Day-055-Android 应用安全测试

# Day 53: Android 应用安全测试

> Web 安全系列第 23 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [Android 安全测试概述](#android 安全测试概述)
2. [测试环境搭建](#测试环境搭建)
3. [静态分析技术](#静态分析技术)
4. [动态分析技术](#动态分析技术)
5. [网络通信测试](#网络通信测试)
6. [数据存储测试](#数据存储测试)
7. [组件安全测试](#组件安全测试)
8. [逆向工程实战](#逆向工程实战)
9. [防护策略与最佳实践](#防护策略与最佳实践)
10. [总结与思考](#总结与思考)
11. [参考资料](#参考资料)

---

## Android 安全测试概述

### 测试目标

**安全测试目的**：
```
1. 发现安全漏洞
   - 代码漏洞
   - 配置问题
   - 实现错误

2. 评估风险
   - 漏洞影响
   - 利用难度
   - 业务影响

3. 提供修复建议
   - 技术方案
   - 优先级
   - 最佳实践
```

**测试范围**：
```
1. 应用代码
   - Java/Kotlin 代码
   - 原生代码
   - 配置文件

2. 数据存储
   - SharedPreferences
   - SQLite 数据库
   - 文件存储

3. 网络通信
   - HTTP/HTTPS
   - Socket 通信
   - WebSocket

4. 组件安全
   - Activity
   - Service
   - BroadcastReceiver
   - ContentProvider
```

### 测试方法论

**OWASP MSTG**：
```
Mobile Security Testing Guide
包含：
- 测试指南
- 测试用例
- 测试工具
- 最佳实践
```

**测试流程**：
```
1. 信息收集
   - 应用信息
   - 技术栈
   - 功能分析

2. 静态分析
   - 反编译
   - 代码审计
   - 配置检查

3. 动态分析
   - 运行时测试
   - Hook 测试
   - 网络测试

4. 报告编写
   - 漏洞总结
   - 风险评估
   - 修复建议
```

---

## 测试环境搭建

### 测试设备

**物理设备**：
```
推荐设备：
- Nexus/Pixel 系列
- OnePlus 系列
- Samsung Galaxy 系列

要求：
- 可 Root
- Android 版本覆盖
- 不同厂商
```

**模拟器**：
```
推荐模拟器：
- Android Studio Emulator
- Genymotion
- NoxPlayer

优点：
- 易于 Root
- 快照功能
- 多实例
```

### 测试工具

**反编译工具**：
```bash
# APKTool
apt install apktool
apktool d app.apk

# JADX
apt install jadx
jadx -d output app.apk

# Bytecode Viewer
# GUI 工具
# 支持多种反编译器
```

**动态分析工具**：
```bash
# Frida
pip install frida-tools
frida -U -f com.example.app -l hook.js

# Objection
pip install objection
objection explore

# Xposed
# 需要 Root
# 模块开发
```

**网络测试工具**：
```bash
# Burp Suite
# 配置代理
# 抓包分析

# Wireshark
# 网络流量分析
# 协议分析

# mitmproxy
# 命令行抓包
# 脚本扩展
```

### Root 与调试

**Root 设备**：
```bash
# Magisk Root
# 1. 解锁 Bootloader
# 2. 刷入 Magisk
# 3. 获取 Root 权限

# 优点：
# - 系统级访问
# - 模块支持
# - 隐藏 Root
```

**调试配置**：
```bash
# 启用 USB 调试
# 开发者选项 → USB 调试

# 安装测试证书
# 用户证书存储
# 系统证书存储

# 配置代理
# WiFi → 代理 → 手动配置
```

---

## 静态分析技术

### 反编译 APK

**APK 结构**：
```
app.apk
├── AndroidManifest.xml    # 应用配置
├── classes.dex           # Java 代码
├── resources.arsc        # 资源映射
├── res/                  # 资源文件
├── assets/               # 资产文件
├── lib/                  # 原生库
└── META-INF/             # 签名信息
```

**反编译流程**：
```bash
# 1. 反编译资源
apktool d app.apk -o output

# 2. 反编译代码
jadx -d src app.apk

# 3. 查看 Manifest
cat output/AndroidManifest.xml

# 4. 查看代码
cd src
# 使用 IDE 查看
```

### 代码审计

**Manifest 检查**：
```xml

<activity android:exported="true">
<service android:exported="true">
<receiver android:exported="true">

<uses-permission android:name="android.permission.INTERNET" />
<uses-permission android:name="android.permission.READ_CONTACTS" />

<application android:debuggable="true">
<application android:allowBackup="true">
```

