Androidアプリケーション Pentesting

Tip

AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE) Azureハッキングを学び、実践する：HackTricks Training Azure Red Team Expert (AzRTE)

HackTricksをサポートする

サブスクリプションプランを確認してください！

**💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。

HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。

Androidアプリケーションの基本

このページを最初に読むことを強くおすすめします。Androidセキュリティに関連する最も重要な部分と、Androidアプリケーション内で最も危険なコンポーネントについて知るためです：

Android Applications Basics

これはAndroidデバイス（エミュレートされたものまたは実機）に接続するために必要な主要なツールです。
ADB を使うと、コンピュータから USB または Network 経由でデバイスを制御できます。このユーティリティは、ファイルの双方向の コピー、アプリの インストール と アンインストール、シェルコマンドの実行、データの バックアップ、ログの 読み取り などの機能を提供します。

adbの使い方を学ぶには、以下の ADB Commands の一覧を参照してください。

Smali

時には、アプリケーションのコードを変更することで隠された情報（巧妙に難読化されたパスワードやフラグなど）にアクセスすることが有用です。その場合、apkをデコンパイルしてコードを修正し、再コンパイルすることが有効かもしれません。
In this tutorial you can learn how to decompile and APK, modify Smali code and recompile the APK with the new functionality。これは、これから紹介する動的解析中の複数のテストに対する代替手段として非常に有用です。したがって、この可能性を常に念頭に置いておいてください。

その他の興味深いトリック

Spoofing your location in Play Store
Play Integrity attestation spoofing (SafetyNet replacement)
Shizuku Privileged API (ADB-based non-root privileged access)
Exploiting Insecure In-App Update Mechanisms
Abusing Accessibility Services (Android RAT)
Android IME / InputMethodService Abuse (Malicious Keyboards)
NFC/EMV Relay via HCE (Android Tap-to-Pay abuse)
APKをダウンロード: https://apps.evozi.com/apk-downloader/, https://apkpure.com/es/, https://www.apkmirror.com/, https://apkcombo.com/es-es/apk-downloader/, https://github.com/kiber-io/apkd
デバイスからAPKを抽出する:

adb shell pm list packages
com.android.insecurebankv2

adb shell pm path com.android.insecurebankv2
package:/data/app/com.android.insecurebankv2-Jnf8pNgwy3QA_U5f-n_4jQ==/base.apk

adb pull /data/app/com.android.insecurebankv2-Jnf8pNgwy3QA_U5f-n_4jQ==/base.apk

すべての splits と base apks を APKEditor でマージする:

mkdir splits
adb shell pm path com.android.insecurebankv2 | cut -d ':' -f 2 | xargs -n1 -i adb pull {} splits
java -jar ../APKEditor.jar m -i splits/ -o merged.apk

# after merging, you will need to align and sign the apk, personally, I like to use the uberapksigner
java -jar uber-apk-signer.jar -a merged.apk --allowResign -o merged_signed

Android Enterprise と Work Profile の攻撃

Android Enterprise Work Profile Bypass

ケーススタディ & 脆弱性

Air Keyboard Remote Input Injection

Android Rooting Frameworks Manager Auth Bypass Syscall Hook

Abusing Android Media Pipelines Image Parsers

Arm64 Static Linear Map Kaslr Bypass

静的解析

まず、APK を解析するにはデコンパイラを使ってJava コードを確認するべきです。
利用可能な各種デコンパイラの情報はこちらを参照してください。

興味深い情報の探索

APK の strings を見るだけで、passwords、URLs (https://github.com/ndelphit/apkurlgrep)、api keys、encryption、bluetooth uuids、tokens などや興味深いものを検索できます。コード実行の backdoors や認証 backdoors（アプリにハードコーディングされた管理者資格情報）も探してください。

Firebase

特に firebase URLs に注意し、設定ミスがないか確認してください。 More information about whats is FIrebase and how to exploit it here.

アプリケーションの基本的理解 - Manifest.xml、strings.xml

アプリケーションの Manifest.xml と strings.xml ファイルの調査は潜在的なセキュリティ脆弱性を明らかにすることがあります。これらのファイルはデコンパイラを使用するか、APK の拡張子を .zip に変更して展開することで取得できます。

Manifest.xml から特定される脆弱性には次のものがあります:

Debuggable Applications: Manifest.xml に debuggable="true" が設定されたアプリはリスクがあります。外部からの接続を許してしまい、悪用につながる可能性があります。デバイス上で debuggable なアプリを発見・悪用する方法についてはチュートリアルを参照してください。
Backup Settings: android:allowBackup="false" 属性は、機密情報を扱うアプリでは明示的に設定しておくべきです。特に usb debugging が有効な場合、adb 経由での不正なデータバックアップを防ぐため重要です。
Network Security: カスタムのネットワークセキュリティ設定（android:networkSecurityConfig="@xml/network_security_config"）は res/xml/ に置かれ、証明書ピンや HTTP トラフィックの許可設定などのセキュリティ詳細を指定できます。例えば特定ドメイン向けに HTTP トラフィックを許可する設定などがあります。
Exported Activities and Services: マニフェスト内の exported な activities や services を特定することで、不正利用される可能性のあるコンポーネントが明らかになります。動的テスト中の追加解析でこれらをどのように悪用できるかが分かります。
Content Providers and FileProviders: 公開された content provider はデータへの不正なアクセスや改ざんを許す可能性があります。FileProvider の設定も注意深く確認する必要があります。
Broadcast Receivers and URL Schemes: これらのコンポーネントは悪用に使われることがあり、特に URL スキームの入力処理に注意が必要です。
SDK Versions: minSdkVersion、targetSDKVersion、maxSdkVersion 属性はサポートする Android バージョンを示します。古い脆弱な Android バージョンをサポートし続けることの危険性を示します。

strings.xml からは API keys、custom schemas、およびその他の開発者メモなどの機密情報が見つかることがあり、これらのリソースを慎重にレビューする必要があります。

