuma aplikacije:
Bundle directory:
AppName.app
Ovo je Application Bundle kao što je viđeno ranije u IPA, sadrži osnovne podatke aplikacije, statički sadržaj kao i kompajlirani binarni fajl aplikacije.
Ova direktorija je vidljiva korisnicima, ali korisnici ne mogu pisati u nju.
Sadržaj u ovoj direktoriji nije backup-ovan.
Sadržaj ove fascikle se koristi za validaciju potpisa koda.
Data directory:
Documents/
Sadrži sve podatke koje generišu korisnici. Krajnji korisnik aplikacije pokreće kreiranje ovih podataka.
Vidljiva korisnicima i korisnici mogu pisati u nju.
Sadržaj u ovoj direktoriji je backup-ovan.
Aplikacija može onemogućiti putanje postavljanjem NSURLIsExcludedFromBackupKey
.
Library/
Sadrži sve fajlove koji nisu specifični za korisnika, kao što su kešovi, preferencije, kolačići, i konfiguracione datoteke sa listom svojstava (plist).
iOS aplikacije obično koriste poddirektorijume Application Support
i Caches
, ali aplikacija može kreirati prilagođene poddirektorijume.
Library/Caches/
Sadrži polu-permanentne keširane fajlove.
Nevidljiva korisnicima i korisnici ne mogu pisati u nju.
Sadržaj u ovoj direktoriji nije backup-ovan.
OS može automatski obrisati fajlove iz ove direktorije kada aplikacija nije pokrenuta i kada je prostor za skladištenje nizak.
Library/Application Support/
Sadrži permanentne fajlove neophodne za rad aplikacije.
Nevidljiva korisnicima i korisnici ne mogu pisati u nju.
Sadržaj u ovoj direktoriji je backup-ovan.
Aplikacija može onemogućiti putanje postavljanjem NSURLIsExcludedFromBackupKey
.
Library/Preferences/
Koristi se za čuvanje svojstava koja mogu ostati čak i nakon ponovnog pokretanja aplikacije.
Informacije se čuvaju, nešifrovane, unutar sandbox-a aplikacije u plist datoteci nazvanoj [BUNDLE_ID].plist.
Svi parovi ključ/vrednost sačuvani koristeći NSUserDefaults
mogu se naći u ovoj datoteci.
tmp/
Koristite ovu direktoriju za pisanje privremenih fajlova koji ne moraju da opstanu između pokretanja aplikacije.
Sadrži nepermanentne keširane fajlove.
Nevidljiva korisnicima.
Sadržaj u ovoj direktoriji nije backup-ovan.
OS može automatski obrisati fajlove iz ove direktorije kada aplikacija nije pokrenuta i kada je prostor za skladištenje nizak.
Pogledajmo bliže Application Bundle (.app) direktoriju iGoat-Swift unutar Bundle direktorije (/var/containers/Bundle/Application/3ADAF47D-A734-49FA-B274-FBCA66589E67/iGoat-Swift.app
):
Unutar <application-name>.app
fascikle naći ćete binarni fajl pod nazivom <application-name>
. Ovo je fajl koji će biti izvršen. Možete izvršiti osnovnu inspekciju binarnog fajla pomoću alata otool
:
Proverite da li je aplikacija enkriptovana
Pogledajte da li ima nekog izlaza za:
Rastavljanje binarnog koda
Rastavite tekstualni deo:
Da bi se odštampao Objective-C segment uzorka aplikacije, može se koristiti:
Da biste dobili kompaktiniji Objective-C kod, možete koristiti class-dump:
Međutim, najbolje opcije za dekompilaciju binarnog koda su: Hopper i IDA.
