Androidは、プログラムにてその先「使われない」機密オブジェクトからメモリを開放する明確なAPIを提供していない。"java.security.*"ライブラリならば、機密データを保持したり（例：KeyStore.PasswordProtection）機密コンテンツを削除するAPI（例:destroy()）のクラスを提供している。しかし、それらのAPIを使う責任は開発者に任されている。開発者はコードのかなり遅い段階でそれらのAPIを呼ぶこともあるし、呼ぶこと自体忘れてしまっていることもある。 本講演では、わたし達はすべてのプログラム文において、アプリケーションがどのセキュリティ上重要なオブジェクトを将来使わなくなるかを見つけ出すための新しいアプローチを提案する。わたし達の「データフロー分析」の結果を使うことで、セキュリティ上重要なオブジェクトが最後に使われた直後にそれらを削除でき、その結果セキュリティ上重要な情報をダンプしようとする攻撃者を阻むことができる。この方法で、アプリは徹底的な防御を提供できる。 わたし達は、存在するすべてのスコープ（instance field、static field、local）内でオブジェクトを追跡する機能を、自作のAndrosiaというツールに組み込んでいる。Androsiaは静的コード分析を使って、サマリベースのプロシージャー間データフロー分析を行い、セキュリティ上の機密オブジェクトが最後に使われたプログラムのポイントを特定する。それからAndrosiaはアプリのバイトコード変換を行い、オブジェクトに初期値を再設定することで機密データを削除する。

1. Androsia
一歩先のメモリ内Androidアプリケーションデータの保護

2. C:>whoami
• サミット・アンワル
• プロダクトセキュリティチーム @Citrix R&D India Pvt Ltd
• ウェブ／モバイルアプリケーションセキュリティの熱狂者
• 過去の講演
• AppSec USA (Orlando, USA),
• c0c0n (Cochin, India),
• IEEE Services (Anchorage, Alaska),
• ACM MobileSOFT, ICSE (Hyderabad, India),
• IEEE CloudCom (Bristol, UK)
• Email: samit.anwer@gmail.com, Twitter: @samitanwer1, LinkedIn

3. Agenda
• 概要
• 動機
• 背景
• 手法
• 現在取り組んでいること

4. 概要

5. • 全プログラムレベルで最後に利用されたオブジェクトを特定するにはどうすれば
よいか？
• サマリを基にした相互プロセス的データフロー解析
概要
81 2 3 4 5 6 7 9 10
def x use xdef x use x
second
initialization
Img. ref: https://blog.fastthread.io/2016/07/06/troubleshoot-outofmemoryerror-unable-to-create-new-native-thread/
生存 生存
死亡
死亡
死亡
最初の
初期化
2回目の
初期化 最終利用

6. 動機

7. • 認証クレデンシャル
• 認証トークン
• 暗号化・復号化鍵
• PIN
• ワンタイムパスワード （OTP）
• 個人情報（PII）
オブジェクトは機微情報を含み得る

8. “ガベージコレクタが何とかしてくれる”
Want to ensure object’s content gets cleared?
理想:
参照忘れ
 メモリリーク
非到達可能オブジェクト  ガベージ
到達可能オブジェクト
ガベージコレクタのルート
Ref: https://www.dynatrace.com/resources/ebooks/javabook/how-garbage-collection-works/
現実:

9. StringBuilder オブジェクトをリセット
• 未使用／到達可能な StringBuilder オブジェクトは機微情報を含んでいる可能性
が高い
• ヒープのダンプは機微情報を明らかにする
• ガベージコレクタが機微情報を消去してくれることに
期待してはならない
• 上書きによりすべての決定的な情報を破壊しよう
Ref: https://www.pentestpartners.com/security-blog/how-to-extract-sensitive-plaintext-data-from-android-memory/?doing_wp_cron=1500911283.6790690422058105468750
“参照したオブジェクトは
開発者自身の問題だ”