Tapjacking

Tapjacking は、悪意のあるアプリが起動され、被害者アプリの上に自身を配置する攻撃です。被害アプリを視覚的に覆い隠した後、悪意あるアプリの UI はユーザーを騙して操作させつつ、その操作を被害アプリへ透過的に渡すように設計されます。結果としてユーザーは、実際には被害アプリ上で操作を行っていることに気づかなくなります。

Find more information in:

Tapjacking

Task Hijacking

launchMode が singleTask に設定され、かつ taskAffinity が定義されていない activity は Task Hijacking の影響を受けます。これは、悪意のある application をインストールして本物のアプリより先に起動すると、本物のアプリのタスクを hijack してしまう可能性があることを意味します（ユーザーは本物のアプリを使っているつもりで悪意あるアプリとやり取りしていることになります）。

More info in:

Android Task Hijacking

不適切なデータ保存

内部ストレージ (Internal Storage)

Android では、内部ストレージに保存されたファイルはそれを作成したアプリのみがアクセスできるように設計されています。このセキュリティ対策は OS によって強制され、多くのアプリのセキュリティ要件には十分です。しかし、開発者が MODE_WORLD_READABLE や MODE_WORLD_WRITABLE といったモードを利用してファイルを他のアプリ間で共有することがあります。これらのモードは他のアプリ、場合によっては悪意あるアプリによるアクセスを制限しません。

静的解析:

MODE_WORLD_READABLE と MODE_WORLD_WRITABLE の使用を慎重に確認してください。これらのモードはファイルを意図しない、または不正なアクセスに晒す可能性があります。

動的解析:

アプリが作成するファイルの権限を検証してください。特に、ファイルが世界中で読み取りまたは書き込み可能に設定されていないかを確認します。これは重大なセキュリティリスクとなり、デバイス上のどのアプリからでもファイルを読み書きされる可能性があります。

外部ストレージ (External Storage)

SD カードなどの外部ストレージのファイルを扱う際の注意点:

アクセス性:

外部ストレージ上のファイルは一般にグローバルに読み書き可能です。つまり、任意のアプリやユーザーがアクセスできます。

セキュリティ上の懸念:

アクセスが容易なため、外部ストレージに機密情報を保存しないことが推奨されます。
外部ストレージは取り外されたり、任意のアプリからアクセスされ得るため安全性が低くなります。

外部ストレージからのデータ扱い:

外部ストレージから取得するデータは常に入力検証を行ってください。外部ストレージ上のデータは信頼できないソースから来る可能性があるため重要です。
外部ストレージに executables や class ファイルを置いて動的にロードすることは強く推奨されません。
どうしても外部ストレージから実行ファイルを取得する必要がある場合は、それらのファイルが署名され暗号的に検証されていることを確認してから動的にロードしてください。これはアプリのセキュリティ整合性を保つために不可欠です。

外部ストレージは /storage/emulated/0、/sdcard、/mnt/sdcard でアクセスできます

Tip

Android 4.4（API 17）以降、SD カードはアプリごとに割り当てられたディレクトリに対するアクセスのみを制限するディレクトリ構造を持つようになりました。これにより、悪意あるアプリが別のアプリのファイルに読み書きアクセスすることを防ぎます。

平文で保存された機密データ

Shared preferences: Android は各アプリが /data/data/<packagename>/shared_prefs/ に簡単に xml ファイルを保存できるようにしており、そのフォルダ内に平文で機密情報が見つかることがあります。
Databases: Android は各アプリが /data/data/<packagename>/databases/ に sqlite データベースを簡単に保存できるようにしており、そのフォルダ内に平文で機密情報が見つかることがあります。

TLS の不備

Accept All Certificates

なぜか開発者が、例えばホスト名が一致しない場合でも、すべての証明書を受け入れてしまうことがあります。以下のようなコード行がその例です：

SSLSocketFactory sf = new cc(trustStore);
sf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

A good way to test this is to try to capture the traffic using some proxy like Burp without authorising Burp CA inside the device. Also, you can generate with Burp a certificate for a different hostname and use it.