Koristite Trickest za lako kreiranje i automatizaciju radnih tokova pokretanih najnaprednijim alatima zajednice. Pribavite pristup danas:
Da biste saznali kako iOS skladišti podatke na uređaju, pročitajte ovu stranicu:
Sledeća mesta za skladištenje informacija treba proveriti odmah nakon instalacije aplikacije, nakon provere svih funkcionalnosti aplikacije i čak nakon odjave jednog korisnika i prijave drugog. Cilj je pronaći nezaštićene osetljive informacije aplikacije (lozinke, tokeni), trenutnog korisnika i prethodno prijavljenih korisnika.
plist datoteke su strukturirane XML datoteke koje sadrže parove ključ-vrednost. To je način za skladištenje trajnih podataka, tako da ponekad možete pronaći osetljive informacije u ovim datotekama. Preporučuje se da proverite ove datoteke nakon instalacije aplikacije i nakon intenzivnog korišćenja da vidite da li su novi podaci zapisani.
Najčešći način za trajno skladištenje podataka u plist datotekama je korišćenjem NSUserDefaults. Ova plist datoteka se čuva unutar sandbox-a aplikacije u Library/Preferences/<appBundleID>.plist
Klasa NSUserDefaults
pruža programski interfejs za interakciju sa podrazumevanim sistemom. Podrazumevani sistem omogućava aplikaciji da prilagodi svoje ponašanje prema preferencama korisnika. Podaci sačuvani pomoću NSUserDefaults
mogu se pregledati u paketu aplikacije. Ova klasa skladišti podatke u plist datoteci, ali je namenjena za korišćenje sa malim količinama podataka.
Ovi podaci više ne mogu biti direktno dostupni putem pouzdanog računara, ali se mogu pristupiti izvođenjem rezervne kopije.
Možete izvući informacije sačuvane korišćenjem NSUserDefaults
koristeći objection-ov ios nsuserdefaults get
Da biste pronašli sve plist datoteke koje koristi aplikacija, možete pristupiti /private/var/mobile/Containers/Data/Application/{APPID}
i pokrenuti:
Da biste konvertovali datoteke iz XML ili binarnog (bplist) formata u XML, dostupne su različite metode u zavisnosti od vašeg operativnog sistema:
Za korisnike macOS-a: Iskoristite plutil
komandu. To je ugrađeni alat u macOS-u (10.2+), dizajniran za ovu svrhu:
Za korisnike Linux-a: Prvo instalirajte libplist-utils
, a zatim koristite plistutil
da konvertujete vaš fajl:
Unutar Objection sesije: Za analizu mobilnih aplikacija, specifična komanda omogućava direktno konvertovanje plist fajlova:
Core Data
je okvir za upravljanje model slojem objekata u vašoj aplikaciji. Core Data može koristiti SQLite kao svoj trajni skladište, ali sam okvir nije baza podataka.
CoreData ne enkriptuje svoje podatke po defaultu. Međutim, dodatni sloj enkripcije može se dodati CoreData. Pogledajte GitHub Repo za više detalja.
Možete pronaći informacije o SQLite Core Data aplikacije na putanji /private/var/mobile/Containers/Data/Application/{APPID}/Library/Application Support
Ako možete otvoriti SQLite i pristupiti osetljivim informacijama, onda ste pronašli pogrešnu konfiguraciju.
YapDatabase je skladište ključ/vrednost izgrađeno na vrhu SQLite-a. Pošto su Yap baze sqlite baze, možete ih pronaći koristeći predloženu komandu u prethodnom odeljku.
Uobičajeno je da aplikacije kreiraju svoje vlastite sqlite baze. Mogu čuvati osetljive podatke na njima i ostaviti ih nešifrovane. Stoga, uvek je zanimljivo proveriti svaku bazu unutar direktorijuma aplikacija. Stoga idite u direktorijum aplikacije gde su podaci sačuvani (/private/var/mobile/Containers/Data/Application/{APPID}
)
Razvijači mogu čuvati i sinhronizovati podatke unutar NoSQL cloud-hosted baze podataka putem Firebase Real-Time Databases. Podaci se čuvaju u JSON formatu i sinhronizuju se svim povezanim klijentima u realnom vremenu.
Možete pronaći kako da proverite pogrešno konfigurisane Firebase baze podataka ovde:
Realm Objective-C i Realm Swift nude moćnu alternativu za čuvanje podataka, koju Apple ne pruža. Po defaultu, čuvaju podatke nešifrovane, a šifrovanje je dostupno kroz specifičnu konfiguraciju.