**代码检查**：
```java
// 硬编码密钥
String apiKey = "hardcoded_key";

// 不安全随机数
Random random = new Random();

// 弱加密
MessageDigest md = MessageDigest.getInstance("MD5");

// WebView 配置
webView.setJavaScriptEnabled(true);
webView.addJavascriptInterface(obj, "interface");

// 文件操作
FileOutputStream fos = openFileOutput("data.txt", MODE_WORLD_READABLE);
```

### 自动化扫描

**MobSF 扫描**：
```bash
# Docker 部署
docker run -it -p 8000:8000 opensecurity/mobile-security-framework-mobsf

# 上传 APK
# 自动分析
# 查看报告
```

**QARK 扫描**：
```bash
# 安装
pip install qark

# 扫描 APK
qark --apk app.apk --output_dir output

# 扫描源码
qark --directory src/ --output_dir output

# 查看报告
cat output/report.txt
```

---

## 动态分析技术

### Frida Hook

**Frida 基础**：
```javascript
// 基本 Hook
Java.perform(function() {
    var ClassName = Java.use("com.example.Class");
    
    ClassName.method.implementation = function(arg) {
        console.log("Called with: " + arg);
        var result = this.method(arg);
        console.log("Result: " + result);
        return result;
    };
});
```

**参数修改**：
```javascript
// 修改参数
ClassName.method.implementation = function(arg) {
    arg = "modified";
    return this.method(arg);
};

// 修改返回值
ClassName.method.implementation = function() {
    return "fake_result";
};
```

**加密函数 Hook**：
```javascript
// Hook 加密
var Cipher = Java.use("javax.crypto.Cipher");
Cipher.doFinal.implementation = function(data) {
    console.log("Encrypt: " + bytesToHex(data));
    var result = this.doFinal(data);
    console.log("Result: " + bytesToHex(result));
    return result;
};

// Hook 解密
Cipher.doFinal_1.implementation = function(data) {
    console.log("Decrypt: " + bytesToHex(data));
    var result = this.doFinal_1(data);
    console.log("Result: " + bytesToHex(result));
    return result;
};
```

### Objection 使用

**基本使用**：
```bash
# 启动探索模式
objection explore

# 常用命令
android hooking list classes      # 列出类
android hooking list methods      # 列出方法
android hooking watch class       # Hook 类
android hooking watch method      # Hook 方法
```

**内存搜索**：
```bash
# 搜索字符串
android memory search "password"

# 搜索类实例
android heap search instances com.example.Class

# 执行方法
android heap execute getApplicationContext
```

### 运行时修改

**Smali 修改**：
```smali
# 原始代码
invoke-virtual {p0}, Lcom/example/Class;->checkPermission()Z

# 修改为返回 true
const/4 v0, 0x1
return v0
```

**重打包流程**：
```bash
# 1. 反编译
apktool d app.apk

# 2. 修改代码
# 修改 Smali 文件

# 3. 重打包
apktool b app -o app_modified.apk

# 4. 签名
jarsigner -verbose -keystore keystore.jks app_modified.apk alias

# 5. 安装
adb install app_modified.apk
```

---

## 网络通信测试

### 抓包配置

**Burp Suite 配置**：
```
1. 配置代理
   - 监听所有接口
   - 端口 8080

2. 安装证书
   - 导出证书
   - 转换为 DER
   - 推送到设备

3. 配置应用
   - 允许用户证书
   - 或使用 Root 安装系统证书
```

**证书安装**：
```bash
# 转换证书
openssl x509 -inform DER -in burp.der -out burp.crt

# 获取证书哈希
openssl x509 -inform PEM -subject_hash_old -in burp.crt | head -1

# 推送证书
adb push burp.crt /sdcard/
adb shell
mv /sdcard/burp.crt /system/etc/security/cacerts/$(openssl x509 -inform PEM -subject_hash_old -in /sdcard/burp.crt | head -1).0
chmod 644 /system/etc/security/cacerts/*.0
```

### HTTPS 测试

**证书绑定绕过**：
```javascript
// Frida 绕过证书绑定
Java.perform(function() {
    var CertificatePinner = Java.use("okhttp3.CertificatePinner");
    CertificatePinner.check.overload('java.lang.String', 'java.util.List').implementation = function() {
        console.log("Certificate pinner bypassed");
        return;
    };
});
```

