Google Playstore Apk Sicherheits Analyse (immer Aktuell-keine Diskussion)

  • 7 Antworten
  • Letztes Antwortdatum
Sunny

Sunny

Gesperrt
34.420
play-store-720x720.jpg

Hallo liebes Forum und Freunde unserer AH Community :)

Das Apps aus dem Playstore nicht unbedingt immer ein Garant für Sicherheit sein müssen wissen wir ja mittlerweile.
Kaum einer von uns hat aber die Möglichkeit oder Zeit Apps vor der Installation mal eben wirklich auf Risiken oder gar Gefahren zu überprüfen.

Daher dieser Thread hier, ihr könnt euch hier schnell über Risiken bestimmter Apps informieren und gegebenenfalls selber entscheiden ob ihr die App dann doch installieren wollt, oder doch besser nach einer Alternative schaut.
Sollten sich wirklich wieder "Böse" Apps in den Playstore einschleichen, werde ich euch hier natürlich auch so schnell wie möglich informieren, sollte ich darüber stolpern.
Bitte keine Diskussionen zu den Apps in diesem Thread, es soll ein reiner Info Thread sein. Gerne könnt ihr mir Apps zum Testen vorschlagen, dann aber bitte eine kurze PN an mich. Das Ergebnis werde ich dann in diesem Thread veröffentlichen. Bitte habt Verständnis das es etwas dauern kann bis ein Ergebnis vorliegt.
Danke euch :)

Hier ein Beispiel wie das ganze dann aussieht, es funktioniert ganz einfach nach dem Ampel System.
Risk.JPG


Youtube zum Beispiel
:
Youtube1.JPG
Youtube2.JPG

FB3.JPG

Erklärung zu den einzelnen Punkten: (wird noch ergänzt)