Baze podataka se nalaze na: /private/var/mobile/Containers/Data/Application/{APPID}
. Da biste istražili ove datoteke, možete koristiti komande kao:
Za pregled ovih datoteka baze podataka, preporučuje se alat Realm Studio.
Za implementaciju enkripcije unutar Realm baze podataka, može se koristiti sledeći kod:
Couchbase Lite se opisuje kao lagani i ugrađeni sistem za upravljanje bazama podataka koji prati orijentisani na dokumente (NoSQL) pristup. Dizajniran da bude nativan za iOS i macOS, nudi mogućnost besprekornog sinhronizovanja podataka.
Da bi se identifikovale potencijalne Couchbase baze podataka na uređaju, sledeći direktorijum treba pregledati:
iOS čuva kolačiće aplikacija u Library/Cookies/cookies.binarycookies
unutar svake aplikacione fascikle. Međutim, programeri ponekad odluče da ih sačuvaju u keychain jer se pomenuti kolačić fajl može pristupiti u rezervnim kopijama.
Da biste pregledali kolačić fajl, možete koristiti ovaj python skript ili koristiti objection-ov ios cookies get
.
Takođe možete koristiti objection da konvertujete ove fajlove u JSON format i pregledate podatke.
Podrazumevano, NSURLSession čuva podatke, kao što su HTTP zahtevi i odgovori u Cache.db bazi podataka. Ova baza podataka može sadržati osetljive podatke, ako su tokeni, korisnička imena ili bilo koje druge osjetljive informacije keširane. Da biste pronašli keširane informacije, otvorite direktorijum podataka aplikacije (/var/mobile/Containers/Data/Application/<UUID>
) i idite na /Library/Caches/<Bundle Identifier>
. WebKit keš se takođe čuva u Cache.db datoteci. Objection može otvoriti i interagovati sa bazom podataka pomoću komande sqlite connect Cache.db
, jer je to normalna SQLite baza podataka.
Preporučuje se onemogućavanje keširanja ovih podataka, jer može sadržati osjetljive informacije u zahtevu ili odgovoru. Sledeća lista prikazuje različite načine za postizanje ovoga:
Preporučuje se uklanjanje keširanih odgovora nakon odjave. To se može uraditi pomoću metode koju je pružio Apple pod nazivom removeAllCachedResponses
. Možete pozvati ovu metodu na sledeći način:
URLCache.shared.removeAllCachedResponses()
Ova metoda će ukloniti sve keširane zahteve i odgovore iz Cache.db datoteke. 2. Ako ne trebate koristiti prednost kolačića, preporučuje se da jednostavno koristite .ephemeral konfiguracionu osobinu URLSession-a, koja će onemogućiti čuvanje kolačića i keševa.
Objekat konfiguracije ephemerne sesije je sličan podrazumevanoj konfiguraciji sesije (vidi podrazumevano), osim što odgovarajući objekat sesije ne čuva keševe, skladišta akreditiva ili bilo koje podatke povezane sa sesijom na disku. Umesto toga, podaci povezani sa sesijom se čuvaju u RAM-u. Jedini put kada ephemerna sesija zapisuje podatke na disk je kada joj kažete da zapiše sadržaj URL-a u datoteku.
3. Keš se takođe može onemogućiti postavljanjem politike keširanja na .notAllowed. To će onemogućiti čuvanje keša na bilo koji način, bilo u memoriji ili na disku.
Kad god pritisnete dugme za početnu stranu, iOS uzima snimak trenutnog ekrana kako bi mogao da izvrši prelaz na aplikaciju na mnogo glatkiji način. Međutim, ako su osetljivi podatci prisutni na trenutnom ekranu, biće sačuvani u sliki (koja ostaje i nakon ponovnog pokretanja). Ovo su snimci koje možete takođe pristupiti dvostrukim dodirom na početnom ekranu da biste prešli između aplikacija.
