Android Podrecznik hackera.pdf

(1005 KB) Pobierz
Tytuł oryginału: Android™ Hacker’s Handbook
Tłumaczenie: Andrzej Stefański
ISBN: 978-83-246-9940-7
Translation copyright © 2015 by Helion S.A.
Copyright © 2014 by John Wiley & Sons, Inc., Indianapolis, Indiana.
All Rights Reserved. This translation published under license with the original publisher John Wiley &
Sons, Inc.
No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form
or by any means, electronic, mechanical, photocopying, recording, scanning, or otherwise without either
the prior written permission of the Publisher.
Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej
publikacji w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metodą kserograficzną,
fotograficzną, a także kopiowanie książki na nośniku filmowym, magnetycznym lub innym powoduje
naruszenie praw autorskich niniejszej publikacji.
Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi bądź towarowymi ich
właścicieli.
Autor oraz Wydawnictwo HELION dołożyli wszelkich starań, by zawarte w tej książce informacje
były kompletne i rzetelne. Nie bierze jednak żadnej odpowiedzialności ani za ich wykorzystanie,
ani za związane z tym ewentualne naruszenie praw patentowych lub autorskich. Wydawnictwo HELION
nie ponosi również żadnej odpowiedzialności za ewentualne szkody wynikłe z wykorzystania informacji
zawartych w książce.
The Android robot is reproduced or modified from work created and shared by Google
and used according to terms described in the Creative Commons 3.0 Attribution License.
Wydawnictwo HELION
ul. Kościuszki 1c, 44-100 GLIWICE
tel. 32 231 22 19, 32 230 98 63
e-mail:
helion@helion.pl
WWW:
http://helion.pl
(księgarnia internetowa, katalog książek)
Pliki z przykładami omawianymi w książce można znaleźć pod adresem:
ftp://ftp.helion.pl/przyklady/andrph.zip
Drogi Czytelniku!
Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres
http://helion.pl/user/opinie/andrph
Możesz tam wpisać swoje uwagi, spostrzeżenia, recenzję.
Printed in Poland.
Kup książkę
Poleć książkę
Oceń książkę
Księgarnia internetowa
Lubię to! » Nasza społeczność
Spis treści
O autorach
O korektorze merytorycznym
Podziękowania
Wprowadzenie
Omówienie książki i technologii
Jak podzielona jest ta książka
Kto powinien przeczytać tę książkę
Potrzebne narzędzia
Co znajduje się na stronie internetowej
Powodzenia!
13
15
17
19
20
20
22
22
23
23
Rozdział 1.
Rzut oka na ekosystem
Korzenie Androida
Historia firmy
Historia wersji
Dostępne urządzenia
Otwarte (najczęściej) źródła
Udziałowcy Androida
Google
Producenci sprzętu
Operatorzy
Programiści
Użytkownicy
25
25
25
26
28
29
31
32
33
35
35
36
3
Kup książkę
Poleć książkę
4
Spis treści
Obraz złożoności ekosystemu
Fragmentacja
Kompatybilność
Problemy związane z aktualizacją
Bezpieczeństwo kontra otwartość
Upublicznienie informacji
Podsumowanie
38
38
40
41
43
44
45
Rozdział 2.
Projekt i architektura bezpieczeństwa Androida
Architektura systemu Android
Ograniczenia i zabezpieczenia
Środowisko izolowane Androida
Uprawnienia Androida
Dokładniejsza analiza warstw
Aplikacje Androida
Android Framework
Wirtualna maszyna Dalvik
Kod natywny przestrzeni użytkownika
Jądro
Skomplikowane zabezpieczenia, skomplikowany exploit
Podsumowanie
47
47
49
49
52
55
55
59
60
62
67
74
75
Rozdział 3.
Odblokowanie urządzenia
Układ partycji
Ustalenie układu partycji
Proces uruchamiania systemu
Dostęp do trybu pobierania
Zablokowane i odblokowane programy ładujące
Oryginalne oraz zmodyfikowane obrazy ratunkowe
Uzyskiwanie pełnego dostępu z odblokowanym programem ładującym
Uzyskiwanie pełnego dostępu przy zablokowanym programie ładującym
Uzyskiwanie dostępu na uruchomionym systemie
Blokady NAND, tymczasowy root, trwały root
Utrwalanie programowego roota
Historie znanych ataków
Jądro: Wunderbar/asroot
Tryb ratunkowy: Volez
Udev: Exploid
Adbd: RageAgainstTheCage
Zygote: Zimperlich i Zysploit
Ashmem: KillingInTheNameOf i psneuter
Vold: GingerBreak
PowerVR: levitator
77
78
79
80
81
82
83
85
87
88
89
91
92
92
93
93
94
94
95
95
96
Kup książkę
Poleć książkę
Spis treści
5
Libsysutils: zergRush
Jądro: mempodroid
Ataki związane z uprawnieniami plików oraz linkami symbolicznymi
Adb restore
Exynos4: exynos-abuse
Diag: lit / diaggetroot
Podsumowanie
96
97
97
98
99
99
100
Rozdział 4.
Przegląd bezpieczeństwa aplikacji
Częste błędy
Problemy z uprawnieniami aplikacji
Niezabezpieczone przesyłanie wrażliwych danych
Przechowywanie niezabezpieczonych danych
Wycieki informacji przez logi
Niezabezpieczone zakończenia IPC
Studium przypadku: Mobile Security App
Profilowanie
Analiza statyczna
Analiza dynamiczna
Atak
Studium przypadku: SIP Client
Drozer
Rozpoznanie
Snarfing
Wstrzykiwanie
Podsumowanie
101
101
102
103
104
105
106
108
108
110
124
132
134
134
134
136
138
140
Rozdział 5.
Płaszczyzny ataku Androida
Podstawy terminologii
Wektory ataku
Płaszczyzny ataku
Klasyfikacja płaszczyzn ataku
Właściwości płaszczyzny
Sposób klasyfikacji
Płaszczyzny ataku dostępne zdalnie
Zagadnienia sieciowe
Stosy sieciowe
Udostępnione usługi sieciowe
Technologie mobilne
Płaszczyzna ataku po stronie użytkownika
Infrastruktura Google
141
141
142
143
144
144
145
145
146
150
151
152
153
158
Kup książkę
Poleć książkę
Zgłoś jeśli naruszono regulamin