Wstęp

W poprzednich artykułach, wspomniany został fakt, że w uproszczonym modelu aplikacja mobilna składa się  z części frontendowej (klienckiej) i backendowej (serwera aplikacyjnego). W tym artykule przedstawiona zostanie metoda testowania statycznego części klienckiej.

Statyczna analiza bezpieczeństwa aplikacji mobilnej

Ten rodzaj analizy z założenia odbywa się pasywnie, czyli na poziomie kodu i artefaktów frontendu. Można wyobrazić to sobie w taki sposób, że atakujący pobierając daną aplikację mobilną, dekompilując ją, ma niejako możliwość czytania kodu (a co za tym idzie znajdowania również podatności) jak z otwartej księgi.

Poniższy rysunek prezentuje w jaki sposób działa statyczna analiza:

Przykładowe narzędzie do statycznej analizy kodu

Bardzo ciekawą propozycją narzędzia, które jest równocześnie opensource’owe i efektywne jest MobSF.

MobSF można pobrać z linku https://github.com/MobSF/Mobile-Security-Framework-MobSF

Instrukcja instalacji MobSF

Krok 1: Aktualizacja Systemu

sudo apt update

Krok 2: Instalacja Git

sudo apt get install git

Krok 3: Instalacja Pythona

sudo apt-get install python3

Krok 4: Instalacja Java Development Kit 8+

sudo apt-get install openjdk-8-jdk

Krok 5: Instalacja zależności (dependencies)

sudo apt install python3-venv python3-pip python3-dev build-essential libffi-dev libssl-dev libxml2-dev libxslt1-dev libjpeg8-dev zlib1g-dev wkhtmltopdf

Krok 6: Klonowanie repozytorium git

git clone https://github.com/MobSF/Mobile-Security-Framework-MobSF.git

Krok 7: Wejście do katalogu Mobile-Security-Framework-MobSF

cd Mobile-Security-Framework-MobSF

Krok 8: Instalacja ModSF

./setup.sh

Krok 9: Uruchomienie MobSF

./run.sh

Step 10: Wejście do interfejsu webowego MobSF

https://localhost:8000

Efekt powinien wyglądać następująco:

Używanie narzędzia MobSF

Następnym krokiem potrzebnym do tego aby dokonać analizy statycznej kodu aplikacji mobilnej jest upload aplikacji, którą tester zamierza zbadać.

Po załadowaniu aplikacji to narzędzia, MobSF dokonuje statycznej analizy, której efekt jest dashboard pokazujący ogólny stan bezpieczeństwa frontendu.

Opcje MobSF

MobSF poza możliwością przeskanowania aplikacji mobilnej pod kątem bezpieczeństwa, posiada wiele różnego rodzaju przydatnych funkcji, takich jak m.in.:

– generowanie raportu,

– listę podatności wraz z oszacowanym poziomem ryzyka.

Ciekawą opcją jest też możliwość dokładnej lokalizacji problemu w kodzie per podatność.

W kolejnych artykułach przedstawiona zostanie analiza wyników, które MobSF pokaże na przykładowej aplikacji.