Möglicher Man in the Disk Angriff
Hacker können Apps, die Updates vor der Installation auf dem externen Speicher zwischenspeichern, angreifen, in dem das Update abgefangen und durch eine manipulierte Version die Malware enthält ersetzt wird. Ähnliche Angriffe existieren bei Browsern seit Jahren unter den Namen „Man-in-the-Middle-Angriff“.
Siehe auch: Android Sicherheit-Malvertising-Malware-Datenschutz (2018)
Möglicher Man in the Middle Angriff
Beschreibung:
Die mobile Anwendung ist möglicherweise anfällig für einen MITM-Angriff (Man-in-the-Middle).
Wenn eine mobile App eine Verbindung mit dem Backend herstellt (z. B. API oder Web-Service), führt die Überprüfung des Hostnamens aufgrund fehlender oder nicht ordnungsgemäß implementierter Hostnamen dazu, dass MITM-Angriffe unter bestimmten Bedingungen ausgeführt werden (z. B. wenn der Angreifer Datenverkehr abfangen kann, indem er sich im selben drahtlosen Netzwerk befindet). Im Falle einer erfolgreichen Ausnutzung kann der Angreifer HTTPS-Datenverkehr abfangen und manipulieren sowie vertrauliche Daten stehlen und verfälschen, die von der App gesendet oder empfangen werden.
Vorhersagbarer Zufallszahlen Generator
Beschreibung:
Die mobile Anwendung verwendet einen vorhersagbaren Zufallszahlengenerator (Random Number Generator, RNG).
Unter bestimmten Umständen kann diese Schwäche die Verschlüsselung mobiler Anwendungsdaten oder einen anderen Schutz durch Randomisierung gefährden. Wenn zum Beispiel Verschlüsselungs-Token innerhalb der Anwendung generiert werden und ein Angreifer der Anwendung ein vorhersagbares Token zur Verfügung stellen kann, um eine sensible Aktivität innerhalb der Anwendung oder ihres Back-End zu überprüfen und dann auszuführen.
Externe Daten in RAW-SQL Abfragen
Beschreibung:
Das einfügen von Eingaben in unbearbeitete SQL-Abfragen kann möglicherweise zu einer lokalen SQL-Injection-Schwachstelle in der mobilen Anwendung führen.
Der richtige Ansatz ist die Verwendung vorbereiteter SQL-Anweisungen außerhalb der Kontrolle des Benutzers.
Schwache Verschlüsselung
Beschreibung:
Schwache oder schlecht implementierte Verschlüsselungsalgorithmen können die von der mobilen Anwendung verwendete Datenspeicherung und -Übertragung gefährden.
Verwendung eines unverschlüsselten HTTP Protokolls
Beschreibung:
Die mobile Anwendung verwendet das HTTP-Protokoll zum Senden oder Empfangen von Daten. Das Design des HTTP-Protokolls bietet keine Verschlüsselung der übertragenen Daten, die leicht abgefangen werden kann, wenn sich ein Angreifer im selben Netzwerk befindet oder Zugriff auf den Datenkanal des Opfers hat.
Exportierte Broadcast Empfänger
Beschreibung:
Die mobile Anwendung enthält einen exportierten Empfänger, über den andere, auch böswillige, Anfragen ohne Einschränkungen gesendet werden können.
Standardmäßig werden Broadcast-Empfänger in Android exportiert. Als Ergebnis kann jede Anwendung eine Anfrage an den Broadcast-Empfänger der Anwendung senden. Um zu definieren, welche Anwendungen Anfragen an den Broadcast-Empfänger der mobilen Anwendung senden können, legen Sie die entsprechenden Berechtigungen in der Android-Manifest-Datei fest.
Information Exposure /Informations Belichtung
Beschreibung:
Die mobile Anwendung enthält fest codierte URLs, die von Hosts oder APIs für die Entwicklung, Bereitstellung oder Vorproduktion stammen können. Angreifer können mit diesen Informationen möglicherweise die Angriffsfläche nach außen vergrößern.
Exportierte Aktivitäten
Beschreibung:
Die mobile Anwendung enthält exportierte Aktivitäten, die von anderen Anwendungen, die sich auf dem mobilen Gerät befinden, einschließlich böswilliger, geladen und ausgeführt werden können, um eine legitime Anwendungsaktivität auszulösen.
Eine Aktivität ist eine Android-Komponente, die es erlaubt, auf bestimmte Weise mit der Anwendung zu interagieren (z. B. bestimmte Aktionen oder Funktionen).
Aktivierte Anwendungssicherung
Beschreibung:
Die mobile Anwendung verwendet eine externe Sicherungsfunktion (standardmäßiger Android-Sicherungsmechanismus), in der vertrauliche Daten der Anwendung gespeichert werden können. Unter bestimmten Umständen kann dies zur Offenlegung von Informationen führen (z. B. wenn ein Backup-Server oder Ihr Google Mail-Konto gefährdet ist).
Fest Codierte Daten
Beschreibung:
Die mobile Anwendung enthält Debugging- oder andere technische Informationen, die von einem Angreifer extrahiert und für weitere Angriffe verwendet werden können.
Fehlender Tapjacking Schutz
Beschreibung:
Die mobile Anwendung verfügt nicht über einen Tapjacking-Schutz, der zur Abmilderung von Tapjacking-Angriffen erforderlich ist.
Standardmäßig erlaubt das Android-Betriebssystem einer mobilen Anwendung, ihre Benutzeroberfläche über die Benutzeroberfläche einer anderen auf dem Gerät installierten Anwendung anzuzeigen. Wenn der Benutzer den Bildschirm berührt, kann die Anwendung das Berührungsereignis an eine andere Anwendung unterhalb der Benutzeroberflächenschicht weitergeben, die der Benutzer nicht sieht, und als Proxy fungieren, um unbeabsichtigte Berührungsaktivitäten zu übergeben. Dieser Angriff ist dem Clickjacking sehr ähnlich, jedoch für mobile Geräte. Um erfolgreich ausgenutzt zu werden, muss auf dem Mobiltelefon des Opfers bereits eine schädliche Anwendung installiert sein. Ein Beispiel für eine Ausnutzung wäre eine Malware-App, die den Benutzer dazu bringt, unwissentlich auf eine Zahlungsschaltfläche (oder eine andere Funktionalität) einer vertraulichen Anwendung zu tippen, wenn Sie ein Spiel spielen oder andere unschuldige Aktivitäten auf dem Bildschirm der bösartigen Anwendung ausführen.