Osim ako iPhone nije jailbreak-ovan, napadač treba da ima pristup uređaju otključanom da bi video ove snimke ekrana. Podrazumevano, poslednji snimak se čuva u sandbox-u aplikacije u Library/Caches/Snapshots/
ili Library/SplashBoard/Snapshots
folderu (pouzdani računari ne mogu pristupiti datotečnom sistemu od iOX 7.0).
Jedan od načina da se spreči ovo loše ponašanje je da se stavi prazan ekran ili ukloni osjetljivi podatak pre nego što se uzme snimak koristeći funkciju ApplicationDidEnterBackground()
.
Sledeći je primer metode za otklanjanje problema koja će postaviti podrazumevani snimak ekrana.
Swift:
Objective-C:
Ovo postavlja pozadinsku sliku na overlayImage.png
kada je aplikacija u pozadini. Sprečava curenje osetljivih podataka jer će overlayImage.png
uvek zameniti trenutni prikaz.
Za pristup i upravljanje iOS keychain-om, dostupni su alati poput Keychain-Dumper, pogodnih za jailbroken uređaje. Pored toga, Objection pruža komandu ios keychain dump
za slične svrhe.
Klasa NSURLCredential je idealna za čuvanje osetljivih informacija direktno u keychain-u, zaobilazeći potrebu za NSUserDefaults ili drugim omotačima. Da bi se akreditivi sačuvali nakon prijave, koristi se sledeći Swift kod:
Da bi se izvukle ove sačuvane akreditive, koristi se Objectionova komanda ios nsurlcredentialstorage dump
.
Sa iOS 8.0 i novijim verzijama, korisnici mogu instalirati prilagođene ekstenzije tastature, koje se mogu upravljati pod Podešavanja > Opšte > Tastatura > Tastature. Iako ove tastature nude proširenu funkcionalnost, predstavljaju rizik od beleženja pritisaka tastera i slanja podataka na spoljne servere, iako su korisnici obavešteni o tastaturama koje zahtevaju pristup mreži. Aplikacije mogu, i treba, da ograniče korišćenje prilagođenih tastatura za unos osetljivih informacija.
Preporuke za Bezbednost:
Preporučuje se onemogućavanje tastatura trećih strana radi poboljšane bezbednosti.
Budite svesni funkcija automatskog ispravljanja i automatskih predloga podrazumevane iOS tastature, koje mogu sačuvati osetljive informacije u keš datotekama smeštenim u Library/Keyboard/{locale}-dynamic-text.dat
ili /private/var/mobile/Library/Keyboard/dynamic-text.dat
. Ove keš datoteke treba redovno proveravati na prisustvo osetljivih podataka. Preporučuje se resetovanje rečnika tastature putem Podešavanja > Opšte > Resetuj > Resetuj Rečnik Tastature radi brisanja keširanih podataka.
Presretanje mrežnog saobraćaja može otkriti da li prilagođena tastatura prenosi pritiske tastera na daljinu.
UITextInputTraits protokol nudi svojstva za upravljanje automatskim ispravljanjem i sigurnim unosom teksta, što je od suštinskog značaja za sprečavanje keširanja osetljivih informacija. Na primer, onemogućavanje automatskog ispravljanja i omogućavanje sigurnog unosa teksta može se postići sa:
Pored toga, programeri bi trebalo da osiguraju da tekstualna polja, posebno ona za unos osetljivih informacija kao što su lozinke i PIN-ovi, onemoguće keširanje postavljanjem autocorrectionType
na UITextAutocorrectionTypeNo
i secureTextEntry
na YES
.
Debugging code često uključuje korišćenje logging. Postoji rizik jer logovi mogu sadržati osetljive informacije. Prethodno, u iOS 6 i ranijim verzijama, logovi su bili dostupni svim aplikacijama, što je predstavljalo rizik od curenja osetljivih podataka. Sada, aplikacije su ograničene na pristup samo svojim logovima.
Uprkos ovim ograničenjima, napadač sa fizičkim pristupom otključanom uređaju može i dalje iskoristiti ovo povezivanjem uređaja na računar i čitajući logove. Važno je napomenuti da logovi ostaju na disku čak i nakon deinstalacije aplikacije.