暗号の脆弱性

不適切なキー管理プロセス

一部の開発者は、機密データをローカルストレージに保存し、コード内にハードコード／予測可能なキーで暗号化しています。これは避けるべきで、リバースエンジニアリングにより攻撃者が機密情報を抽出できる可能性があります。

Insecure および/または Deprecated なアルゴリズムの使用

開発者は認証チェック、データの保存や送信に deprecated algorithms を使用すべきではありません。例として RC4、MD4、MD5、SHA1 などがあります。例えばパスワードの保存に hashes を使う場合は、salt を使った brute-force resistant なハッシュを利用してください。

その他のチェック

逆解析の難易度を上げるために、APK を obfuscate することが推奨されます。
アプリが機密性の高いもの（bank apps のような）であれば、モバイルが rooted かどうかをアプリ自身でチェックし、それに応じた対処を行うべきです。
アプリが機密性の高いもの（bank apps のような）であれば、emulator が使われているかどうかをチェックするべきです。
アプリが機密性の高いもの（bank apps のような）であれば、実行前に 自身の整合性をチェック して改変されていないか確認するべきです。
APK をビルドする際に使われたコンパイラ／パッカー／obfuscator を確認するには APKiD を使用してください

React Native アプリケーション

React アプリケーションの javascript コードに簡単にアクセスする方法については、次のページを参照してください：

React Native Application

Xamarin アプリケーション

Xamarin アプリケーションの C# コードに簡単にアクセスする方法については、次のページを参照してください：

Xamarin Apps

Superpacked Applications

この blog post によると、superpacked はアプリのコンテンツを単一ファイルに圧縮する Meta アルゴリズムです。ブログではこの種のアプリを展開するアプリを作れる可能性について述べられており、ファイルシステムから展開済みファイルを収集するために アプリを実行して展開されたファイルを取得する より高速な方法についても触れられています。

自動静的コード解析

ツール mariana-trench はアプリケーションの code を scanning することで vulnerabilities を検出することができます。このツールは known sources（ユーザが制御する input が入る場所をツールに示すもの）、sinks（悪意ある入力がダメージを与えうる 危険な場所 を示すもの）、および rules を含みます。これらの rules は脆弱性を示す sources-sinks の組み合わせ を定義します。

この知識により、mariana-trench はコードをレビューして潜在的な脆弱性を発見します。

Secrets leaked

アプリケーションには API keys、パスワード、隠し URL、サブドメインなどの secrets が含まれていることがあり、これらを発見できる可能性があります。例えば次のようなツールを使えます: https://github.com/dwisiswant0/apkleaks

Bypass Biometric Authentication

Bypass Biometric Authentication (Android)

その他の興味深い関数

Code execution: Runtime.exec(), ProcessBuilder(), native code:system()
Send SMSs: sendTextMessage, sendMultipartTestMessage
Native functions 宣言は native: public native, System.loadLibrary, System.load
ネイティブ関数をリバースする方法はこちらを参照
JNI を介したメモリ内ネイティブコード実行（ダウンロードした shellcode → mmap/mprotect → 呼び出し）:

In Memory Jni Shellcode Execution

Other tricks

content:// protocol

Dynamic Analysis

まず第一に、アプリケーションおよび必要な環境（Burp CA cert、Drozer、Frida など）をインストールできる環境が必要です。したがって、rooted デバイス（エミュレートされたものでも）は強く推奨されます。

Online Dynamic analysis

無料アカウントを作成できるサービスの一つに: https://appetize.io/ があります。このプラットフォームは APK を upload して execute できるため、APK の挙動を確認するのに便利です。

Web 上でアプリケーションのログを見ることもでき、adb を通じて接続することもできます。

ADB 接続により、エミュレータ内で Drozer や Frida を使用できます。

Local Dynamic Analysis

Using an emulator

Android Studio（x86 と arm デバイスを作成できます。また この情報 によれば 最新の x86 では遅い arm エミュレータを使わずに ARM ライブラリをサポートしています）。
セットアップ方法は次のページを参照してください：

AVD - Android Virtual Device

Genymotion (Free version: Personal Edition、アカウント作成が必要です。エラー回避のために VirtualBox と一緒の バージョンを download することを推奨します。_)
Nox（無料ですが、Frida や Drozer をサポートしません）。

Tip

どのプラットフォームで新しいエミュレータを作成する場合でも、画面が大きいほどエミュレータは遅くなります。可能であれば小さい画面を選択してください。

Genymotion に Google サービス（Play Store 等）をインストールするには、次の画像の赤いボタンをクリックしてください：

また、Genymotion の Android VM の設定で Bridge Network mode を選択できることに注意してください（これは別の VM からツールで Android VM に接続する場合に有用です）。

Use a physical device

debugging オプションを有効にし、可能であれば root することが望ましいです：

Settings。
(FromAndroid 8.0) System を選択。
About phone を選択。
Build number を7回押す。
戻ると Developer options が表示されます。

アプリをインストールしたら、最初に行うべきことはアプリを使って何をするのか、どのように動作するのかを調べ、慣れることです。
まずは MobSF dynamic analysis + pidcat を使ってこの初期の動的解析を行うことを推奨します。これによりアプリの動作を学びつつ、MobSF が後でレビューできる多くの興味深いデータを capture してくれます。

Magisk/Zygisk quick notes (Pixel デバイスで推奨)

Magisk アプリで boot.img を patch し、fastboot 経由で flash して systemless root を取得
Zygisk を有効化し DenyList で root 隠蔽を行う；より強力な隠蔽が必要な場合は LSPosed/Shamiko を検討
OTA 更新からの復旧用に元の boot.img を保持；OTA 毎に再 patch
画面ミラーリングにはホストで scrcpy を使用

Unintended Data Leakage

Logging

開発者は debugging information を公開しないよう注意するべきです。公開されると機密データの leak に繋がる可能性があります。アプリログの監視には pidcat や adb logcat を推奨します。Pidcat は使いやすさと可読性から好まれます。

