サイト内の現在位置

MobSFを用いたAndroidアプリの動的解析手法

NECセキュリティブログ

2024年3月29日

NECサイバーセキュリティ戦略統括部セキュリティ技術センターの谷口です。
今回は、モバイルアプリケーション解析ツールの「MobSF(Mobile-Security-Framework-MobSF)」 new window [1]を用いた動的解析についてご紹介いたします。

MobSF(Mobile-Security-Framework-MobSF)とは

「MobSF」は、Ajin Abraham氏が作成したモバイルアプリケーション用のセキュリティ診断プラットフォームです。OSはAndroid、iOS、Windows Mobileをサポートしており、また、静的解析と動的解析に対応しています。今回はAndoirdアプリの動的解析手法について紹介いたします。静的解析については、「MobSFを用いたiOSアプリのソースコード解析」[2]、「モバイルアプリの脆弱性診断 ~MobSF（Mobile Security Framework）でAndroidアプリを診断してみた~」 new window [3]、「モバイルアプリの脆弱性診断 ~MobSF（Mobile Security Framework）でAndroidアプリを診断してみた 2~」[4]が参考になります。

動的解析機能の特徴は、完全自動化ではなく半自動で解析する点になります。アプリ内にあるユーザー名、パスワードの入力方法などのロジックをMobSFが自動で探索できないため、アプリ内の解析したい画面を手動で操作しながら解析する必要があります。

使用環境

次の環境を使用しました。

Windows11 64bit
Android Studio Flamingo | 2022.2.1 Patch 2
Android Studio Emulator(Nexus One API 28 Android 9.0 x86_64)
MobSF Dockerイメージ(opensecurity/mobile-security-framework-mobsf)
diva-android

Android Studioの準備

「Android Studio」 new window [5]をインストールします。「Android Studio」のインストール方法やシステム要件は「Install Android Studio」[6]をご参考下さい。
Android Studioをインストールして起動したら、図1のように画面右上の「Device manager」を開き、「Create device」を選択します。

図2のようにエミュレーターとして使用したい仮想デバイスの選択を行います。「MobSF」では仮想デバイスとして次のスペックを満たす必要があります。

Android 5.0～9.0
APIレベル28以下
Google APIイメージ(Play Storeイメージではrootへのアクセス権がないため不可)

MobSFのドキュメント「MobSF/docs」 new window [7]によるとAndroid 9.0、API28のデバイスが推奨されていたので、それを満たす「Nexus One」デバイスを選択し「Next」を押下し、図3の画面でデバイスイメージをダウンロードします。

デバイスイメージのダウンロードが完了したら、図4の画面でFinishを押下しAndroid Studioを終了します。

ダウンロードした仮想デバイスがインストールされているか、Windows11上のコマンドプロンプトで次のコマンドを入力して確認します。

> emulator -list-avds
Nexus_One_API_28

反映されたことが確認出来たら、次のコマンドを入力して仮想デバイスを起動します。起動したら図5のように「Extended Controls」から「Help」に記載されているデバイスのシリアルナンバーをメモします。このシリアルナンバーはMobSFを起動する際に指定する必要があります。

> emulator -avd Nexus_One_API_28 -writable-system -no-snapshot

adbコマンドで解析したいapkを仮想デバイスにインストールします。今回は以下のコマンドでセキュリティ評価用の脆弱に構築された「diva-android」 new window [8]アプリをインストールました。

> adb install DivaApplication.apk
Performing Streamed Install
Success

Androidの環境準備は以上になります。

MobSFの準備

「MobSF」は「Docker Hub」でコンテナイメージが公開されているので new window [9]、そのイメージを利用してセットアップします。Dockerを起動する際に-eオプションを用いて、仮想デバイス構築の際にメモしておいたデバイスのシリアルナンバーをMOBSF_ANALYZER_IDENTIFIERに指定し、実行します。

> docker pull opensecurity/mobile-security-framework-mobsf:latest
> docker run -it -e MOBSF_ANALYZER_IDENTIFIER=emulator-5554 -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest

Webブラウザでhttp://localhost:8000/にアクセスし、図6のように「DYNAMIC ANALYZER」→「Android Dynamic Analyzer」を選択して、先ほど仮想デバイスにインストールしたapkが画面に表示されることが確認できます。(図7)

図7の右上にある、「MobSFy Android Runtime」を押下して実行すると、解析に必要なパッケージである「Frida」 new window [10]や「MobSF」のAgentが仮想デバイスにインストールされるので、実行しておきます。実行が完了すると、図8のようにインストールが成功した実行結果が出力されます。

MobSFの準備は以上になります。

MobSFの動的解析手法

「Start Dynamic Analysis」を押下して開始すると、解析用の画面に切り替わり、様々なテスト項目やオプションが搭載されていることが確認できます。また、図9の中央には「MobSF」のアクティビティログとエラーログが出力されており、リアルタイムでMobSFの解析動作とエラー状況を確認することが可能です。
Fridaの機能は次の項目がデフォルトで有効化されています。

API Monitoring
SSL Pinning Bypass
Root Detection Bypass
Debugger Check Bypass
Clipboard Monitor

その他にもオプションで、ロードされたclassの列挙や文字列のキャプチャなどが使用できます。

図9の上部にある「MobSF」の動的解析項目の機能は次の通りです。

[項目]	[機能]
Show Screen	こちらを有効にするとエミュレーター本体を操作せずに、MobSFの画面内で操作することができます。2、3秒ほどのラグがあります。
Remove Root CA	Root CA証明書の削除、再インストールができます。
Unset HTTP(S) Proxy	HTTPS ProxyのON/OFFができます。
TLS/SSL Security Tester	HTTPプロトコル経由でネットワーク接続を実行する場合のみ実行できます。アプリに対して、証明書エラーやTLS/SSLのエラーをバイパスしHTTPS接続を許可できるか、公開鍵のピンニングがされているかなど複数のテストを実行できます。
Get Dependencies	アプリの依存関係を収集できます。
Take a Screenshot	仮想デバイスで表示している画面のスクリーンショットを撮ることができます。
Logcat Stream	仮想デバイスのログをリアルタイムで出力、収集できます。
Live API Monitor	アプリと通信しているAPIを10秒おきに表示、収集できます。
Generate Report	動的解析を終了して、収集したデータの解析とレポートを出力します。