Agenda Android アプリへのコード署名の仕組み Android アプリへのコード署名付与の現状弱い署名が施される原因調査あるべき姿の考察 1

Size: px

Start display at page:

Download "Agenda Android アプリへのコード署名の仕組み Android アプリへのコード署名付与の現状弱い署名が施される原因調査あるべき姿の考察 1"

つかさふじがわ
7 years ago
Views:

1 Android のコード署名に学ぶ IoT 時代のソフトウェアアップデート金岡晃 ( 東邦大学 ) 2018 年 4 月 17 日

2 Agenda Android アプリへのコード署名の仕組み Android アプリへのコード署名付与の現状弱い署名が施される原因調査あるべき姿の考察 1

3 Android アプリケーションのアップデートコード署名を利用インストールされるアプリケーションパッケージ (APK) がすでにインストールされている APK と比較して同じパッケージ名同じ署名者による署名バージョン番号が新しい場合はアップデートとみなされる 2

4 Android アプリケーションと電子署名 Android アプリマーケット電子署名付きのアプリケーションパッケージ (APK) Google Play における電子署名に関連する要件と推奨電子署名に用いる公開鍵暗号アルゴリズム :RSA DSA 証明書有効期限 :2033 年 10 月 22 日以降を必須日以上の有効期間を推奨アプリケーションへの署名, AndroidDevelopers, 3

5 APK の構造と電子署名 (RSA 鍵の場合 ) META-INF MANIFEST.MF CERT.SF CERT.RSA : ファイル名とそのハッシュ値が含まれたテキストファイル : ファイル名とそのハッシュ値が含まれたテキストファイル : 署名のハッシュ値と証明書 (PKCS#7 の署名データ ) lib res CERT.SF を署名鍵で署名して生成する assets AndroidManifest.xml classes.dex resources.arsc /4/17 PKI Day 2018

6 Android アプリケーションでの電子署名の用途電子署名の意味証明書信頼された認証局からの発行不要 = 自己署名証明書の利用が可能署名者の同一性確認データの完全性の確認 PKI 技術は使うが PKI が提供する信頼機構は使わない電子署名の応用署名者の同一性確認により以下のことが可能アプリのアップグレードアプリのモジュール性実現コードとデータの共有 5

7 アプリケーションのアップグレード App upgrade アプリケーションのアップグレード - アプリケーションのアップグレードをリリースするときユーザーが新バージョンにシームレスにアップグレードできるようにアップグレードされたアプリケーションにも同じ証明書で署名しますシステムがアプリケーションのアップデートをインストールする際は新バージョンの証明書のいずれかが旧バージョンの証明書と一致する場合システムがアップデートを許可します一致する証明書を使用せずに署名する場合はアプリケーションに別のパッケージ名を割り当てる必要がありますこの場合新しいバージョンがまったく新しいアプリケーションとしてインストールされます When the system is installing an update to an app, it compares the certificate(s) in the new version with those in the existing version. The system allows the update if the certificates match. If you sign the new version with a different certificate, you must assign a different package name to the app in this case, the user installs the new version as a completely new app. 6

8 アプリケーションのモジュール性 App modularity Android システムではアプリケーションが要求する場合同じ証明書で署名されたアプリケーションを同じプロセスで実行できますこれによりシステムはこれらを単一のアプリケーションとして取り扱いますこのようにすればアプリケーションをモジュールとして配備できユーザーは必要に応じて各モジュールを個別に更新できます Android allows APKs signed by the same certificate to run in the same process, if the apps so request, so that the system treats them as a single app. In this way you can deploy your app in modules, and users can update each of the modules independently. 7

9 許可によるコード / データ共有 Code/data sharing through permissions Android システムでは署名ベースの権限付与を実施しているためアプリケーションは指定された証明書で署名されている別のアプリケーションに機能を提供できます同じ証明書で複数のアプリケーションに署名し署名に基づいた権限のチェックを行うことでアプリケーションはコードとデータを安全な方法で共有できます Android provides signature-based permissions enforcement, so that an app can expose functionality to another app that is signed with a specified certificate. By signing multiple APKs with the same certificate and using signature-based permissions checks, your apps can share code and data in a secure manner. 8

10 電子署名悪用による脅威同一署名者へのなりすまし以下の 3 つが可能にアプリのアップグレードアプリのモジュール性実現コードとデータの共有アップグレードによる上書き同一モジュール悪用パーミッション悪用なりすましの実現鍵の漏えい検証鍵の解析による署名鍵回復署名付きアプリと同じハッシュ値となるデータの生成 9

11 APK 電子署名の現状 :Fahl らの調査 S. Fahl, S. Dechand, H. Perl, F. Fischer, J. Smrcek, and M. Smith, Hey, NSA: Stay Away from my Market! Future Proofing App Markets against Powerful Attackers, ACM CCS 2014 分析対象対象 :Google Play 上の無料アプリ APK 数 :989,935 取得時期 :2014 年 4 月分析結果自己署名証明書 99.98% (380,285/380,345) 署名アルゴリズム鍵サイズ有効期限 2860 個が MD5 23 個が MD2 51.6% が RSA % が RSA % が RSA512(277) 70% が推奨期限内 12.3% が年 2033 が 1000 年以上 10