Warning

Android 4.0 より新しいバージョン以降では、アプリケーションは自分自身のログにしかアクセスできません。したがって、他のアプリのログにはアクセスできません。
それでもなお、機密情報をログに出力しないことが推奨されます。

Copy/Paste Buffer Caching

Android の clipboard-based フレームワークはアプリ間でのコピー＆ペーストを可能にしますが、他のアプリがクリップボードにアクセスできるため、機密データが露出するリスクがあります。クレジットカード情報など機密性の高いセクションでは copy/paste 機能を無効にすることが重要です。

Crash Logs

アプリがクラッシュしてログを保存している場合、これらのログはリバースできないアプリに対しても攻撃者を助けることがあります。対策としては、クラッシュ時のログ出力を避けるか、ログをネットワーク経由で送信する必要がある場合は SSL チャネルを使用してください。

pentester として、これらのログを確認するようにしてください。

Analytics Data Sent To 3rd Parties

アプリはしばしば Google Adsense のようなサービスを統合しており、開発者の実装不備により機密データが第三者に leak する可能性があります。第三者サービスに送信されている機密情報を確認するには、アプリのトラフィックを intercept してチェックすることを推奨します。

SQLite DBs

ほとんどのアプリは情報を保存するために internal SQLite databases を使用します。ペンテスト中は作成された databases、tables と columns の名前、保存されているすべての data を確認してください。ここに機密情報が見つかることがあります（脆弱性となります）。
データベースは通常 /data/data/the.package.name/databases にあります。例えば /data/data/com.mwr.example.sieve/databases

データベースが機密情報を保存していて encrypted されていても、アプリ内にパスワードが見つかる場合はそれは依然として 脆弱性 です。

.tables を使ってテーブルを列挙し、.schema <table_name> でテーブルのカラムを列挙してください。

Drozer (Exploit Activities, Content Providers and Services)

From Drozer Docs: Drozer を使うと Android アプリの役割を担い、他のアプリとやり取りできます。インストール済みアプリができることなら何でも実行でき、Android の Inter-Process Communication (IPC) 機構を利用したり、基盤となる OS とやり取りできます。
Drozer は exported activities、exported services、Content Providers を exploit するための有用なツールです。以下のセクションで学べます。

Exploiting exported Activities

Read this if you want to refresh what is an Android Activity.
また、Activity のコードは onCreate メソッドから開始することを覚えておいてください。

Authorisation bypass

Activity が exported されている場合、外部アプリからその画面を呼び出すことができます。したがって、sensitive information を扱う Activity が exported されていると、認証機構を bypass してアクセスされる可能性があります。

Learn how to exploit exported activities with Drozer.

adb から exported activity を起動することもできます:

PackageName is com.example.demo
Exported ActivityName is com.example.test.MainActivity

adb shell am start -n com.example.demo/com.example.test.MainActivity

注意: MobSF はアクティビティで singleTask/singleInstance を android:launchMode として使用していると悪意あるものと検出しますが、this によると、これは古いバージョン（API バージョン < 21）のみで危険なようです。

Tip

Note that an authorisation bypass is not always a vulnerability, it would depend on how the bypass works and which information is exposed.

機密情報の漏洩

Activities can also return results. If you manage to find an exported and unprotected activity calling the setResult method and returning sensitive information, there is a sensitive information leakage.

Tapjacking

If tapjacking isn’t prevented, you could abuse the exported activity to make the user perform unexpected actions. For more info about what is Tapjacking follow the link.

Exploiting Content Providers - Accessing and manipulating sensitive information

Read this if you want to refresh what is a Content Provider.
Content providers are basically used to share data. If an app has available content providers you may be able to extract sensitive data from them. It also interesting to test possible SQL injections and Path Traversals as they could be vulnerable.

Learn how to exploit Content Providers with Drozer.

Exploiting Services

Read this if you want to refresh what is a Service.
Remember that a the actions of a Service start in the method onStartCommand.

As service is basically something that can receive data, process it and returns (or not) a response. Then, if an application is exporting some services you should check the code to understand what is it doing and test it dynamically for extracting confidential info, bypassing authentication measures…
Learn how to exploit Services with Drozer.

Exploiting Broadcast Receivers

Read this if you want to refresh what is a Broadcast Receiver.
Remember that a the actions of a Broadcast Receiver start in the method onReceive.

A broadcast receiver will be waiting for a type of message. Depending on how the receiver handles the message it could be vulnerable.
Learn how to exploit Broadcast Receivers with Drozer.

Exploiting Schemes / Deep links

You can look for deep links manually, using tools like MobSF or scripts like this one.
You can open a declared scheme using adb or a browser:

adb shell am start -a android.intent.action.VIEW -d "scheme://hostname/path?param=value" [your.package.name]

注意：omit the package name を行うと、モバイルはそのリンクを開くべきアプリを自動的に呼び出します.

