Wall Street Journal で中国の電話メーカーに関する最近の記事を読みました。
ユーザーが7月中旬にオンラインで投稿した噂は、彼のRedMi Noteスマートフォンが北京のサーバーに「密かに」接続していたものの、データバックアップ機能をオフにしていたというものです。サーバーは携帯電話のメディアストレージアプリケーションに接続していたため、写真やその他のデータが北京に送信されていると考えていました。消費者はすでにデータのプライバシーについて一般的に警戒しているため、主張はインターネット全体で始まった
デスクトップコンピューターの場合、ファイアウォールについてある程度の知識があれば、ネットワークパケットをログに記録し、それらの宛先IPを確認することで、発信接続を簡単に追跡できます。しかし、そのような侵入型ソフトウェアのインストールが電話の応援といくつかの特殊なソフトウェアのインストールを必要とする可能性のある携帯電話の場合、技術志向のあまりないユーザーが自分の電話が自分の個人データを密かに送信しているかどうかを知る簡単な方法はありますか?
簡単な方法?たぶん、それはAndroid侵入テストまたは関連システムでのあなた自身の経験に依存します。 Linux。そして、あなたが進んでいくレベルのペリノアです。
コマンドラインに精通している場合は、no-root BusyBoxをインストールし、ターゲットデバイスで自動同期をオフにしてnetstat -plant
を実行し、ポートとアドレス、およびデバイスがリッスンして接続しているプロセスIDをリストします。プロセスIDは、ls -hal /proc/<PID_number>/exe
を使用してシンボリックリンクを一覧表示することでさらに調査できます。ただし、これはすべての形式のマルウェアを検出するわけではありません。一部は、デバイスが特定の状態;正当なプロセスのIDをフォークまたは取得するのは、いまだに厄介です。一般的なセキュリティのために、アプリTustable by Bluebox
はターゲットデバイスで既知のエクスプロイトをスキャンするのにかなり簡単に使用できますが、これと他のスキャナーはknownエクスプロイトとBlueboxは、あなたが現在エクスプロイトされているかどうかさえ教えてくれません。
Rootの場合Android(攻撃/スニッフィング)別のデバイスとそのWiFiアクセスポイント間のトラフィックをインターセプトするために、InterceterNG
とDSploit
が好きです。ただし、これが携帯電話で機能し、WiFiを介してallトラフィックを強制するには、まずターゲットを「機内モード」にしてから、WiFiをオンにする必要がありますオン。次に、攻撃しているAndroidデバイスでインターセプターを起動し、傍受します。 WireSkarkはpcapファイルに役立ちますが、タイムスタンプ付きのIPとパケットだけが必要な場合、IntercepterNGは外出先で素晴らしいです。それも助けようとしますストリップhttps。
ターゲットデバイスでスニッフィングを行う場合は、RRCpacketsniffer
とAndroid IMSI Catcher
またはLogging Test App
を試してみてください。これらすべてに、独自のNiceユーザーインターフェイスと機能があり、探索することができます。これらはrootに適していますが、ネットワークに影響を与えるものが何もないときにドロップされたパケットをログに記録するのに役立つNoRoot Data Firewall
もあります。また、デバイスにアクセスできる場合は、Android USBデバッグブリッジADB
を介してreverse modum USB tether
をセットアップし、デバイスが接続されているPCにすべてのトラフィックをルーティングすることができます。 rootは必要ありませんが、セットアップに必要な作業量はほぼ同じです。
Androidターゲットのセキュリティリスクを根本的に緩和するには、Xprivacy Installer
が好きです。データへのアクセスをブロックする代わりに、広告/スパイウェアアプリにジャンクをフィードする可能性があるためです。正当なアプリへのアクセスをブロックするよりもエラーが少なくなります。 Xposedフレームワークには、ターゲットになると思われる前に設定できる、デバイス上のセキュリティのための他の楽しいプラグインもあります。ただし、Xposedがシステムにシステムの多くの制御を与えるため、デバイスがすでに危険にさらされていると思われる場合はお勧めできません。
ターゲットデバイスの無線を介して送信されているデータの完全な洞察が必要な場合は、RIL
無線インターフェースレイヤーを使用することで、より親しみやすくなります ここでは、アーティカルの一部です また、WiFi以外のネットワークを介して送信されたパケットをキャプチャする必要がある場合は(まず、お住まいの地域の周波数範囲の合法性に注意してください)、SDRデバイスが完全なベースとして機能するために必要なソフトウェア定義無線のSDR
ステーション(携帯電話の塔)とこれらの周波数範囲で中間攻撃の完全な男をプリフォームします。USB接続のSDRと2番目のAndroidを使用して、いくつかの chroot magic モバイルBTS
。他の携帯電話が誤って接続することを許可しないボックス(ファラデーケージ)に両方(ターゲットデバイスとSDRアンティーナ)を入れれば、ターゲットのパケットをキャプチャしようとするときに法則を破ることを回避できます。オンエア中にパケットを送信する飛行機モードも良い印であり、あなたは荒々しいプロセスをしている
これらを簡単から難しいの順にリストして、Androidのネットワーキング機能に飛び込むときに見つけるのが少し難しい情報にのみリンクしようとしました。残念ながら、Androidのネットワーキングの基盤には固有のドライバーがあるため、現在のところ、何が行われ、どのような脆弱性が利用可能であるかについては、常に少し謎があります。さらに、デバイスが危険にさらされている場合、十分に高度な攻撃者がデバイスのID(ESN/IMEI/SIM番号)を複製し、ターゲットがオフになっている場合やネットワークにアクセスできない場合でも、複製されたデバイスは代わりに通話とテキストを受信します。ターゲットデバイスがオンになっている場合は、コイン投げが最初に鳴る確率が高くなります...
