Sau đây là bài phân tích của van7hu về Background Bkav Mobile Security để tìm hiểu xem phần mềm này hoạt động và an toàn thông tin cho người dùng ra sao sau đây là nguyên văn bài phân tích này của anh van7thu
1. Background Bkav Mobile Security là phiên bản phần mềm bảo mật do Bkav corp sản xuất và phân phối, bên cạnh phiên bản Bkav IS dành cho máy tính. Bkav Mobile Security hỗ trợi các hệ điều hành Android, Windows phone và iOS, trong văn bản này chỉ đề cập đến phiên bản dành cho Android, tuy nhiên sự không an toàn của phần mềm này cũng có thể được áp dụng cho các phiên bản ở các hệ điều hành khác.
Hiện tại, trên Google play có hai phiên bản, Bkav Mobile Security và Bkav Mobile security dành riêng cho người dùng Viettel (một nhà mạng di động của Việt nam), hai phiên bản này có mã nguồn không khác nhau qúa nhiều (gần như y hệt nhau về code), cả 02 phiên bản đều có số lượt người dùng, số lượt tải rất nhiều, hơn 01 triệu lượt tải cho Bkav Mobile Security, và hơn 100 nghìn lượt tải cho phiên bản dành cho Viettel
2. Thử khai thác
2.1. Phương pháp khai thác Phương pháp khai thác sẽ được giả định như sau:
01 người dùng sử dụng điện thoại Android Trên điện thoại đó có cài Bkav Mobile Security Người khai thác có số điện thoại của người dùng (điều kiện hoàn toàn dễ dàng phải không?).
2.2. Cài đặt Tôi sử dụng Linux Burp Suite là proxy cho máy Android file apk của Bkav Mobile Security (bms.main.apk từ Google Play) một số công cụ dịch ngược apk (apktool, dex2jar, jdgui) 2.3. Khai thác Sau khi cài đặt Bkav Mobile Security (từ đây, viết tắt là Bkav Mobile Security) lên máy Android, phần mềm Bkav Mobile Security sẽ gửi yêu cầu lên máy chủ của Bkav thực hiện đăng ký đối với người chưa có tài khoản, xác thực người dùng (đối với người dùng đã có tài khoản Bkav Mobile Security), username là số điện thoại của bạn. Đây là yêu cầu được gửi đến máy chủ Bkav(Request):
Các thông tin được gửi về dưới dạng text/html, thay vì json như nhiều ứng dụng mobile phổ dụng khác, điều này khiến chúng ta nghĩ đến việc thiếu chuyên nghiệp của người viết phần mềm. Mật khẩu (password như trong hình) được gửi về từ phía máy chủ, mặc dù đã được mã hóa. Sử dụng repeater của Burp Suite, thay đổi giá trị trong yêu cầu gửi đến máy chủ, chỉ sử dụng số điện thoại, ta có thể láy được câu trả lời gần như tương tự từ máy chủ. Như vậy, bất cứ ai cũng có thể lấy được mật khẩu của bạn dưới dạng mã hóa, cái cần chỉ là số điện thoại của bạn
Sau khi lấy được mật khẩu đã mã hóa, thử dịch ngược file .apk của Bkav Mobile Security xem cách họ đã mã hóa password.
Ồ, hoàn toàn là một phương pháp mã hóa vớ vẩn: encrypted_pass = md5(‘bkis’+your_pass+’bkavtulu’) Những chuỗi ‘bkis’, ‘bkavtulu’ được cho vào để mã hóa cùng với mật khẩu mà bạn đã chọn, hoàn toàn không dựa trên một nền tảng nào về mật mã học. Mã hóa md5 có thể được crack một cách dễ dàng bằng một số công cụ phổ biến, và thậm chí online tại nhiều website (ví dụ https://hashkiller.co.uk/md5decrypter.aspx) Sử dụng mật khẩu ta có thể truy cập vào mobile.bkav.vn
Sau khi đăng nhập xong, ta bị redirect đến màn hình này, rõ ràng là người xây dựng trang web đã qúa bất cẩn
Về lại trang chủ, ta sẽ được redirect đến trang hoạt động, tại đây ta có thể khóa máy, báo chuông, lấy nhật ký điện thoại.
2.4. Đọc tin nhắn, lấy nhật ký điện thoại Bạn không nhất thiết phải crack mật khẩu để có thể đọc được tin nhắn, nhật ký điện thoại, Bkav Mobile Security cho bạn chức năng Backup như sau:
Và đây là yêu cầu được gửi đến Server
Đây là trả lời từ máy chủ:
Một dạng mã hóa dựa trên base64, nhin vào code của Bkav Mobile Security:
Vâng, Bkav Mobile Security gửi tin sms, các contact của bạn trên nền tảng mã hóa base64. 3. Kết luận Bkav Mobile Security là một sản phẩm về an toàn dành cho điện thoại, tuy nhiên do phần mềm, và cả hệ thống phần mềm được thiết kế, và xây dựng thiếu an toàn, điều này khiến cho hơn 01 triệu người dùng phần mềm. bao gồm cả những người sử dụng BPhone trở thành nạn nhân của việc lấy cắp thông tin di động. Có thể nói không sai "Bkav Mobile Security biến điện thoại Android từ một chiếc điện thoại được thiết kế rất an toàn trở nên không an toàn"
1. Background Bkav Mobile Security là phiên bản phần mềm bảo mật do Bkav corp sản xuất và phân phối, bên cạnh phiên bản Bkav IS dành cho máy tính. Bkav Mobile Security hỗ trợi các hệ điều hành Android, Windows phone và iOS, trong văn bản này chỉ đề cập đến phiên bản dành cho Android, tuy nhiên sự không an toàn của phần mềm này cũng có thể được áp dụng cho các phiên bản ở các hệ điều hành khác.