<!-- Browser regular link -->
<a href="scheme://hostname/path?param=value">Click me</a>
<!-- fallback in your url you could try the intent url -->
<a href="intent://hostname#Intent;scheme=scheme;package=your.package.name;S.browser_fallback_url=http%3A%2F%2Fwww.example.com;end">with alternative</a>

Code executed

アプリで実行されるコードを見つけるために、deeplink によって呼び出される activity に移動し、関数 onNewIntent を検索してください。

Sensitive info

deep link を見つけるたびに、URL パラメータ経由でパスワードのような sensitive data を受け取っていないか確認してください。さもないと、他のアプリケーションが deep link を偽装してそのデータを盗む可能性があります！

Parameters in path

URL のパス内でパラメータを使用している deep link がないかも必ず確認してください。例えば: https://api.example.com/v1/users/{username} 。その場合、example://app/users?username=../../unwanted-endpoint%3fparam=value のように path traversal を強制できることがあります。
アプリ内で該当のエンドポイントを見つけた場合、（パスの一部がドメイン名として使われると）Open Redirect を引き起こしたり、（CSRF token がなく、脆弱なエンドポイントが正しいメソッドを使用している場合）account takeover を引き起こしたり、その他の脆弱性に繋がる可能性がある点に注意してください。More info about this here.

More examples

An interesting bug bounty report about links (/.well-known/assetlinks.json).

Transport Layer Inspection and Verification Failures

Certificates are not always inspected properly by Android applications. これらのアプリが警告を見落として self-signed certificates を受け入れたり、場合によっては HTTP 接続に戻したりするのはよくあることです。
Negotiations during the SSL/TLS handshake are sometimes weak, insecure な cipher suites を使用していることがあります。この脆弱性により接続が man-in-the-middle (MITM) 攻撃に対して脆弱になり、攻撃者がデータを復号できる可能性があります。
Leakage of private information は、アプリが安全なチャネルで認証した後に他の取引で非安全なチャネルを使用する場合にリスクとなります。このやり方はセッション cookie やユーザー詳細などの機密データを悪意ある第三者による傍受から保護できません。

Certificate Verification

ここでは certificate verification に焦点を当てます。サーバー証明書の整合性を検証することはセキュリティを高める上で非常に重要です。なぜなら、不適切な TLS 設定や暗号化されていないチャネルでの機密データ送信は重大なリスクを引き起こす可能性があるためです。サーバー証明書の検証や脆弱性対応に関する詳細な手順は、this resource を参照してください。

SSL Pinning

SSL Pinning は、アプリがサーバー証明書をアプリ内に保存された既知のコピーと照合して検証するセキュリティ手法です。この方法は MITM 攻撃を防ぐために重要です。機密情報を扱うアプリケーションには SSL Pinning の実装を強く推奨します。

Traffic Inspection

HTTP トラフィックを検査するには、proxy tool の証明書をインストールする必要があります（例: Burp）。この証明書をインストールしなければ、暗号化されたトラフィックはプロキシ上で可視化されないことがあります。カスタム CA 証明書のインストール手順は click here を参照してください。

API Level 24 and above をターゲットにしているアプリケーションは、proxy の CA 証明書を受け入れるよう Network Security Config の変更が必要です。これは暗号化トラフィックを検査する上で重要な手順です。Network Security Config の変更手順は refer to this tutorial を参照してください。

もし Flutter を使用している場合は this page の指示に従う必要があります。単に証明書をストアに追加するだけでは動作しないことがあり、Flutter は独自の有効な CA リストを持っているためです。

Static detection of SSL/TLS pinning

ランタイムでのバイパスを試みる前に、APK 内でどこに pinning が強制されているかを素早くマッピングしてください。静的解析で発見しておくことで、フックやパッチの計画を立て、正しいコードパスに集中できます。

Tool: SSLPinDetect

Open-source static-analysis utility that decompiles the APK to Smali (via apktool) and scans for curated regex patterns of SSL/TLS pinning implementations.
Reports exact file path, line number, and a code snippet for each match.
Covers common frameworks and custom code paths: OkHttp CertificatePinner, custom javax.net.ssl.X509TrustManager.checkServerTrusted, SSLContext.init with custom TrustManagers/KeyManagers, and Network Security Config XML pins.

Install

前提条件: Python >= 3.8, Java on PATH, apktool

git clone https://github.com/aancw/SSLPinDetect
cd SSLPinDetect
pip install -r requirements.txt

使い方

# Basic
python sslpindetect.py -f app.apk -a apktool.jar

# Verbose (timings + per-match path:line + snippet)
python sslpindetect.py -a apktool_2.11.0.jar -f sample/app-release.apk -v

パターンルールの例（JSON） signatures を使用または拡張して、プロプライエタリ/カスタムな pinning スタイルを検出します。独自の JSON を読み込み、大規模にスキャンできます。

{
"OkHttp Certificate Pinning": [
"Lcom/squareup/okhttp/CertificatePinner;",
"Lokhttp3/CertificatePinner;",
"setCertificatePinner"
],
"TrustManager Override": [
"Ljavax/net/ssl/X509TrustManager;",
"checkServerTrusted"
]
}

Notes and tips

大規模なアプリをマルチスレッディングとメモリマップド I/O で高速スキャン; 事前コンパイルした正規表現はオーバーヘッド／誤検知を減らす。
Pattern collection: https://github.com/aancw/smali-sslpin-patterns
Typical detection targets to triage next:
OkHttp: CertificatePinner usage, setCertificatePinner, okhttp3/okhttp package references
Custom TrustManagers: javax.net.ssl.X509TrustManager, checkServerTrusted overrides
Custom SSL contexts: SSLContext.getInstance + SSLContext.init with custom managers
Declarative pins in res/xml network security config and manifest references
Use the matched locations to plan Frida hooks, static patches, or config reviews before dynamic testing.