10. java.security.* の不足

11. Eclipse Memory Analyzer
ヒープダンプ
（挿入前）
ヒープダンプ
（挿入後）

12. 背景

13. Sootによる静的コード解析
• Soot – Java（バイトコード）向けフレー
ムワーク。静的解析ツールの開発を
可能とする。
• Jimpleを呼び出す3番地コードを生成す
る
• データフロー解析の実装を支援する
• 内部プロセス的に
• 相互プロセス的に
• Sootには DalvikをJimpleに変換する
モジュールがなかった
そこで Dexpler
Soot のワークフロー
Dalvik
HTML
グラフ
エラー
メッセージ
Java
ソース
TamiFlex
出力
Java
ソース
Scala
ソース
Java
ソース
JastAddパーサー
最適化／変換されたクラスファイル＋アトリビュート
クラスファイル
バイトコードの生成
解析、最適化、タグ付け
Java仮想マシン
Jimple 3-address IRを作成

14. Further reading:
Instrumenting Android Apps with Soot, http://www.bodden.de/2013/01/08/soot-
android-instrumentation/
Dexpler: Converting Android Dalvik Bytecode to Jimple for Static Analysis with Soot,
https://arxiv.org/pdf/1205.3576.pdf
• Androidアプリはメインメソッドを持たない
• FlowDroidはdummyMainMethod()を生成する
• Androidのライフサイクルメソッドやコールバック
の模型を作る
FlowDroid
Img. ref: https://developer.android.com/reference/android/app/Activity.html#ActivityLifecycle
アクティビティ
開始
アクティビティ
実行状態
アクティビティ終了中または破棄中
アクティビティ
終了
アクティビティが不可視
ユーザーがアクティビティに
誘導
ユーザーがアクティビティに
誘導
ユーザーがアクティビティ
にリターン
他のアクティビティ
が最前面に移行
優先度が高い
アプリケーションが
メモリを要求

15. 設計の概要
6. 再パックとAPKサイン
または
解析結果の供給
1. 共有ソースまたはAPK
2. アンパック
アプリの
開発者／
ユーザー
サーバー
3. 変換
Androsia
5. 変換
4. 変換／挿入 Jimple
コード
Dex
7. 変換されたAPK・解析結果

16. SB Objects – どのスコープに存在するか？
public void foo(){
SB x, y, z;
[x = new SB(“s3cr3t”);]1
[y = new SB(“p@55w0rd”);]2
[if(y.length() < x.length()){
[z = y;]4
} else{
[z = y.append(“007”);]5
}]3
class MyClass{
static SB x;
public static void foo(){
SB y, z;
[x = new SB(“s3cr3t”);]1
[y = new SB(“p@55w0rd”);]2
[if(y.length() < x.length()) {
[z = y;]4
} else{
bar();5
}]3
}}
public static void bar(){
System.out.println(MyClass.x);
}
ローカル変数 静的フィールド
Abbrev.
SB: StringBuilder

17. インスタンスフィールド
class MyClass
{
private SB x;
public SB getSBx(){
return x;
}
public SB setSBx(SB str){
x=str;
}
}
public static void foo(){
MyClass obj = new MyClass();
SB str= new SB();
obj.setSBx(str)
S.O.P(obj.getSBx());
}

18. public class MainActivity
{
protected void onCreate(Bundle b) {
User.static_secret= new SB("p@55w0rd");
CheckStatic cs= new CheckStatic();
cs.useStaticField();
}
}
デモ – 静的な SB
public class User {
public static SB static_secret;
}
public class CheckStatic {
public void useStaticField()
{
S.O.P(User.static_secret);
bar();
}
public void bar()
{
S.O.P(User.static_secret);
}
}
しかしライフサイクルはそんなに単純じゃない
- ループが発生することもある
デモ