Hiện tại, trên Google play có hai phiên bản, Bkav Mobile Security và Bkav Mobile security dành riêng cho người dùng Viettel (một nhà mạng di động của Việt nam), hai phiên bản này có mã nguồn không khác nhau qúa nhiều (gần như y hệt nhau về code), cả 02 phiên bản đều có số lượt người dùng, số lượt tải rất nhiều, hơn 01 triệu lượt tải cho Bkav Mobile Security, và hơn 100 nghìn lượt tải cho phiên bản dành cho Viettel
2. Thử khai thác
2.1. Phương pháp khai thác Phương pháp khai thác sẽ được giả định như sau:
01 người dùng sử dụng điện thoại Android Trên điện thoại đó có cài Bkav Mobile Security Người khai thác có số điện thoại của người dùng (điều kiện hoàn toàn dễ dàng phải không?).
2.2. Cài đặt Tôi sử dụng Linux Burp Suite là proxy cho máy Android file apk của Bkav Mobile Security (bms.main.apk từ Google Play) một số công cụ dịch ngược apk (apktool, dex2jar, jdgui) 2.3. Khai thác Sau khi cài đặt Bkav Mobile Security (từ đây, viết tắt là Bkav Mobile Security) lên máy Android, phần mềm Bkav Mobile Security sẽ gửi yêu cầu lên máy chủ của Bkav thực hiện đăng ký đối với người chưa có tài khoản, xác thực người dùng (đối với người dùng đã có tài khoản Bkav Mobile Security), username là số điện thoại của bạn. Đây là yêu cầu được gửi đến máy chủ Bkav(Request):
Các thông tin được gửi về dưới dạng text/html, thay vì json như nhiều ứng dụng mobile phổ dụng khác, điều này khiến chúng ta nghĩ đến việc thiếu chuyên nghiệp của người viết phần mềm. Mật khẩu (password như trong hình) được gửi về từ phía máy chủ, mặc dù đã được mã hóa. Sử dụng repeater của Burp Suite, thay đổi giá trị trong yêu cầu gửi đến máy chủ, chỉ sử dụng số điện thoại, ta có thể láy được câu trả lời gần như tương tự từ máy chủ. Như vậy, bất cứ ai cũng có thể lấy được mật khẩu của bạn dưới dạng mã hóa, cái cần chỉ là số điện thoại của bạn
Sau khi lấy được mật khẩu đã mã hóa, thử dịch ngược file .apk của Bkav Mobile Security xem cách họ đã mã hóa password.
Ồ, hoàn toàn là một phương pháp mã hóa vớ vẩn: encrypted_pass = md5(‘bkis’+your_pass+’bkavtulu’) Những chuỗi ‘bkis’, ‘bkavtulu’ được cho vào để mã hóa cùng với mật khẩu mà bạn đã chọn, hoàn toàn không dựa trên một nền tảng nào về mật mã học. Mã hóa md5 có thể được crack một cách dễ dàng bằng một số công cụ phổ biến, và thậm chí online tại nhiều website (ví dụ https://hashkiller.co.uk/md5decrypter.aspx) Sử dụng mật khẩu ta có thể truy cập vào mobile.bkav.vn
Sau khi đăng nhập xong, ta bị redirect đến màn hình này, rõ ràng là người xây dựng trang web đã qúa bất cẩn
Về lại trang chủ, ta sẽ được redirect đến trang hoạt động, tại đây ta có thể khóa máy, báo chuông, lấy nhật ký điện thoại.
2.4. Đọc tin nhắn, lấy nhật ký điện thoại Bạn không nhất thiết phải crack mật khẩu để có thể đọc được tin nhắn, nhật ký điện thoại, Bkav Mobile Security cho bạn chức năng Backup như sau:
Và đây là yêu cầu được gửi đến Server
Đây là trả lời từ máy chủ:
Một dạng mã hóa dựa trên base64, nhin vào code của Bkav Mobile Security:
Vâng, Bkav Mobile Security gửi tin sms, các contact của bạn trên nền tảng mã hóa base64. 3. Kết luận Bkav Mobile Security là một sản phẩm về an toàn dành cho điện thoại, tuy nhiên do phần mềm, và cả hệ thống phần mềm được thiết kế, và xây dựng thiếu an toàn, điều này khiến cho hơn 01 triệu người dùng phần mềm. bao gồm cả những người sử dụng BPhone trở thành nạn nhân của việc lấy cắp thông tin di động. Có thể nói không sai "Bkav Mobile Security biến điện thoại Android từ một chiếc điện thoại được thiết kế rất an toàn trở nên không an toàn"
0 nhận xét:
Post a Comment