SSL Pinning の回避

When SSL Pinning is implemented, bypassing it becomes necessary to inspect HTTPS traffic. Various methods are available for this purpose:

Automatically modify the apk to bypass SSLPinning with apk-mitm. The best pro of this option, is that you won’t need root to bypass the SSL Pinning, but you will need to delete the application and reinstall the new one, and this won’t always work.
You could use Frida (discussed below) to bypass this protection. Here you have a guide to use Burp+Frida+Genymotion: https://spenkk.github.io/bugbounty/Configuring-Frida-with-Burp-and-GenyMotion-to-bypass-SSL-Pinning/
You can also try to automatically bypass SSL Pinning using objection: objection --gadget com.package.app explore --startup-command "android sslpinning disable"
You can also try to automatically bypass SSL Pinning using MobSF dynamic analysis (explained below)
If you still think that there is some traffic that you aren’t capturing you can try to forward the traffic to burp using iptables. Read this blog: https://infosecwriteups.com/bypass-ssl-pinning-with-ip-forwarding-iptables-568171b52b62

Looking for Common Web Vulnerabilities

It’s important to also search for common web vulnerabilities within the application. Detailed information on identifying and mitigating these vulnerabilities is beyond the scope of this summary but is extensively covered elsewhere.

Frida

Frida is a dynamic instrumentation toolkit for developers, reverse-engineers, and security researchers.
You can access running application and hook methods on run time to change the behaviour, change values, extract values, run different code…
If you want to pentest Android applications you need to know how to use Frida.

Learn how to use Frida: Frida tutorial
Some “GUI” for actions with Frida: https://github.com/m0bilesecurity/RMS-Runtime-Mobile-Security
Ojection is great to automate the use of Frida: https://github.com/sensepost/objection , https://github.com/dpnishant/appmon
You can find some Awesome Frida scripts here: https://codeshare.frida.re/
Try to bypass anti-debugging / anti-frida mechanisms loading Frida as in indicated in https://erfur.github.io/blog/dev/code-injection-without-ptrace (tool linjector)

Anti-instrumentation & SSL pinning bypass workflow

Android Anti Instrumentation And Ssl Pinning Bypass

メモリダンプ - Fridump

Check if the application is storing sensitive information inside the memory that it shouldn’t be storing like passwords or mnemonics.

Using Fridump3 you can dump the memory of the app with:

# With PID
python3 fridump3.py -u <PID>

# With name
frida-ps -Uai
python3 fridump3.py -u "<Name>"

これはメモリを ./dump フォルダにダンプします。そこで次のような grep を使って検索できます:

strings * | grep -E "^[a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+$"

Keystore内の機密データ

AndroidではKeystoreが機密データを保存する最良の場所ですが、十分な権限があれば依然としてアクセス可能です。多くのアプリケーションはここに機密データをclear textで保存しがちであるため、pentestsではroot userとして確認する必要があります。deviceにphysical accessを持つ者はこのデータを盗むことができます。

たとえアプリがKeystoreにデータを保存していても、そのデータは暗号化されているべきです。

Keystore内のデータにアクセスするには、次のFridaスクリプトを使用できます: https://github.com/WithSecureLabs/android-keystore-audit/blob/master/frida-scripts/tracer-cipher.js

frida -U -f com.example.app -l frida-scripts/tracer-cipher.js

Fingerprint/Biometrics Bypass

次の Frida スクリプトを使用すると、Android アプリが特定の機密領域を保護するために行っている bypass fingerprint authentication を回避できる可能性があります:

frida --codeshare krapgras/android-biometric-bypass-update-android-11 -U -f <app.package>

バックグラウンド画像

アプリケーションをバックグラウンドにすると、Androidはアプリケーションのスナップショットを保存します。フォアグラウンドに復帰したとき、アプリの読み込み前にそのイメージを読み込むため、アプリがより速く起動したように見えます。

しかし、このスナップショットに機密情報が含まれている場合、スナップショットにアクセスできる者がその情報を盗む可能性があります（アクセスするにはroot権限が必要である点に注意してください）。

スナップショットは通常次の場所に保存されます： /data/system_ce/0/snapshots

AndroidはFLAG_SECUREを設定してスクリーンショットの取得を防ぐ方法を提供します。このフラグを使用すると、ウィンドウの内容がセキュアとして扱われ、スクリーンショットに表示されたり非セキュアなディスプレイで表示されたりすることを防ぎます。

getWindow().setFlags(LayoutParams.FLAG_SECURE, LayoutParams.FLAG_SECURE);

Android Application Analyzer

このツールは dynamic analysis 中に複数のツールを管理するのに役立ちます: https://github.com/NotSoSecure/android_application_analyzer

Intent Injection

Developers often create proxy components like activities, services, and broadcast receivers that handle these Intents and pass them to methods such as startActivity(...) or sendBroadcast(...), which can be risky.