Da bi se smanjili rizici, savetuje se da se temeljno interaguje sa aplikacijom, istražujući sve njene funkcionalnosti i unose kako bi se osiguralo da se nijedna osetljiva informacija ne beleži nenamerno.
Kada pregledate izvorni kod aplikacije za potencijalne curenja, tražite i predefinisane i prilagođene logovanje izjave koristeći ključne reči kao što su NSLog
, NSAssert
, NSCAssert
, fprintf
za ugrađene funkcije, i sve pominjanja Logging
ili Logfile
za prilagođene implementacije.
Aplikacije beleže razne informacije koje mogu biti osetljive. Da biste pratili ove logove, alati i komande kao što su:
su korisni. Pored toga, Xcode pruža način za prikupljanje konzolnih logova:
Otvorite Xcode.
Povežite iOS uređaj.
Idite na Window -> Devices and Simulators.
Izaberite svoj uređaj.
Aktivirajte problem koji istražujete.
Koristite dugme Open Console da biste pregledali logove u novom prozoru.
Za naprednije logovanje, povezivanje sa shell-om uređaja i korišćenje socat može pružiti praćenje logova u realnom vremenu:
Slede komande za posmatranje aktivnosti logova, što može biti neprocenjivo za dijagnostikovanje problema ili identifikovanje potencijalnog curenja podataka u logovima.
Koristite Trickest za lako kreiranje i automatizaciju radnih tokova pokretanih najnaprednijim alatima zajednice na svetu. Pribavite pristup danas:
Funkcije automatskog bekapa su integrisane u iOS, olakšavajući kreiranje kopija podataka uređaja putem iTunes (do macOS Catalina), Finder (od macOS Catalina nadalje) ili iCloud. Ovi bekapovi obuhvataju skoro sve podatke uređaja, osim veoma osetljivih elemenata kao što su detalji o Apple Pay-u i konfiguracije Touch ID-a.
Uključivanje instaliranih aplikacija i njihovih podataka u bekapove postavlja pitanje potencijalnog curenja podataka i rizika da modifikacije bekapa mogu promeniti funkcionalnost aplikacije. Preporučuje se da ne čuvate osetljive informacije u običnom tekstu unutar bilo kog direktorijuma aplikacije ili njenih poddirektorijuma kako biste umanjili ove rizike.
Fajlovi u Documents/
i Library/Application Support/
se po defaultu bekapuju. Programeri mogu isključiti specifične fajlove ili direktorijume iz bekapa koristeći NSURL setResourceValue:forKey:error:
sa NSURLIsExcludedFromBackupKey
. Ova praksa je ključna za zaštitu osetljivih podataka od uključivanja u bekapove.
Da biste procenili bezbednost bekapa aplikacije, počnite tako što ćete napraviti bekap koristeći Finder, a zatim ga locirajte koristeći uputstva iz Apple-ove zvanične dokumentacije. Analizirajte bekap za osetljive podatke ili konfiguracije koje bi mogle biti promenjene da utiču na ponašanje aplikacije.
Osetljive informacije se mogu tražiti koristeći alate komandne linije ili aplikacije poput iMazing. Za enkriptovane bekapove, prisustvo enkripcije može se potvrditi proverom ključa "IsEncrypted" u "Manifest.plist" fajlu na korenu bekapa.
Za rad sa enkriptovanim bekapima, Python skripte dostupne u DinoSec-ovom GitHub repozitorijumu, kao što su backup_tool.py i backup_passwd.py, mogu biti korisne, iako potencijalno zahtevaju prilagođavanje za kompatibilnost sa najnovijim verzijama iTunes/Finder-a. iOSbackup alat je još jedna opcija za pristup datotekama unutar bekapa zaštićenih lozinkom.
Primer promene ponašanja aplikacije kroz modifikacije bekapa prikazan je u Bither bitcoin novčaniku, gde je PIN za zaključavanje UI-a sačuvan unutar net.bither.plist
pod ključem pin_code. Uklanjanjem ovog ključa iz plist-a i vraćanjem bekapa uklanja se zahtev za PIN-om, omogućavajući neograničen pristup.
