• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья Свободное программное обеспечение. Как распознать проприетарное ПО на смартфоне?

Введение
Всем привет, в этой статье мы поговорим о том как понять опасно ли приложение или нет. Когда я говорю "опасно", я имею ввиду закрытые компоненты программы, трекеры внутри приложения и разрешения, которые могут быть разрешены без моего ведома. Как проверить приложение на чистоту? На самом деле это достаточно просто, нужно зайти на GitHub или страничку F-Droid и посмотреть на лицензию (она должна быть GNU или Apache). Однако, это не 100% гарант и чтобы убедиться самому в надёжности приложения мы будем использовать программы, которые обнаружат и расскажут нам про трекеры, а также помогут нам их заблокировать!

smartphone.png

Я точно помню что мог блокировать трекеры в приложениях, через эти программы, но вроде бы так можно только с root-правами.
Да, я вспомнил "хехе", у меня стояла прошивка LineageOS и там были доступны root права, я выдал их AppManager, после этого я смог блокировать трекеры!!!

О программах
- программа для проверки APK на наличие известных трекеров (предоставленных Exodus) + другие предупреждения и спецификации.
- это тоже самое, что и ClassyShark3xodus, но AppManager превосходит его в функционале и имеет больше возможностей. Это обьединение таких програм, как App_packages Info, ClassyShark3xodus, Activity Launcher иWatt.

Рассмотрим мы обе программы:
  1. Важно знать как можно больше о подобных проектах
  2. Только 2 потому что другие я впервые вижу и никогда ими не пользовался поэтому и сказать мне нечего о них.
Использование и функционал
ClassyShark3xodus

Перед намb список всех программб установленных на телефоне. Давайте выберем наш любимый Сodeby.


codeby1.png


Вот так выглядит анализ, процесс не долгий. После успешного завершения нам покажется количество трекеров и классы, которые за них отвечают, а также какие именно сервисы включены в приложение.

codeby2.png


Результат программы говорит о том, что были найдены 4 трекера, а именно: Google Play Install Referrer, Google AdMob, Google Firebase Analytics, Google Cloud Audit Logs. Эти сервисы необходимы для безопасности и размещения приложения на площадке Google Play, так что впринципе ничего критичного тут нет.

Теперь мы можем увидеть фрагменты кода где содержутся эти трекеры:

codeby3.png


Если нажать на одну из представленых областей, то мы перейдём в поле, где написан "скрипт", в котором и отправляются наши данные.

На этом функционал данной программы подходит к концу.

Очень полезно, если не хотите пользоваться большим приложением AppManager и хотите быстро и без лишних телодвижений посмотреть безопасно ли приложение, или нет.

AppManager

Перед нами снова куча приложений, но мы снова выберем Codeby:

codeby4.png


Мы видим трекеры, их даже побольше, чем нам выдал ClassyShark3xodus. Возможно это потому, что он совместил это с "Активити". Давайте посмотрим, что там:

codeby5.png


Вроде бы ничего страшного здесь нет, реклама Google и какие-то службы для прокси. Пройдёмся по всему верхнему списку.

codeby6.png


Здесь из неприятных только "System Alarm Service", cлужба используется для отправки пользователю разовых или повторяющихся сообщений в заданное время, в общем надеюсь ничего в этом страшного тоже нет.

codeby7.png


Здесь содержатся какие-то прокси, но меня больше пугает не их наличие, а то что они горят красным цветом.

codeby8.png


Здесь можно было испугаться наличием красного цвета у разрешения с названием CAMERA, однако доступ к камере всё равно ограничен, а красный цвет говорит о том, что камера может быть использована (с разрешённым доступом). К моему самоутишению камера действительно используется в приложении (для обновления фото профиля). Было бы забавно, если бы функция камеры использовалась, когда самой функции что-либо сфотографировать в приложении не было.

Впринципе, это весь функционал этих программ.

Рекомендации
  1. Всегда не ленитесь собирать исходные проекты с GitHub саморучно. Бинарники могут сыграть с вами в злую шутку.
  2. Проверяйте обновления и подписи разработчка.
  3. Изучайте и проверяйте то, что вы используете почти каждый день.
  4. Используйте только свободные программы

Всем пока!!!
 
Последнее редактирование модератором:
  • Нравится
Реакции: NeRV
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!