12 APK 電子署名の現状 : 吉田奏絵今井宏謙芹沢奈々森達哉金岡晃 Android アプリケーションにおける電子署名の大規模調査, CSS2016 分析対象対象 :PlayDrone データセット (Google Play 上の無料アプリ ) APK 数 :1,177,599 取得時期 :2014 年 4 月分析結果自己署名証明書 99.92% (1,177,185/1,177,599) 署名アルゴリズム鍵サイズ有効期限証明書の署名 :1.56%MD5(18,380) APK の署名 :4.49% が MD5(52,866) 49.24% が % が % が RSA512 ビット鍵 (223) 25 年以上が 80.58%(949,193) 11

13 署名アルゴリズムと鍵サイズ Algorithm and Key Size # of APKs RSA % RSA , % RSA , % RSA4096 3, % DSA , % Others % Algorithm # of Certs MD5 52, % SHA-1 1,123, % SHA % 512 ビット鍵は Amazon EC2 を使って 75 ドルで 4 時間で解読できる (Valenta@FC2016) 衝突攻撃は容易衝突が発見 (2017) /4/17 PKI Day 2018

14 APK 電子署名の現状 : 吉田奏絵今井宏謙芹沢奈々森達哉金岡晃 Android アプリケーションに対する弱い電子署名の脅威分析, SCIS 2018 弱いアルゴリズム利用のリスク明確化他のデータセットでの調査ダウンロード数調査 2016 年での状況調査弱いアルゴリズム利用の原因分析開発環境の初期設定調査アプリ生成アプリアプリ作成補助サービス対策ガイドラインの検討 OS 開発者アプリ開発者マーケット管理者アプリ作成補助サービス事業者 13

15 他のデータセットを含めた調査データセット APK 数署名数証明書数 PlayDrone 1,177,599 1,178,118 1,178,116 Alandroid 10,655 10,657 10,654 APPVN 34,415 34,433 34,485 Aptoide 138, , ,291 Baidu 138, , ,122 Blackmart 100, , ,367 CafeBazaar 54,034 54,069 54,109 entumovil GetJar 37,715 37,682 37,689 Mobogenie 31,546 31,570 31,590 MoboMarket 20,095 20,102 20,140 Uptodown 59,428 59,434 59,557 Yandex 22,964 22,969 22,975 zhushou , , ,673 Androzoo 3,834,514 3,830,320 3,839,527 Total 5,863,898 5,867,415 5,870,531 自己署名証明書 99.85% (5,862,531) 署名アルゴリズム APK の署名 :5.96%MD5 (349,478) 鍵サイズ 47.74% が % が RSA512 (837) 有効期限 25 年以上が 97.68% (5,734,146) 14

16 他のデータセットを含めた調査調査項目 Fahl SEC2014 CSS2016 本研究自己署名証明書 99.98% 99.92% 99.85% MD5 利用 (*1) 0.29% 4.49% 5.96% 鍵サイズ RSA % 49.24% 49.80% 有効期限 RSA % 48.13% 47.74% RSA % 0.02% 0.01% 70% が推奨期限内 80.58% が 25 年以上 97.68% が 25 年以上 *1: Fahl らの結果は証明書の署名アルゴリズムと APK の署名アルゴリズムのどちらについての調査かの明言がない 15

17 弱いアルゴリズム利用のリスク明確化ダウンロード数 PlayDrone データセット内の APK 署名に MD5 を利用していた 52,866 個の APK のうち Metadata( 周辺情報 ) があった 48,586 個の APK に対してダウンロード数の調査を行った 12,000 ダウンロード数とアプリ数 11,153 10,000 8,000 7,764 7, 万超えは 499 個 5000 万超えは 21 個 6,000 4,000 2, ,868 1,354 4,440 4,393 2,304 4,141 1,122 1,

18 弱いアルゴリズム利用のリスク明確化 2016 年 12 月での状況調査 PlayDrone データセット内で MD5 署名利用と 512 ビット RSA 鍵利用をしていたアプリを再度ダウンロード Nexus7(2012) MD5 利用 52,866 個中 22,517 個の APK 取得 89.52% が引き続き MD5 を利用アルゴリズムアプリ数割合 MD5 24, % SHA-1 2, % SHA % 512 ビット RSA 鍵利用 223 個中 78 個の APK 再取得すべてが引き続き 512 ビット RSA 鍵を利用 17

19 電子署名悪用による脅威同一署名者へのなりすまし以下の 3 つが可能にアプリのアップグレードアプリのモジュール性実現コードとデータの共有アップグレードによる上書き同一モジュール悪用パーミッション悪用なりすましの実現鍵の漏えい検証鍵の解析による署名鍵回復署名付きアプリと同じハッシュ値となるデータの生成無視できるリスクではない 18