Exportierte Dienste
Beschreibung:
Die mobile Anwendung enthält einen exportierten Dienst.
Standardmäßig werden Android-Dienste nicht exportiert und können nicht von anderen Anwendungen aufgerufen werden. Wenn in der Android Manifest-Datei ein Absichtsfilter definiert ist, wird dieser standardmäßig exportiert. Besondere Aufmerksamkeit sollte den exportierten Diensten geschenkt werden, da sie ohne die speziellen Berechtigungen von anderen Anwendungen, einschließlich schädlicher, verwendet werden können.
Schwache Hash Algorithmen
Beschreibung:
Die mobile Anwendung verwendet schwache Hash-Algorithmen. Schwache Hashing-Algorithmen (z. B. MD2, MD4, MD5 oder SHA-1) können anfällig für Kollisionen und andere Sicherheitslücken sein und sollten nicht verwendet werden, wenn zuverlässiges Hashing von Daten erforderlich ist.
JS(JavaScript) in WebView aktiviert
Beschreibung:
Die mobile Anwendung hat JavaScript in WebView aktiviert. Standardmäßig ist JavaScript in WebView deaktiviert. Wenn diese Option aktiviert ist, kann dies verschiedene JS-bezogene Sicherheitsprobleme mit sich bringen, z. B. Cross-Site Scripting-Angriffe (XSS).
Erstellung von Temporären Dateien
Beschreibung:
Die mobile Anwendung erstellt temporäre Dateien. Obwohl Cache-Dateien normalerweise standardmäßig privat sind, wird empfohlen, sicherzustellen, dass temporäre Dateien sicher gelöscht werden, wenn sie von der Anwendung nicht mehr benötigt werden.
Objekt Deserialisierung gefunden
Beschreibung:
Deserialisierung von Objekten, die für eine nicht vertrauenswürdige Ressource (z. B. vom Benutzer eingegebene Eingabe oder externer Speicher) durchgeführt wird, kann gefährlich sein, wenn die Daten für die Deserialisierung von einem Angreifer manipuliert werden.
Die Verwendung von implizierter Absicht/Usage of implicit Intent
Beschreibung:
Die mobile Anwendung verwendet eine implizite Absicht, die unter bestimmten Bedingungen unsicher sein kann.
Mit Intents können mobile Anwendungen miteinander kommunizieren, indem sie verschiedene Aktionen ausführen, für die sie besser geeignet sind. Eine implizite Absicht gibt jedoch nicht an, an welche bestimmte Anwendung eine Anforderung zum Ausführen einer Aktion gesendet wird. Wenn eine schädliche Anwendung auf dem Gerät des Opfers installiert ist, kann sie auch die implizite Absicht erhalten, darauf reagieren und stattdessen eine Aktion ausführen.
Remote URL in WebView laden
Beschreibung:
Laden einer Remote-URL kann in WebView gefährlich sein. Überprüfen Sie die Interaktionen mit WebView und stellen Sie die Vertrauenswürdigkeit, Integrität und Zuverlässigkeit der in der mobilen Anwendung verwendeten URLs von Drittanbietern sicher.
Dynamische Belastung von Code
Beschreibung:
Die mobile Anwendung verwendet das dynamische Laden von ausführbarem Code. Unter bestimmten Umständen kann das dynamische Laden von Code gefährlich sein. Befindet sich der Code beispielsweise auf einem externen Speicher (z. B. einer SD-Karte), kann dies zu einer Sicherheitsanfälligkeit bei der Code-Injektion führen, wenn der externe Speicher weltweit lesbar und / oder beschreibbar ist und ein Angreifer darauf zugreifen kann.
Netzwerk Konfiguration nicht vorhanden
Beschreibung:
Die mobile Anwendung verwendet keine Netzwerks Sicherheitskonfiguration, um festzulegen, welche Zertifikate und Zertifizierungsstellen (CA) für verschiedene Umgebungen (z. B. Entwicklung, Test und Produktion) verwendet werden können. Mit der Network Security-Konfiguration für Android können Anwendungsentwickler ihre Netzwerksicherheitseinstellungen in einer sicheren, deklarativen Konfigurationsdatei anpassen, ohne den Anwendungscode zu ändern.
Die Verwendung von Intent Filtern
Beschreibung:
Die mobile Anwendung verwendet einen Intent-Filter, der ein schwerwiegendes Sicherheitsrisiko darstellen kann, wenn er nicht ordnungsgemäß implementiert und gefiltert wird.
Entwickler sollten sich aus Sicherheitsgründen nicht nur auf Vorsatzfilter verlassen, da sie die expliziten Absichten nicht einschränken. Intent-Filter sind in der Android-Manifest-Datei definiert. Entwickler können auswählen, welche Art von Intents ihre Anwendungskomponenten erhalten und verarbeiten sollen.
Apps, Tools oder Spiele die sich als wirklich gefährlich herausstellen oder ein ganz besonders hohes Risiko darstellen, werden jeweils besonders hervorgehoben.
Wenn ihr euch schon ein wenig "abgesichert" habt und euer Androide zumindest Software und Sicherheits Patch seitig auf dem neuesten Stand ist, sollte euch nur "Medium" und "High Risk" wirklich interessieren.
Seid ihr auf Nougat oder gar darunter und eure Sicherheitspatches entsprechend veraltet, solltet ihr euch eventuell schon ab "Low Risk" Gedanken machen.
Bei einer Viren oder Malware Warnung sollte man zumindest größere Vorsicht walten lassen, bis geklärt ist ob die Bedrohung auch kein Fehlalarm ist. Dev´s oder Google antworten da in der Regel relativ schnell.
Wer sein Handy für Online Banking und Online Einkäufe oder gar Geschäftlich usw nutzt, sollte sowieso entsprechend Vorsicht walten lassen, aber das wisst ihr ja alle bestimmt schon :)
Zu erst wird jeweils die aktuelle deutsche monatliche Download Top 10 getestet, anschließend App Neuerscheinungen und dann wichtige App Updates.
Diese Tests werden von mir selber auf ImmuniWeb® Mobile App Scanner by High-Tech Bridge ausgeführt und sind absolut neutral und unabhängig.
Mehr Information zu einzelnen Apps oder Apps die ihr checken lassen wollt und die nicht hier dabei sind, wie gesagt auf Wunsch.