危険なのは、攻撃者がこれらの Intents を誤誘導することで、非エクスポートのアプリコンポーネントを起動させたり、機密性の高い Content-Providers にアクセスさせたりできる点にあります。顕著な例として、WebView コンポーネントが URL を Intent.parseUri(...) を使って Intent オブジェクトに変換し、それを実行してしまうことで、悪意ある Intent 注入につながる可能性があります。

Essential Takeaways

Intent Injection は web の Open Redirect 問題に類似しています。
エクスプロイトは Intent オブジェクトを extras として渡し、それをリダイレクトして安全でない操作を実行させることを伴います。
非エクスポートのコンポーネントや Content-Providers が攻撃者に露出する可能性があります。
WebView の URL から Intent への変換は、意図しない動作を引き起こす可能性があります。

Android Client Side Injections and others

おそらくこれらの脆弱性は Web でも見慣れていると思います。Android アプリでは特に以下に注意してください:

SQL Injection: 動的なクエリや Content-Providers を扱う際は、必ずパラメータ化されたクエリを使用してください。
JavaScript Injection (XSS): JavaScript と Plugin のサポートが WebViews で無効になっていることを確認してください（デフォルトで無効）。More info here.
Local File Inclusion: WebViews はファイルシステムへのアクセスを無効にするべきです（デフォルトでは有効） - (webview.getSettings().setAllowFileAccess(false);). More info here.
Eternal cookies: 多くの場合、Android アプリがセッションを終了してもクッキーが無効化されなかったり、ディスクに保存されてしまうことがあります
Secure Flag in cookies

Automatic Analysis

MobSF

Static analysis

Vulnerability assessment of the application は使いやすい web ベースのフロントエンドを使って行われます。You can also perform dynamic analysis (but you need to prepare the environment).

docker pull opensecurity/mobile-security-framework-mobsf
docker run -it -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest

Notice that MobSF can analyse Android(apk), IOS(ipa) and Windows(apx) applications (Windows applications must be analyzed from a MobSF installed in a Windows host).
Also, if you create a ZIP file with the source code if an Android or an IOS app (go to the root folder of the application, select everything and create a ZIPfile), it will be able to analyse it also.

MobSF also allows you to diff/Compare analysis and to integrate VirusTotal (you will need to set your API key in MobSF/settings.py and enable it: VT_ENABLED = TRUE VT_API_KEY = <Your API key> VT_UPLOAD = TRUE). You can also set VT_UPLOAD to False, then the hash will be upload instead of the file.

Assisted Dynamic analysis with MobSF

MobSF can also be very helpful for dynamic analysis in Android, but in that case you will need to install MobSF and genymotion in your host (a VM or Docker won’t work). Note: You need to start first a VM in genymotion and then MobSF.
The MobSF dynamic analyser can:

Dump application data (URLs, logs, clipboard, screenshots made by you, screenshots made by “Exported Activity Tester”, emails, SQLite databases, XML files, and other created files). All of this is done automatically except for the screenshots, you need to press when you want a screenshot or you need to press “Exported Activity Tester” to obtain screenshots of all the exported activities.
Capture HTTPS traffic
Use Frida to obtain runtime information

From android versions > 5, it will automatically start Frida and will set global proxy settings to capture traffic. It will only capture traffic from the tested application.

Frida

By default, it will also use some Frida Scripts to bypass SSL pinning, root detection and debugger detection and to monitor interesting APIs.
MobSF can also invoke exported activities, grab screenshots of them and save them for the report.

To start the dynamic testing press the green bottom: “Start Instrumentation”. Press the “Frida Live Logs” to see the logs generated by the Frida scripts and “Live API Monitor” to see all the invocation to hooked methods, arguments passed and returned values (this will appear after pressing “Start Instrumentation”).
MobSF also allows you to load your own Frida scripts (to send the results of your Friday scripts to MobSF use the function send()). It also has several pre-written scripts you can load (you can add more in MobSF/DynamicAnalyzer/tools/frida_scripts/others/), just select them, press “Load” and press “Start Instrumentation” (you will be able to see the logs of that scripts inside “Frida Live Logs”).

Moreover, you have some Auxiliary Frida functionalities:

Enumerate Loaded Classes: It will print all the loaded classes
Capture Strings: It will print all the capture strings while using the application (super noisy)
Capture String Comparisons: Could be very useful. It will show the 2 strings being compared and if the result was True or False.
Enumerate Class Methods: Put the class name (like “java.io.File”) and it will print all the methods of the class.
Search Class Pattern: Search classes by pattern
Trace Class Methods: Trace a whole class (see inputs and outputs of all methods of th class). Remember that by default MobSF traces several interesting Android Api methods.

Once you have selected the auxiliary module you want to use you need to press “Start Intrumentation” and you will see all the outputs in “Frida Live Logs”.

Shell

Mobsf also brings you a shell with some adb commands, MobSF commands, and common shell commands at the bottom of the dynamic analysis page. Some interesting commands:

help
shell ls
activities
exported_activities
services
receivers

HTTP tools

When http traffic is capture you can see an ugly view of the captured traffic on “HTTP(S) Traffic” bottom or a nicer view in “Start HTTPTools” green bottom. From the second option, you can send the captured requests to proxies like Burp or Owasp ZAP.
To do so, power on Burp –> turn off Intercept –> in MobSB HTTPTools select the request –> press “Send to Fuzzer” –> select the proxy address (http://127.0.0.1:8080\).

Once you finish the dynamic analysis with MobSF you can press on “Start Web API Fuzzer” to fuzz http requests an look for vulnerabilities.