Kada se radi sa osetljivim informacijama sačuvanim u memoriji aplikacije, ključno je ograničiti vreme izlaganja ovih podataka. Postoje dva osnovna pristupa za istraživanje sadržaja memorije: kreiranje dump-a memorije i analiza memorije u realnom vremenu. Oba metoda imaju svoje izazove, uključujući potencijal da se propuste kritični podaci tokom procesa dump-a ili analize.
Za uređaje sa i bez jailbreak-a, alati kao što su objection i Fridump omogućavaju dump-ovanje memorije procesa aplikacije. Kada se dump-uje, analiza ovih podataka zahteva različite alate, u zavisnosti od prirode informacija koje tražite.
Da biste izvukli stringove iz dump-a memorije, mogu se koristiti komande kao što su strings
ili rabin2 -zz
:
Za detaljniju analizu, uključujući pretragu specifičnih tipova podataka ili obrazaca, radare2 nudi opsežne mogućnosti pretrage:
r2frida pruža moćnu alternativu za inspekciju memorije aplikacije u realnom vremenu, bez potrebe za dump-om memorije. Ovaj alat omogućava izvršavanje komandi pretrage direktno na memoriji pokrenute aplikacije:
Neki programeri čuvaju osetljive podatke u lokalnoj memoriji i šifruju ih ključem koji je hardkodiran/predvidljiv u kodu. To ne bi trebalo da se radi jer bi neki proces obrnute inženjeringa mogao omogućiti napadačima da izvuku poverljive informacije.
Programeri ne bi trebali koristiti zastarele algoritme za obavljanje provera autorizacije, čuvanje ili slanje podataka. Neki od ovih algoritama su: RC4, MD4, MD5, SHA1... Ako se hash koriste za čuvanje lozinki, na primer, trebali bi se koristiti hash-ovi otporni na brute-force sa solju.
Glavne provere koje treba izvršiti su da se utvrdi da li možete pronaći hardkodirane lozinke/tajne u kodu, ili da li su one predvidljive, i da li kod koristi neku vrstu slabih kriptografskih algoritama.
Zanimljivo je znati da možete pratiti neke kriptografske biblioteke automatski koristeći objection sa:
Za više informacija o iOS kriptografskim API-ima i bibliotekama, posetite https://mobile-security.gitbook.io/mobile-security-testing-guide/ios-testing-guide/0x06e-testing-cryptography
Lokalna autentifikacija igra ključnu ulogu, posebno kada je u pitanju zaštita pristupa na udaljenom kraju putem kriptografskih metoda. Suština je da bez pravilne implementacije, mehanizmi lokalne autentifikacije mogu biti zaobiđeni.
Apple-ov Local Authentication framework i keychain pružaju robusne API-je za programere kako bi olakšali dijaloge za autentifikaciju korisnika i sigurno upravljali tajnim podacima, redom. Secure Enclave osigurava ID otiska prsta za Touch ID, dok Face ID zavisi od prepoznavanja lica bez kompromitovanja biometrijskih podataka.
Da bi integrisali Touch ID/Face ID, programeri imaju dva izbora API-ja:
LocalAuthentication.framework
za visoko-nivo korisničku autentifikaciju bez pristupa biometrijskim podacima.
Security.framework
za pristup uslugama keychain-a na nižem nivou, osiguravajući tajne podatke biometrijskom autentifikacijom. Različiti open-source wrapper-i olakšavaju pristup keychain-u.
Međutim, i LocalAuthentication.framework
i Security.framework
predstavljaju ranjivosti, jer prvenstveno vraćaju boolean vrednosti bez prenosa podataka za procese autentifikacije, što ih čini podložnim zaobilaženju (pogledajte Don't touch me that way, by David Lindner et al).
Da bi zatražili autentifikaciju od korisnika, programeri treba da koriste evaluatePolicy
metodu unutar LAContext
klase, birajući između:
deviceOwnerAuthentication
: Zahteva Touch ID ili lozinku uređaja, neuspešno ako nijedno nije omogućeno.
deviceOwnerAuthenticationWithBiometrics
: Isključivo zahteva Touch ID.