20 原因分析 : 開発環境の初期設定調査 APK への代表的な署名方法 Keytool と Jarsigner を利用してコマンドラインで署名 JavaSE(JDK) に依存 Eclipse の ADT プラグインで ADT Export Wizard 利用 JDK と Android Development Tools(ADT) に依存 Android Studio で Generate Signed APK を利用 Android Studio に依存 19

21 Java SE Java SDK Key Alg. Key Size Sign for APK Sign for Cert version 6 RSA 1024 MD5withRSA MD5withRSA DSA 1024 SHA1withDSA SHA1withDSA version 7 RSA 2048 SHA256withRSA SHA256withRSA DSA 1024 SHA1withDSA SHA256withRSA version 8 RSA 2048 SHA256withRSA SHA256withRSA DSA 1024 SHA1withRSA SHA1withRSA Eclipse with ADT ADT ver. JDK Key Alg. Key Size Sign for APK Sign for Cert v RSA 1024 SHA1 SHA1withRSA RSA 2048 SHA1 SHA256withRSA Android Studio MD5 署名や512ビットRSA 鍵の主原因とは考えにくい Studio ver. JDK Key Alg. Key Size Sign for APK Sign for Cert RSA 2048 SHA1 SHA256withRSA RSA 2048 SHA1 SHA256withRSA 20

22 原因分析 :512 ビット RSA 鍵類似傾向の発見 PlayDrone データセット上で 512 ビット RSA 鍵を使っていたアプリ 211 / 223 個の APK の証明書 DN に類似傾向 CN= < ある固定キーワード > { アプリごとの数値列 } OU=< ある固定キーワード > O=Android Developers L=Anon ST=Anon C=US 調査の結果特定のアプリにより生成されたアプリであることが判明 2016 年の段階でも当該アプリは存在し引き続き生成されたアプリは 512 ビット RSA 鍵で署名されていたことを確認 21

23 原因分析 : アプリ作成補助サービスアプリ開発の補助を行う特定のツールやサービス APK 署名に MD5 を利用しているアプリの証明書やパッケージ名に共通する文字列を分析開発ツール名個数割合ツールサービスA 9, % ツールサービスB 1, % ツールサービスC % ツールサービスD % ツールサービスE % ツールサービスF % ツールサービスG % 22

24 まとめ 23

25 要因の考察スマートフォン端末とアプリの拡大幅広い開発者の参入 OS が提供するアプリ機能の充実化複雑化した構造脅威リスクの理解の困難性現状ミス悪用による不適切利用リスク拡大多機能性の一端を電子署名による保証を利用して実現 OS アプリ構造の複雑化脅威リスクと電子署名証明書鍵への要件のバランスが取れていないアプリ機能と署名要件の乖離が当初より拡大してきた可能性 24

26 あるべき姿の考察コード署名による利便性署名に関連する要件の不適切さアップデートモジュール化コード / データ共有署名関連の要件を適切に鍵更新を許容しないモデル脆弱なアルゴリズムが利用可能長期間の有効期限を持つ証明書の強制開発ツール側でも対応可能に 25

27 開発ツール側でも対応可能に現行 PKI を使いこなせない開発者は将来的な暗号技術も使いこなせないという前提に立つべき開発者が意識しなくても ( あるいは意識が少なくても ) 安全に開発可能な開発ツールや環境プラットフォームを構築 26

28 まとめ Android アプリへのコード署名の仕組み Android アプリへのコード署名付与の現状 RSA/DSA 鍵証明書有効期限 25 年以上推奨弱いアルゴリズム利用 : RSA512 MD5 弱い署名が施される原因調査アプリやサービスにより簡易に生成されたアプリあるべき姿の考察鍵と証明書が更新可能なエコシステム開発者フレンドリーな環境 27

<4D F736F F D F81798E518D6C8E9197BF33817A88C38D868B5A8F70834B D31292E646F63>

<4D F736F F D F81798E518D6C8E9197BF33817A88C38D868B5A8F70834B D31292E646F63> 参考資料 3 CRYPTREC 暗号技術ガイドライン (SHA-1) 2014 年 3 月独立行政法人情報通信研究機構独立行政法人情報処理推進機構目次 1. 本書の位置付け... 1 1.1. 本書の目的... 1 1.2. 本書の構成... 1 1.3. 注意事項... 1 2. ハッシュ関数 SHA-1 の利用について... 2 2.1. 推奨されない利用範囲... 2 2.2. 許容される利用範囲...

Agenda Android アプリへのコード署名の仕組み Android アプリへのコード署名付与の現状 弱い署名が施される原因調査 あるべき姿の考察 1

Agenda Android アプリへのコード署名の仕組み Android アプリへのコード署名付与の現状弱い署名が施される原因調査あるべき姿の考察 1