思考の偏見について:
アプリのAndroidデバイスでネットワークアクセスを制限するためにもう少しテストを行った後(iptablesのファンシーなGUI)、これまでの最高のテストは afwall ソースはgithubにあり、インターフェイスはiptablesの知識がほとんどまたはまったくない状態で使用するのに十分簡単です。さらに、バックアップされたルールは、iptablesチェーンとロギング機能を効果的に使用する方法についての優れた学習ガイドとして使用できるという点が優れています。ただし、デバイスがすでにより巧妙なモバイルルートキットの形式から補完された(信頼できる場合は信頼できません)。
あなたの思考の自己訓練のための破壊的なことについて;
また、1つのAndroidデバイスをターゲットとして使用し、別のデバイスをエクスプロイターとして使用していくつかのテストを実行しています インストールと再構成のsonopsis は、リンクされたstackoverflowトピックで見つけることができます。十分に教育された攻撃者にデバイスを感染させ、ネットワーク範囲内のほぼすべてのデバイスにデバイスを感染させ、デバイスが接続されると(つまり、充電用のPC)、次のターゲットになる可能性があります。ネットワークビットは古いニュースですが、調査の実行中にADB
を実行しているPCに感染するためにUSBベースの攻撃が使用されていることを心配します... このリンク の信頼性に関する知識はありませんが、BadAndroid
をダウンロードしています。どのようにBadUSBは製品ではなく機能であり、多くのデバイスは、プラグインしたばかりのものをシステムに通知するために使用できます。
今のところ、私はそれを見たことはありませんが、あなたの電話があなたのPCに感染する可能性があり、あなたの電話が他の人の電話に感染する可能性もあります。これまでのテストでは、Metasploitの動作は遅いものの、スクリプト化されたアクションやログを悪用するデバイスにプッシュバックするために非常に使用可能であることが示されています。 Androidでターゲットのファイルシステムのリモートファイルブラウジングのためにポートが正しく転送されている場合でも、一部のアプリは正常に機能し、エクスプロレーションを実行します。 fstabのカスタムマウントポイントオプションが大好きです。 Androidデバイスは、プリンター、ルーター、およびモジュールを攻撃するのに優れていますが、非常に安全なLinuxサーバーまたはホームPC、MS-boxを攻撃するバックアップがないと、パッチが適用されずに残されたエクスプロイトが非常に危険です。
テストを実行するときは注意深く、テストを実行しているPCが疑わしいと考えてください。 USBをサンドボックス化するためのKVM
またはfirejail
、つまり何かを設定することを検討してください。PC上のjailされたシステムとホストOSの両方を監視するためにADB
とtripwire
を設定してください。それでも、ホストPCを別のネットワークに配置し、別のデバイスを介してリモートで監視し、パケットキャプチャを実行したり、中間者攻撃を実行したりすることができます。電話機を接続し、PCが発信SSH接続を確立しようとする場合、調査するマルウェアの非常に高度なセット勝ったがあります。電話機が接続されているときのPCからのあらゆる種類のネットワークアクティビティは、USB経由のモデムテザリングをセットアップしない限り、非常に悪い兆候であるはずです。
ニュースの更新
私が聞いた話は、奇妙なポップアップがユーザーに自分の電話を自分のコンピューターにプラグインするように言った、そして(驚いたことに)自分のコンピューターがもううまく機能しておらず、自分の電話はまだおかしい振る舞いそして料金を維持していません。ストアから新しい携帯電話を探していると、このモバイルユーザーは完全に困惑し、担当のサービスエージェントは言葉を失いました...うまくいけば、同期を求められたときに古いコンピューターにも新しい携帯電話を接続しないように言われました。
かつては知られていましたが、十分に活用されていなかった攻撃ベクトルは、今や流行しており、クロスプラットフォームマルウェアのマーカーによって使用されています。 USBを介して証拠収集を行う場合に、セキュリティに対する脅威の可能性について読者を常に最新の状態に保つだけで、FUDを行う必要はありません。
Wiresharkは、wifiネットワークを経由する場合、wifiネットワーク上のすべてのデバイスのネットワークトラフィックを表示します。
ただし、暗号化されている場合、コンテンツは表示されず、宛先IPと無意味なバイトのブロブのみが表示されます。
モバイルデータネットワーク経由で送信された場合は、まったく表示されません。
これを行うための基本的な概念は、トラフィックをスニッフィングすることです。次のようにして行うことができます。ラップトップからアクセスポイントを作成し、携帯電話でそのアクセスポイントに接続し、作成したそのポイントでWiresharkを開始します。電話があなたをスパイしているというデータを渡す場合、そのデータは暗号化されている可能性があり、知らない可能性があります。それがあなたに関する本当に機密データであるが、それが試してみる価値がある方法で暗号化されていない場合があります。
AndroidもしあなたがRootedならWireshark、AFWall +、...ネットワークを監視することができます。
しかし、あなたが根ざしていないなら、「Packet Capture byグレイシャツ」が本当の魔法です!!!