Uspešna autentifikacija se označava boolean povratnom vrednošću iz evaluatePolicy
, ističući potencijalnu sigurnosnu manu.
Implementacija lokalne autentifikacije u iOS aplikacijama uključuje korišćenje keychain API-ja za sigurno čuvanje tajnih podataka kao što su tokeni za autentifikaciju. Ovaj proces osigurava da podaci mogu biti pristupljeni samo od strane korisnika, koristeći njihovu lozinku uređaja ili biometrijsku autentifikaciju kao što je Touch ID.
Keychain nudi mogućnost postavljanja stavki sa SecAccessControl
atributom, koji ograničava pristup stavci dok korisnik uspešno ne autentifikuje putem Touch ID ili lozinke uređaja. Ova funkcija je ključna za poboljšanje sigurnosti.
Ispod su primeri koda u Swift-u i Objective-C-u koji prikazuju kako sačuvati i preuzeti string iz keychain-a, koristeći ove sigurnosne funkcije. Primeri posebno pokazuju kako postaviti kontrolu pristupa da zahteva Touch ID autentifikaciju i osigurati da su podaci dostupni samo na uređaju na kojem su postavljeni, pod uslovom da je lozinka uređaja konfigurisana.
Sada možemo zatražiti sačuvani predmet iz keychain-a. Usluge keychain-a će prikazati dijalog za autentifikaciju korisniku i vratiti podatke ili nil u zavisnosti od toga da li je pružen odgovarajući otisak prsta ili ne.
Korišćenje okvira u aplikaciji takođe se može otkriti analizom liste deljenih dinamičkih biblioteka binarnog fajla aplikacije. To se može uraditi korišćenjem otool
:
Ako se LocalAuthentication.framework
koristi u aplikaciji, izlaz će sadržati obe sledeće linije (zapamtite da LocalAuthentication.framework
koristi Security.framework
u pozadini):
Ako se koristi Security.framework
, biće prikazan samo drugi.
Kroz Objection Biometrics Bypass, koji se nalazi na ovoj GitHub stranici, dostupna je tehnika za prevazilaženje LocalAuthentication mehanizma. Suština ovog pristupa uključuje korišćenje Frida za manipulaciju funkcijom evaluatePolicy
, osiguravajući da ona dosledno daje True
rezultat, bez obzira na stvarni uspeh autentifikacije. Ovo je posebno korisno za zaobilaženje neispravnih procesa biometrijske autentifikacije.
Da bi se aktiviralo ovo zaobilaženje, koristi se sledeća komanda:
Ova komanda pokreće sekvencu u kojoj Objection registruje zadatak koji efikasno menja ishod evaluatePolicy
provere na True
.
Primer korišćenja evaluatePolicy
iz DVIA-v2 aplikacije:
Da bi se postigao bypass lokalne autentifikacije, napisan je Frida skript. Ova skripta cilja evaluatePolicy proveru, presrećući njen callback kako bi osigurala da vraća success=1. Menjanjem ponašanja callback-a, provera autentifikacije se efikasno zaobilazi.
Skripta ispod se injektuje da bi se modifikovao rezultat evaluatePolicy metode. Menja rezultat callback-a da uvek označava uspeh.
Da biste ubrizgali Frida skriptu i zaobišli biometrijsku autentifikaciju, koristi se sledeća komanda:
Važno je proveriti da li ne dolazi do komunikacije bez enkripcije i takođe da aplikacija ispravno validira TLS sertifikat servera. Da biste proverili ovakve probleme, možete koristiti proxy kao što je Burp:
Jedan uobičajen problem prilikom validacije TLS sertifikata je provera da li je sertifikat potpisan od strane pouzdanog CA, ali ne proverava da li je hostname sertifikata hostname koji se pristupa. Da biste proverili ovaj problem koristeći Burp, nakon što poverite Burp CA na iPhone-u, možete napraviti novi sertifikat sa Burp-om za drugi hostname i koristiti ga. Ako aplikacija i dalje radi, onda je nešto ranjivo.
