Аспекты анализа защищенности и уязвимостей мобильных приложений

Автор: Макарян Александр Самвелович, Карманов Михаил Александрович

Журнал: НБИ технологии @nbi-technologies

Рубрика: Инновации в информатике, вычислительной технике и управлении

Статья в выпуске: 1 т.12, 2018 года.

Бесплатный доступ

В рамках данной работы были рассмотрены варианты реализации защиты локальных данных приложений на мобильных устройствах, имеющих операционные системы Android и iOS. В качестве исследуемых программ были выбраны следующие: мессенджеры WhatsApp, Viber, Telegram, WeChat, Signal. В ходе анализа были определены и классифицированы хранимые в приложениях локальные данные. В качестве результатов были получены данные об имеющихся в программах механизмах защиты, хранимых типах данных, потребовавшихся инструментах и технологиях, а также предположения по улучшению защиты хранимых локальных данных программ.

Безопасность приложений, мобильные устройства, защита данных, анализ, уязвимости

Короткий адрес: https://sciup.org/149129745

IDR: 149129745 | DOI: 10.15688/NBIT.jvolsu.2018.1.5

Текст научной статьи Аспекты анализа защищенности и уязвимостей мобильных приложений

DOI:

В качестве исследуемых приложений были выбраны следующие: мессенджеры WhatsApp, Viber, Telegram, WeChat и Signal. В случае с мессенджерами критичными данными считаются следующие типы данных: истории сообщений и вызовов, контактная информация об участниках чатов и диалогов, информация о ключах шифрования (мастер-ключ, ключ сессии и т. д.), а также вторичная информация (служебные журналы работы и другие источники, не участвующие в непосредственной работе приложения). Сравнительная характеристика защищенности мессенджера WhatsApp представлена на таблице 1.

Сравнительная характеристика защищенности мессенджера Viber представлена на таблице 2.

Сравнительная характеристика защищенности мессенджера Telegram представлена на таблице 3.

Сравнительная характеристика защищенности мессенджера WeChat представлена на таблице 4.

Сравнительная характеристика защищенности мессенджера Signal представлена на таблице 5.

Стоит отметить, что в популярных для нашей страны мессенджерах только в слу-

чае с мессенджером Telegram внедрено ко- ется, на момент исследования, 31 возмож- дирование сообщений, которое может быть ный протокол кодирования сообщений в базе обойдено изучением декомпилированного данных. Без использования данной инфор- исходного кода мессенджера. При исследо- мации невозможно установить содержание вании полученного исходного кода данного сообщений чатов всех видов, хранящихся в мессенджера было установлено, что име- базе данных [2]. Таблица 1 Сравнительная характеристика защищенности мессенджера WhatsApp
Доступность сообщений	Сообщения хранятся в открытом виде в msgstore.db (ChatStorage.sqlite для iOS)
Доступность контактной информации	Контактная информация хранится в открытом виде в wa.db (Contacts.sqlite для iOS)
Доступность ключевой информации	Мастер-ключ возможно получить из файла «key» для расшифровки инкрементных резервных копий историй сообщений
Вторичная информация	По журналам работы программы можно установить время и дату событий приложения
Инструменты и методы для обхода механизмов защиты	Apk signature expoit, создание резервной копии через Android Debug Bridge
Таблица 2

Сравнительная характеристика защищенности мессенджера Viber

Доступность сообщений	Сообщения хранятся в открытом виде в viber_messages (Contacts для iOS)
Доступность контактной информации	Контактная информация хранится в открытом виде в viber_data (Contacts для iOS)
Доступность ключевой информации	Информация о различных ключах отсуствует
Вторичная информация	Кодирование аудио- и видеосообщений пропритарным алгоритмом
Инструменты и методы для обхода механизмов защиты	Apk signature expoit, создание резервной копии через Android Debug Bridge; apktool + jdgui (декомпиляция исходного кода для получения алгоритма кодирования)

Таблица 3

Сравнительная характеристика защищенности мессенджера Telegram

Доступность сообщений	Сообщения хранятся в закодированном виде в cache4.db (в том числе и сообщения Secret-чатов)
Доступность контактной информации	Контакты хранятся в открытом виде в cache4.db
Доступность ключевой информации	Информация о различных ключах отсутствует
Вторичная информация	Критичной для исследования информации найдено не было
Инструменты и методы для обхода механизмов защиты	Apk signature expoit, создание резервной копии через Android Debug Bridge; apktool + jdgui (декомпиляция исходного кода для получения алгоритмов кодирования сообщений)

Таблица 4

Сравнительная характеристика защищенности мессенджера WeChat

Доступность сообщений	Сообщения хранятся в зашифрованной базе данных EnMicroMsg.db (в открытом виде в MM.db для iOS)
Доступность контактной информации	Контакты хранятся в зашифрованной базе данных EnMicroMsg.db (в открытом виде в MM.db для iOS)
Доступность ключевой информации	В конфигурационных файлах содержатся составные части ключа шифрования баз данных
Вторичная информация	Критичной для исследования информации найдено не было
Инструменты и методы для обхода механизмов защиты	Apk signature expoit, создание резервной копии через Android Debug Bridge; apktool + jdgui (декомпиляция исходного кода для получения алгоритма шифрования базы данных); sqlcipher (получение расшифрованной базы данных)

Таблица 5

Сравнительная характеристика защищенности мессенджера Signal

Доступность сообщений Сообщения зашифрованы и хранятся в проприетарной кодировке в messages.db Доступность контактов Контакты хранятся в обезличенной форме в wisher_directory.db Доступность ключевой информации Составные части мастер-ключа, сессионные ключи хранятся в конфигурационных файлах в закодированном виде Вторичная информация В закрытой от пользователя директории хранятся зашифрованные вложения Инструменты и методы для обхода механизмов защиты Apk signature expoit, создание резервной копии через Android Debug Bridge; apktool + jdgui (декомпиляция исходного кода для получения алгоритма декодирования и шифрования сообщений, а также шифрования вложений) articles.forensicfocus.com/2014/10/01/decrypt-wechat-enmicromsgdb-database/ (date of access: 21.03.2018). – Title from screen.

Список литературы Аспекты анализа защищенности и уязвимостей мобильных приложений

Anglano, C. Forensic Analysis of WhatsApp Messenger on Android Smartphones / C. Anglano // ResearchGate: [информационно-справочный портал]. - Electronic data. - Mode of access: https://www.researchgate.net/publication/262641460 (date of access: 10.02.2018). - Title from screen.
Current TL Schema // Telegram: [информационно-справочный сайт]. - Electronic data. - Mode of access: https://core.telegram.org/schema (date of access: 11.03.2018). - Title from screen.
Dar us, F. M. How to decrypt WeChat EnMicroMsg.db database? / F. M. Darus // Forensic Focus. - Electronic data. - Mode of access: https://articles.forensicfocus.com/2014/10/01/decrypt-wechat- enmicromsgdb-database/ (date of access: 21.03.2018). - Title from screen.

Статья научная