Adam Meyers是一名渗透测试员和专家,关于各种移动应用的逆向工程,他表示,当谈到移动应用程序时,你不用担心恶意软件的问题,你面对的问题只是敌人。
Meyers是任职于安全新兴公司CrowdStrike的情报总监,他介绍了对移动设备应用程序进行逆向工程所面临的挑战。逆向工程工具正不断涌现,他最近在2012年的波士顿会议上演讲中说道,但这一过程基本上仍是手动的,且有时很繁琐。
逆向工程应用程序可帮助渗透测试人员了解应用程序是如何工作的,并发现可被网络犯罪分子在现实中用到的弱点。它也被用来寻找隐藏在底层代码下的恶意软件。例如,那些想要规避风险的企业可能会决定设立自己的移动应用程序商店,为员工提供经过严格审查批准的应用程序,并在用户的智能手机或平板电脑设备上把它列入白名单。
全球在使用的设备数量超过3400万,据一些人估计,许多不同补丁级别的大量设备正涌入市场。“这是一个复杂的问题,”他说道。
“我们已经有一个很大的前进目标,”Meyers说,“每一天我们都在处理一个不同的平台,所以我们有很多东西要学习,这样才能在市场游戏中保持领先位置。”
Meyers表示,虽然移动恶意软件才刚刚开始出现,但很多网络犯罪分子正在想方设法让恶意软件在移动平台的内核里驻留。“检测和预防是非常困难的,”他说,因为安全软件受到厂商限制。
Meyer强调了几个为未来的攻击提供基础的应用程序。一年多前,在苹果iTunes商店浮出水面的一个flashlight(手电筒)应用程序有一个隐藏的功能,可为用户提供网络共享功能。一个被称为Dog Wars的移动应用程序在足球明星Michael Vic面临法律纠纷时出现。该应用程序中包含恶意的Java功能,它会向用户联系人列表中的每个人都发送一条手机短信,说该用户讨厌动物。该应用程序由动物保健倡导者组织PETA(People for the Ethical Treatment of Animals,善待动物组织)设计。
“如果像PETA这样的组织都能够这样做,这也就是告诉你,这是一个很容易实现的任务,”迈尔说道。
移动平台从一开始构建就带有各种安全功能,从而使得逆向工程成为一个艰难的过程。渗透测试人员需要处理应用程序、访问控制过滤器和代码签名。Meyers表示,苹果公司使逆向工程师的工作变得尤其困难,因为它使用FairPlay(一种针对歌曲的数字版权管理(DRM)技术,如同保护应用程序文件的机制)。
逆向移动应用程序的工具正不断涌现。IDA Pro可以拆卸;Hex-Rays用于反编译;而dex2jar将Android应用程序反编译成Java源代码。ProGuard被用作Java类文件的收缩器和模糊处理程序,它可以用在Android应用程序中。据Meyers,目前仍没有办法在iOS平台上进行模糊处理。一个叫Dumpdecrypted的工具可以将来自内存的加密iPhone应用程序的解密文件转储到磁盘。在谈到自动化时,Meyers说道,“随着这个东西出现,而且越来越流行,我们将看到更多的自动化。”