Natürlich dürft ihr hier auch gerne selber die Ergebnisse eurer Untersuchungen Posten, welches sind eure "Lieblings Apps" und wie sicher sind sie?

Die ersten Tests sind gleich fertig....


LG
Sunny

Ein herzliches Dankeschön an die Jungs von Android Apk Analysis
Und nicht zu vergessen cRyPtHoN™ INFOSEC
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: nik
Da die Moderatoren und ich euch diese Apk Analyse etwas übersichtlicher gestalten wollen, also die Anwendungen sortiert nach:
  • AntiVirus und Cleaning Tools
  • Browser und Tools
  • Spiele und Multimedia
  • Social Media
...dauert es noch ein bisschen bis neue App Analysen kommen.
Wäre doppelte Arbeit sonst für die Moderatoren und für mich.
Ich hoffe aber das wir bis morgen soweit sind.

Danke für eure Geduld,

LG
Sunny
 
  • Danke
Reaktionen: derstein98 und nik
Zuletzt bearbeitet:
Browser und Tools:

org.adaway.61.png
AdAway: Virenwarnung!! Muss näher untersucht werden.
Analyse-Datum: 2018-11-07 12:29:07
VirusTotal
adaway1.JPG
adaway2.JPG


ali.JPG
AliExpress:
ali1.JPG
ali2.JPG
ali3.JPG
ali4.JPG

Mobi Rechner: :1f680:
rechner.JPG

rechner1.JPG

rechner2.JPG

Cheapflights: :1f680:
Analyse-Datum: 2018-11-11 13:04:33 Malware/Virenwarnung: Trojan.Android.Agent.cxlymq
flights.JPG
flights1.JPG

flights2.JPG
flights3.JPG

X Browser für Android: :1f680:
xbrowser.JPG
xbrowser1.JPG

xbrowser2.JPG

4G Webbrowser: Anfällig für "Man in the Middle" Attake :1f680:
4g.JPG
4g1.JPG

4g2.JPG
4g3.JPG

Gold-Luxus-Deluxe-Theme: :1f680:

Analyse-Datum: 2018-11-11 13:52:06 Malware/Virenwarnung: Mehrfach Erkennung!!
gold.JPG
gold1.JPG

gold2.JPG

Aqua Mail: :1f680:

Aqua Mail.JPG
aquamail1.JPG

aquamail2.JPG
aquamail3.JPG

1.1.1.1: Faster & Safer Internet :1f680:
1.1.1.1.1.JPG
1.1.1.1.12.JPG

1.1.1.113.JPG
1.1.1.1.13.JPG

Firefox Focus blackified: :1f680: (Download)
black1.JPG
black2.JPG

black3.JPG
black4.JPG

 
Zuletzt bearbeitet:
Bearbeitet von: derstein98 - Grund: Neuordnung wie besprochen - bearbeitet @derstein98
Spiele und Multimedia:
happyglas.JPG

Happy Glass:
happyglas1.JPG
happyglas2.JPG
happyglas3.JPG
happyglass4..JPG

Helix Jump.png
Helix Jump:
Helix1.JPG
helix2.JPG
helix3.JPG
helix4.JPG
Helix5.JPG

hellostars.JPG
Hello Stars:
hellostars2.JPG
hellostars3.JPG
hellostars4.JPG
hellostars5.JPG

holeio.JPG
Hole.io:
holeio1.JPG
holeio2.JPG
holeio3.JPG
holeio4.JPG

Puzzle.JPG
Line Puzzle: Virenwarnung!! Muss näher untersucht werden.
Analyse-Datum: 2018-11-07 18:21:30
VirusTotal

LinePuzzel1.JPG
Linepuzzel2.JPG
LinePuzzle3.JPG
LinePuzzle4.JPG

toy.JPG
Toy Crush:
toi1.JPG
toy2.JPG
toy3.JPG
toy4.JPG

youtube.JPG
YouTube:
youtube1.JPG
youtube2.JPG
youtube3.JPG
youtube4.JPG
youtubepishing.JPG

Snooker: Anfällig für "Man in the Middle" Attake
snooker.JPG

snooker1.JPG

snooker2.JPG
snooker3.JPG

Once Upon a Tower: :1f680:
tower.JPG
tower1.JPG

tower2.JPG
tower3.JPG

VLC for Android: :1f680:
vlc.JPG

vlc1.JPG

vlc2.JPG

New Pipe: :1f680:
pipeneu.JPG
pipenew1.JPG

pipenew2.JPG
pipenew3.JPG
 
Zuletzt bearbeitet:
Bearbeitet von: derstein98 - Grund: Neuordnung wie besprochen - bearbeitet @derstein98
Zuletzt bearbeitet:
Bearbeitet von: derstein98 - Grund: Neuordnung wie besprochen - bearbeitet @derstein98
Hallo liebes Forum und AH Community :)

Zu erst einmal ein dickes Dankeschön an @derstein98 für´s "saubermachen" im Thread und sortieren der Anwendungen und natürlich an @nik für deine Anregungen und Kritik!!


Kleines Update zu den Infos hier im Thread


Um es für euch noch einfacher zu machen an die komplette App Analyse zu kommen, gibt es ab sofort einen direkten Link zu Web and Mobile Application Security Testing | High-Tech Bridge SA
Achtet einfach auf die :1f680: neben jeder App.
Ein Klick auf die :1f680: und ihr landet bei der jeweiligen App Analyse :)
4gtelegram.JPG

Viel Spaß mit dieser neuen "Funktion" und euch allen noch einen schönen Sonntag :biggrin:

LG
Sunny
 
  • Danke
Reaktionen: Wechselbad und derstein98

Ähnliche Themen

5
Antworten
52
Aufrufe
3.827
Klaus986
K
5
Antworten
9
Aufrufe
1.300
Klaus986
K
G
Antworten
0
Aufrufe
636
gene
G
Zurück
Oben Unten