19. 手法

20. コードのラインに何が存在するか？
• どのデータに興味があるか？
この後のスライド：
• 生存変数解析とは何か？
• すべてのメソッドのサマリをどう計算するか？
e.g. Summary(foo) = ( x , if(y.length() < x.length()))
 Step 1: すべてのステートメントに対する def-use セットの計算
 Step 2: すべてのステートメントに対する LVentry および LVexit セットの計算
 LVentry と LVexit  メソッド内の ローカル／静的フィールドの参照 (SFR) に対する最終利用地点 (LUP)  サマリ
• SPR に対する LUP を全プログラムレベルで計算するためにサマリをどのように用いるか
データの
生存

21. • 生存変数解析は以下のことを決定する
• すべてのステートメントに対して、どの変数が次の変数の定義に先立っ
て後続の利用を必要とするのか
生存変数解析
x
y
z
public void foo(){
SB x, y, z;
[x = new SB(“s3cr3t”);]1
[y = new SB(“p@55w0rd”);]2
[x = new SB(“hello”);]3
[if(y.length() < x.length()) {
}]4
[z = y;]5
[z = y.append(“007”);]6
[x = z;]7
} else{
Abbrev.
SB: StringBuilder
変数を最後に用いた場所 ≅
変数が生存していた時の最後のステート
メント
}

22. 1. def-use セットの計算
• def セット: ステートメントの中で定義された変数
• use セット: ステートメントの中で用いられた、または
見積もられた変数
public void foo(){
SB x, y, z;
[x = new SB(“s3cr3t”);]1
[y = new SB(“p@55w0rd”);]2
[x = new SB(“hello”);]3
[if(y.length() < x.length()) {
[z = y;]5
} else{
[z = y.append(“007”);]6
}]4
[x = z;]7
}
Abbrev.
SB: StringBuilder

23. 1. def-use セットの計算 (cntd.)
SB x, y, z;
[x = new SB(“s3cr3t”);]1
[y = new SB(“p@55w0rd”);]2
[x = new SB(“hello”);]3
[if(y.length() < x.length()){
[z = y;]5
}
else{
[z = y.append(“007”);]6
}]4
[x = z;]7
I def(l) use(l)
1 { x } ∅
2 { y } ∅
3 { x } ∅
4 ∅ { x, y }
5 { z } { y }
6 { z } { y }
7 { x } { z }

24. LVentry(6)
LVexit(6)
LVexit(4)
LVentry(4)
LVentry(3)
LVexit(3)
1
3 4
5
6
LVentry(2)
LVentry(1)
LVentry(5)
2
LVexit(5)
LVexit(2)
LVexit(1)
LV データフローの方向

25. 2. LVentry (l) & LVexit(l) の計算
• フロー等式は2つの関数によって表現できる:
LVexit (l) = ∅ , if l = blast
∪s ∈ succ [l] {LVentry (s)} , otherwise
LVentry (l) = ( LVexit (l) – def(l) ) ∪ use(l)

26. 2. LVentry (l) & LVexit(l) の計算
public void foo(){
SB x;SB y;SB z;
[x = new SB(“s3cr3t”);]1
[y = new SB(“p@55w0rd”);]2
[x = new SB(“hello”);]3
[if(y.length() < x.length()) {
[z = y;]5
} else{
[z = y.append(“007”);]6
}]4
[x = z;]7
LVentry(7) { z }
LVexit(7) ∅
LVentry(6) { y }
LVexit(6) { z }
LVentry(5) { y }
LVexit(5) { z }
LVentry(4) { x, y }
LVexit(4) { y }
LVentry(3) { y }
LVexit(3) { x, y }
LVentry(2) { ∅ }
LVexit(2) { y }I def(l) use(l)
1 { x } ∅
2 { y } ∅
3 { x } ∅
4 ∅ { x, y }
5 { z } { y }
6 { z } { y }
7 { x } { z }
Summary(foo) = { Local, LUP( Local / Aliases ) }
または
{ StaticFieldRef, LUP( SFR / Aliases ) }
I LVentry(l) LVexit(l)
1 ∅ ∅
2 ∅ { y }
3 { x, y }
4 { x, y } { y }
5 { y } { z }
6 { y } { z }
7 { z } ∅
{ y }
LVentry(3) { y }
LVexit(3) { x, y }
LVentry (l) = ( LVexit (l) – def(l) ) ∪ use(l)