**SSL Pinning 绕过**：
```javascript
// 通用 SSL Pinning 绕过
Java.perform(function() {
    var TrustManagerImpl = Java.use("com.android.org.conscrypt.TrustManagerImpl");
    TrustManagerImpl.verifyChain.implementation = function(untrustedChain, trustAnchorChain, host, clientAuth, ocspData, tlsSctData) {
        console.log("SSL Pinning bypassed");
        return untrustedChain;
    };
});
```

### API 测试

**请求篡改**：
```
测试点：
1. 参数修改
   - 修改金额
   - 修改数量
   - 修改用户 ID

2. 重放攻击
   - 重复请求
   - 修改顺序
   - 延迟执行

3. 未授权访问
   - 移除 Token
   - 修改 Token
   - 越权访问
```

**响应篡改**：
```
测试点：
1. 修改响应
   - 修改状态
   - 修改数据
   - 注入内容

2. 客户端验证
   - 响应签名
   - 数据校验
   - 完整性检查
```

---

## 数据存储测试

### SharedPreferences 测试

**数据提取**：
```bash
# Root 设备
adb shell
su
cd /data/data/com.example.app/shared_prefs
cat *.xml

# 非 Root 设备（备份）
adb backup com.example.app
# 解压备份
```

**安全检查**：
```
检查项：
1. 明文存储
   - 凭证明文
   - Token 明文
   - 敏感数据明文

2. 备份泄露
   - allowBackup=true
   - 备份可提取

3. 权限问题
   - MODE_WORLD_READABLE
   - MODE_WORLD_WRITEABLE
```

### 数据库测试

**数据提取**：
```bash
# Root 设备
adb shell
su
cd /data/data/com.example.app/databases
sqlite3 app.db

# 查看表
.tables

# 导出数据
.dump
```

**安全检查**：
```
检查项：
1. SQL 注入
   - 拼接查询
   - 未参数化

2. 明文存储
   - 敏感数据未加密
   - 密码明文

3. 备份泄露
   - 数据库可备份
   - 未加密
```

### 文件存储测试

**数据提取**：
```bash
# 内部存储
adb shell
cd /data/data/com.example.app/files
ls -la

# 外部存储
adb shell
cd /sdcard/Android/data/com.example.app/files
ls -la
```

**安全检查**：
```
检查项：
1. 敏感文件
   - 密钥文件
   - 配置文件
   - 日志文件

2. 文件权限
   - MODE_WORLD_READABLE
   - MODE_WORLD_WRITEABLE

3. 文件清理
   - 临时文件未清理
   - 缓存敏感数据
```

---

## 组件安全测试

### Activity 测试

**导出检查**：
```xml

<activity android:name=".MainActivity" android:exported="true">
    <intent-filter>
        <action android:name="android.intent.action.VIEW" />
        <category android:name="android.intent.category.DEFAULT" />
    </intent-filter>
</activity>
```

**Intent 劫持**：
```java
// 启动导出 Activity
Intent intent = new Intent();
intent.setComponent(new ComponentName("com.example.app", "com.example.app.MainActivity"));
intent.putExtra("admin", true);
startActivity(intent);
```

### Service 测试

**导出检查**：
```xml

<service android:name=".BackgroundService" android:exported="true">
</service>
```

**Service 调用**：
```java
// 调用导出 Service
Intent intent = new Intent();
intent.setComponent(new ComponentName("com.example.app", "com.example.app.BackgroundService"));
intent.putExtra("command", "sensitive_operation");
startService(intent);
```

### BroadcastReceiver 测试

**导出检查**：
```xml

<receiver android:name=".MyReceiver" android:exported="true">
    <intent-filter>
        <action android:name="com.example.app.CUSTOM_ACTION" />
    </intent-filter>
</receiver>
```

**广播发送**：
```java
// 发送广播
Intent intent = new Intent("com.example.app.CUSTOM_ACTION");
intent.putExtra("data", "sensitive");
sendBroadcast(intent);
```

### ContentProvider 测试

**导出检查**：
```xml

<provider android:name=".MyProvider" android:authorities="com.example.app.provider" android:exported="true">
</provider>
```

**数据访问**：
```java
// 访问导出 Provider
Uri uri = Uri.parse("content://com.example.app.provider/data");
Cursor cursor = getContentResolver().query(uri, null, null, null, null);
```

**SQL 注入测试**：
```java
// 测试 SQL 注入
Uri uri = Uri.parse("content://com.example.app.provider/data");
String selection = "id=1 OR 1=1";
Cursor cursor = getContentResolver().query(uri, null, selection, null, null);
```