Ako aplikacija ispravno koristi SSL Pinning, onda će aplikacija raditi samo ako je sertifikat onaj koji se očekuje. Kada testirate aplikaciju to može biti problem jer će Burp poslužiti svoj sertifikat. Da biste zaobišli ovu zaštitu unutar jailbroken uređaja, možete instalirati aplikaciju SSL Kill Switch ili instalirati Burp Mobile Assistant
Takođe možete koristiti objection's ios sslpinning disable
U /System/Library
možete pronaći okvire instalirane na telefonu koje koriste sistemske aplikacije
Aplikacije koje je korisnik instalirao iz App Store-a nalaze se unutar /User/Applications
A /User/Library
sadrži podatke sačuvane od strane aplikacija na nivou korisnika
Možete pristupiti /User/Library/Notes/notes.sqlite
da biste pročitali beleške sačuvane unutar aplikacije.
Unutar foldera instalirane aplikacije (/User/Applications/<APP ID>/
) možete pronaći neke zanimljive datoteke:
iTunesArtwork
: Ikona koju koristi aplikacija
iTunesMetadata.plist
: Informacije o aplikaciji korišćene u App Store-u
/Library/*
: Sadrži postavke i keš. U /Library/Cache/Snapshots/*
možete pronaći snimak napravljen za aplikaciju pre nego što je poslata u pozadinu.
Programeri mogu daljinski patch-ovati sve instalacije svoje aplikacije trenutno bez potrebe da ponovo podnose aplikaciju u App Store i čekaju da bude odobrena. Za ovu svrhu obično se koristi JSPatch. Ali postoje i druge opcije kao što su Siren i react-native-appstore-version-checker. Ovo je opasan mehanizam koji bi mogli zloupotrebiti zlonamerni SDK-ovi trećih strana, stoga se preporučuje da se proveri koja metoda se koristi za automatsko ažuriranje (ako postoji) i testira. Možete pokušati da preuzmete prethodnu verziju aplikacije u tu svrhu.
Značajan izazov sa SDK-ovima trećih strana je nedostatak granularne kontrole nad njihovim funkcionalnostima. Programeri se suočavaju sa izborom: ili integrišu SDK i prihvate sve njegove funkcije, uključujući potencijalne sigurnosne ranjivosti i probleme sa privatnošću, ili potpuno odustanu od njegovih prednosti. Često, programeri nisu u mogućnosti da patch-uju ranjivosti unutar ovih SDK-ova sami. Štaviše, kako SDK-ovi stiču poverenje unutar zajednice, neki mogu početi da sadrže malware.
Usluge koje pružaju SDK-ovi trećih strana mogu uključivati praćenje ponašanja korisnika, prikazivanje reklama ili poboljšanja korisničkog iskustva. Međutim, to uvodi rizik jer programeri možda nisu potpuno svesni koda koji izvršavaju ove biblioteke, što dovodi do potencijalnih rizika za privatnost i sigurnost. Ključno je ograničiti informacije koje se dele sa uslugama trećih strana na ono što je neophodno i osigurati da nijedni osetljivi podaci nisu izloženi.
Implementacija usluga trećih strana obično dolazi u dva oblika: samostalna biblioteka ili pun SDK. Da bi se zaštitila privatnost korisnika, svi podaci koji se dele sa ovim uslugama trebaju biti anonimizovani kako bi se sprečilo otkrivanje ličnih identifikacionih informacija (PII).
Da biste identifikovali biblioteke koje aplikacija koristi, može se koristiti komanda otool
. Ovaj alat treba pokrenuti protiv aplikacije i svake deljene biblioteke koju koristi da bi otkrio dodatne biblioteke.
OWASP iGoat https://github.com/OWASP/igoat <<< Objective-C verzija https://github.com/OWASP/iGoat-Swift <<< Swift verzija
Koristite Trickest za lako kreiranje i automatizaciju radnih tokova pokretanih najnaprednijim alatima zajednice na svetu. Pribavite pristup danas:
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)