Gli smartphone stanno diventando i punti di accesso a molti servizi sensibili come quelli bancari e custodiscono tanti dati personali. Non c’è da meravigliarsi se Pentest Box offre una sezione specifica per i sistemi Android.
Infatti, questi smartphone possono installare software proveniente da fonti non attendibili e un’app malevola, visti i dati che conserviamo sullo smartphone, può essere una seria minaccia alla nostra sicurezza. Androguard è una suite di programmi scritti in Python (che è un linguaggio di programmazione supportato dalla Box; si eseguono digitando python no-me_del_programma.py) specializzati per l’analisi dei programmi Android, in particolare dei file di installazione in formato APK. Per usare Androguard dobbiamo raggiungere la sua directory di installazione con il comando cd C:\PenetrationTesting\PentestBox\ bin\androidsecurity\androguard o anche cd androidsecurity\androguard, se siamo già nella directory bin della Pentest Box.
IL GUARDIANO DELLE APP
Androguard è dotato di un’interfaccia grafica e si avvia con il comando python androgui.py, che guida la scelta del file con estensione .apk e la successiva visualizzazione del codice. Il tool consente anche di salvare una sessione di analisi e di ripristinarla in un secondo momento. La Pentest Box offre anche l’Android ADT (Android Developer Tools, raggiungibile in bin\androidsecurity\adt partendo dalla directory principale della nostra installazione) con tanto di ambiente di sviluppo ed emulazione e l’editor Eclipse Juno per la scrittura delle app Android. Androwarn, invece, è un analizzatore del codice delle applicazioni Android che, analizzando il pacchetto di installazione, rileva comportamenti sospetti e fraudolenti che coinvolgono i dati del cellulare, quelli personali gli accessi alla scheda di memoria ai servizi dello smartphone, e tanti altri possibili pericoli. Per lanciare Androwarn, dobbiamo portarci nella sua directory con cd C:\Penetration-Testing\PentestBox\bin\androidsecurity\androwarn. Nella directory di Androwarn è presente l’applicazione Android Sample Application che possiamo utilizzare per fare qualche prova di analisi (con il comando python an-drowarn.py SampleApplication\bin\ SampleApplication.apk -r html-v 3) e generare un report in formato HTML.
ATTIVITÀ SOTTO CONTROLLO
Un pacchetto di installazione di un’applicazione Android (un file con estensione .apk) non è altro che un archivio compresso contenente tutte le risorse, le classi Java compilate ed il loro elenco (il file AndroidManifest.xml). Se decomprimiamo il pacchetto di installazione con un programma “classico”, ne otteniamo però dei file illeggibili che non ci permettono di ricostruire la natura dell’applicazione da esaminare. È a questo punto che entra in gioco Apktool, uno strumento per decomprimere correttamente i pacchetti di installazione Android che permette anche di ricostruire il pacchetto di installazione originale. Per utilizzare Apktool dobbiamo essere nella sua directory di lavoro cd C:\ PenetrationTesting\PentestBox\bin\ androidsecurity\apktool ed eseguire il comando apktool di applicazione DaAnalizzare.apk che decomprime la struttura dell’applicazione. Tutte le analisi sul comportamento delle app presentate precedentemente sono statiche, nel senso che il codice viene esaminato senza lanciarne l’esecuzione. Con Introspy, la categoria di strumenti dedicati alla sicurezza Android (ma anche iOS) si arricchisce di un tool che, installato sullo smartphone da controllare, genera la traccia navigabile (in HTML) di tutte lo operazioni effettuate dal dispositivo durante l’esecuzione di un programma. Analizzando il report, poi, è possibile ricostruire il comportamento reale dell’app per capire presenta minacce di sicurezza.