27. サマリは逆トポロジーオーダーで計算
public void foo(){
A1
A2
A3 bar();
A4
A5
}
public void bar(){
B1
B2
B3 baz();
B4
B5 sfr used
}
public void baz(){
C1
C2
C3
C4 sfr used
C5
C6
}
Summ(baz)
LVexit (B3) = LVentry(B4) = {sfr, B5}
Summ(bar)
LVexit (A3) = LVentry(A4) = {∅}
Summ(baz) = {sfr, C4}
{ baz, (sfr,C4) }
プログラムレベルでの “sfr” の最終利用は以下の時点で発生する:
Summ(bar) = {sfr, B5}
{ bar, (sfr,B5) }
Summ(bar) = {sfr, ∅}
LVentry(C4) = {sfr, C4}
LVentry(B5) = {sfr, B5}

28. • 生存変数解析とは何か？
• すべてのメソッドのサマリをどう計算するか？
e.g. Summary(foo) = ( x , if(y.length() < x.length()))
Step 1: すべてのステートメントに対する def-use セットの計算
Step 2: すべてのステートメントに対する LVentry および LVexit セットの計算
 LVentry と LVexit  メソッド内のローカル／静的フィールドの参照に対する最終利
用地点 (LUP)  サマリ
• SFRに対するLUPを全プログラムレベルで計算するためにサマリをどのように用いるか？
まとめ

29. インスタンスフィールド変数 - 手法
1. StringBuilderインスタンスフィールドを持つすべてのクラスをマーク
2. それらのオブジェクトインスタンスを探索
3. SBフィールドの代わりにオブジェクトインスタンスの最終利用とそれ
らのエイリアスを追跡
4. 各クラスにresetメソッドを追加

30. インスタンスフィールド
class MyClass
{
private SB a;
public SB setA(SB str){
a=str;
}
public void resetSb_A(){
……..
}
}
public class MainActivity{
public static void onCreate(){
SB my_secret= new SB(“S3cr3t”);
MyClass mc = new MyClass();
Wrapper w = new Wrapper();
w.callW(mc, my_secret);
resetSb_A();
}
}
DEMO
public class Wrapper {
public void callW( MyClass mc, SB my_secret ){
mc.setA(my_secret);
}
}
Last use of “mc”
Instrumented Code
1. StringBuilderインスタンスフィールドのすべてのクラス をマーク
2. それらのオブジェクトインスタンスを探索
3. オブジェクトインスタンスの最終利用を追跡
4. MyClassにresetメソッドを追加

31. • 試験用ソフトウェア集の開発
• 継続的統合および継続的デリバリーの採用
• 文書とコードはGitHubレポジトリに公開予定 -
https://github.com/samitanwer/Androsia (現在はプライベート設定)
現在取り組んでいること

32. 参考文献
1. Implementing an intra procedural data flow analysis in Soot,
https://github.com/Sable/soot/wiki/Implementing-an-intra-procedural-data-flow-analysis-in-Soot
2. Instrumenting Android Apps with Soot, http://www.bodden.de/2013/01/08/soot-android-
instrumentation
3. Dexpler: Converting Android Dalvik Bytecode to Jimple for Static Analysis with Soot,
https://arxiv.org/pdf/1205.3576.pdf
4. Precise Interprocedural Dataflow Analysis via Graph Reachability,
https://courses.cs.washington.edu/courses/cse590md/01sp/w1l2.pdf
5. Slides by Matthew B. Dwyer and Robby, University of Nebraska-Lincoln, Kansas State University