---

## 逆向工程实战

### 密钥提取

**硬编码密钥**：
```bash
# 搜索密钥
grep -r "key" src/
grep -r "secret" src/
grep -r "password" src/
grep -r "token" src/
```

**Native 库密钥**：
```bash
# 反编译 SO 文件
r2 -A libnative.so

# 搜索字符串
/ key
/ secret

# 分析函数
afl
```

### 算法分析

**加密算法识别**：
```java
// 常见加密类
javax.crypto.Cipher
java.security.MessageDigest
javax.crypto.KeyGenerator
```

**加密参数提取**：
```javascript
// Frida Hook 加密
Java.perform(function() {
    var Cipher = Java.use("javax.crypto.Cipher");
    Cipher.init.overload('int', 'java.security.Key').implementation = function(mode, key) {
        console.log("Mode: " + mode);
        console.log("Key: " + key.getEncoded());
        return this.init(mode, key);
    };
});
```

### 保护机制分析

**反调试检测**：
```java
// 检测调试
if (Debug.isDebuggerConnected()) {
    // 退出应用
}

// 检测模拟器
if (isEmulator()) {
    // 退出应用
}
```

**Root 检测**：
```java
// 检测 Root
if (isRooted()) {
    // 退出应用
}

// 检测 Magisk
if (isMagisk()) {
    // 退出应用
}
```

---

## 防护策略与最佳实践

### 开发安全

**代码安全**：
```
1. 不硬编码密钥
   - 使用密钥管理
   - 动态获取
   - 安全存储

2. 使用强加密
   - AES-256
   - RSA-2048+
   - SHA-256

3. 安全通信
   - HTTPS
   - 证书绑定
   - 请求签名
```

**组件安全**：
```
1. 最小化导出
   - 默认不导出
   - 按需导出
   - 权限保护

2. 输入验证
   - Intent 数据验证
   - 来源验证
   - 类型检查

3. 权限检查
   - 检查调用者权限
   - 签名验证
   - 白名单
```

### 发布安全

**代码混淆**：
```proguard
# ProGuard 配置
-keep class com.example.** { *; }
-dontwarn com.example.**
-keepattributes Signature
-keepattributes *Annotation*
```

**防逆向**：
```
1. 代码混淆
   - 变量名混淆
   - 控制流混淆
   - 字符串加密

2. 反调试
   - 检测调试器
   - 检测 Hook
   - 检测模拟器

3. 完整性检查
   - 签名验证
   - 文件校验
   - 环境检测
```

### 测试建议

**定期测试**：
```
1. 版本发布前
   - 全面测试
   - 渗透测试
   - 代码审计

2. 定期测试
   - 每季度测试
   - 年度审计
   - 第三方测试

3. 事件响应
   - 漏洞报告
   - 应急响应
   - 修复验证
```

---

## 总结与思考

### 核心要点回顾

1. **测试方法**
   - 静态分析
   - 动态分析
   - 逆向工程

2. **常见漏洞**
   - 不安全存储
   - 不安全通信
   - 组件导出
   - 硬编码密钥

3. **防护策略**
   - 安全开发
   - 代码保护
   - 定期测试

### 深入思考问题

1. **隐私与安全的平衡**？
   - 数据收集
   - 用户同意
   - 合规要求

2. **自动化测试**？
   - 测试覆盖
   - 误报处理
   - 持续集成

3. **新兴技术影响**？
   - Flutter
   - 5G
   - IoT 融合

### 实战建议

**测试人员**：
1. 搭建测试环境
2. 掌握测试工具
3. 学习逆向技术
4. 持续学习

**开发人员**：
1. 安全编码
2. 使用安全库
3. 代码保护
4. 安全测试

**管理层**：
1. 安全预算
2. 安全培训
3. 合规要求
4. 应急响应

---

## 参考资料

### 学习资源
- [OWASP MSTG](https://owasp.org/www-project-mobile-security-testing-guide/)
- [Android Security](https://developer.android.com/topic/security)
- [Frida Documentation](https://frida.re/docs/)

### 工具资源
- [Frida](https://frida.re/)
- [Objection](https://github.com/sensepost/objection)
- [MobSF](https://github.com/MobSF/Mobile-Security-Framework-MobSF)
- [JADX](https://github.com/skylot/jadx)

### 书籍推荐
- 《Android 安全揭秘》
- 《移动安全攻防实战》
- 《Android 逆向之旅》

---

**标记 明日预告**：Day 54 - iOS 应用安全测试

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 53 篇，Web 安全部分第 23 篇，精编版本*