Tip

After performing a dynamic analysis with MobSF the proxy settings me be misconfigured and you won’t be able to fix them from the GUI. You can fix the proxy settings by doing:
adb shell settings put global http_proxy :0

Assisted Dynamic Analysis with Inspeckage

You can get the tool from Inspeckage.
This tool with use some Hooks to let you know what is happening in the application while you perform a dynamic analysis.

Yaazhini

This is a great tool to perform static analysis with a GUI

Qark

This tool is designed to look for several security related Android application vulnerabilities, either in source code or packaged APKs. The tool is also capable of creating a “Proof-of-Concept” deployable APK and ADB commands, to exploit some of the found vulnerabilities (Exposed activities, intents, tapjacking…). As with Drozer, there is no need to root the test device.

pip3 install --user qark  # --user is only needed if not using a virtualenv
qark --apk path/to/my.apk
qark --java path/to/parent/java/folder
qark --java path/to/specific/java/file.java

ReverseAPK

参照しやすいように抽出されたすべてのファイルを表示する
APKファイルを自動的にJavaおよびSmali形式にデコンパイルする
AndroidManifest.xmlを解析して一般的な脆弱性や挙動を検出する
静的なソースコード解析で一般的な脆弱性や挙動を検出する
デバイス情報を表示する
その他

reverse-apk relative/path/to/APP.apk

SUPER Android Analyzer

SUPERは、Windows、MacOS X、Linuxで使用できるコマンドラインアプリケーションで、脆弱性を探すために .apk ファイルを解析します。これはAPKを展開し、一連のルールを適用してこれらの脆弱性を検出することで行われます。

すべてのルールは rules.json ファイルに集中しており、各企業やテスターは必要に応じて独自のルールを作成して解析できます。

最新のバイナリは download page からダウンロードしてください。

super-analyzer {apk_file}

StaCoAn

StaCoAnはモバイルアプリケーションのstatic code analysisを行う開発者、bugbounty hunters、ethical hackersを支援するクロスプラットフォームツールです。

コンセプトは、モバイルアプリケーションファイル（.apk または .ipa ファイル）を StaCoAn アプリにドラッグ＆ドロップすると、視覚的で持ち運び可能なレポートを生成するというものです。設定や wordlists を調整してカスタマイズした体験を得ることができます。

ダウンロード latest release:

./stacoan

AndroBugs

AndroBugs Frameworkは、Androidアプリケーションの潜在的なセキュリティ脆弱性を開発者や hackers が発見するのを支援する解析システムです。
Windows releases

python androbugs.py -f [APK file]
androbugs.exe -f [APK file]

Androwarn

Androwarn は、Androidアプリケーションによって引き起こされる可能性のある悪意のある振る舞いを検出し、ユーザーに警告することを主目的としたツールです。

検出は、アプリケーションの Dalvik バイトコード（Smali で表現）に対する static analysis を androguard ライブラリを用いて行います。

このツールは、「悪意のあるアプリに共通する振る舞い」 を検出します。例: Telephony identifiers exfiltration, Audio/video flow interception, PIM data modification, Arbitrary code execution…

python androwarn.py -i my_application_to_be_analyzed.apk -r html -v 3

MARA Framework

MARA は Mobile Application Reverse engineering and Analysis Framework です。一般的に使われるモバイルアプリのリバースエンジニアリングおよび解析ツールをまとめて、OWASP の mobile security 脅威に対するモバイルアプリのテストを支援するためのツールです。目的は、この作業をモバイルアプリ開発者やセキュリティ専門家にとってより簡単で扱いやすくすることです。

できること：

さまざまなツールを使って Java と Smali のコードを抽出する
以下を使用して APK を解析する: smalisca, ClassyShark, androbugs, androwarn, APKiD
正規表現を使用して APK からプライベート情報を抽出する
Manifest を解析する
発見したドメインを以下で解析する: pyssltest, testssl and whatweb
apk-deguard.com 経由で APK の逆難読化を行う

Koodous

マルウェア検出に有用: https://koodous.com/

Obfuscating/Deobfuscating code

コードを難読化するサービスや設定によって、シークレットが難読化される場合とされない場合がある点に注意してください。

ProGuard

From Wikipedia: ProGuard は Java コードを縮小、最適化、難読化するオープンソースのコマンドラインツールです。バイトコードの最適化や未使用命令の検出・削除が可能です。ProGuard はフリーソフトウェアで、GNU General Public License version 2 の下で配布されています。

ProGuard は Android SDK の一部として配布され、アプリをリリースモードでビルドする際に実行されます。

DexGuard

APK を逆難読化するステップバイステップのガイドは https://blog.lexfo.fr/dexguard.html にあります。

（そのガイドより）最終確認時点での Dexguard の動作は次のとおりでした:

リソースを InputStream として読み込む;
FilterInputStream を継承したクラスに結果を渡して復号する;
リバースエンジニアの時間を浪費するためにいくつかの無意味な難読化を行う;
復号した結果を ZipInputStream に渡して DEX ファイルを取得する;
最後に、loadDex メソッドを使って生成された DEX を Resource としてロードする。

Tip

AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE) Azureハッキングを学び、実践する：HackTricks Training Azure Red Team Expert (AzRTE)

HackTricksをサポートする

サブスクリプションプランを確認してください！

**💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。

HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。