SQL Injection in Apps - Gehaxelts Blog

Ich hatte in letzter Zeit vieles mit den SQL Injections zu tun, und mir kam heute der Gedanke, ob solche nicht auch in Apps auf dem Android-Smartphone möglich sind.

Meine Vermutung hatte sich nach einem Beispielprogramm bestätigt, es ist nämlich möglich, jedoch sehr eingeschränkt.

Es gibt die Möglichkeit eine eigene SQL-Klasse zu schreiben, welche von der SQLiteOpenHelper erweitert wird. Diese stellt dem Programmierer die wichtigsten Datenbankoperationen CRUD (Create, Read, Update, Delete) bereitstellt.

Meinen Beispielcode gibt es nun zu sehen:

package in.gehaxelt.sqlinjection; import java.util.ArrayList; import java.util.List; import android.content.ContentValues; import android.content.Context; import android.database.Cursor; import android.database.sqlite.SQLiteDatabase; import android.database.sqlite.SQLiteOpenHelper; public class Databasehelper extends SQLiteOpenHelper { static final String DBNAME = "sqlinjection" ; static final int DBVERSION = 1; static final String TABLENAME = "sqlinjection" ; static final String COLID = "ID" ; static final String COLTYPE = "TYPE" ; static final String COLDATE = "DATE" ; static final String COLTIME = "TIME" ; public Databasehelper(Context context) { super(context, DBNAME, null, DBVERSION); // TODO Auto-generated constructor stub } @Override public void onCreate(SQLiteDatabase db) { // TODO Auto-generated method stub db.execSQL("CREATE TABLE "+TABLENAME+"( "+COLID+ " INTEGER PRIMARY KEY AUTOINCREMENT, "+COLTYPE+" TEXT, "+ COLDATE + " VARCHAR(10), "+ COLTIME + " VARCHAR (5))"); db.execSQL("INSERT INTO "+TABLENAME+" (TYPE,DATE,TIME) VALUES ('testtype','testdate','testtime')"); db.execSQL("INSERT INTO "+TABLENAME+" (TYPE,DATE,TIME) VALUES ('testtype2','testdate2','testtime2')"); db.execSQL("INSERT INTO "+TABLENAME+" (TYPE,DATE,TIME) VALUES ('testtype3','testdate3','testtime3')"); } @Override public void onUpgrade(SQLiteDatabase db, int oldVersion, int newVersion) { // TODO Auto-generated method stub db.execSQL("DROP TABLE "+ TABLENAME+" "); onCreate(db); } public String getID(String id){ String selectQuery = "SELECT TYPE FROM " + TABLENAME+ " where ID = "+id; SQLiteDatabase db = this.getReadableDatabase(); Cursor cursor = db.rawQuery(selectQuery, null); if (cursor.moveToFirst()) { db.close(); return cursor.getString(0); } return ""; } }

Die Funktion “onCreate” wird einmalig beim ersten Erzeugen der Databasehelper-Klasse aufgerufen, und erzeugt die entsprechende Datenbank, welche dann auf dem Smartphone, für non-roots unerreichbar, abgelegt wird.

Es wird die Tabelle “sqlinjection” angelegt, und einige Demoeinträge erstellt.

Die eigentliche problematische Funktion ist “getID”, welche dazu dient, die Datenbank lesend zu öffnen

SQLiteDatabase db = this.getReadableDatabase();

und daraufhin ein Query auszuführen, bei dem der SQL-Befehl aus dem Tabellennamen und dem übergebenen Parameter “id” zusammengestellt wird.

String selectQuery = "SELECT TYPE FROM " + TABLENAME+ " where ID = "+id;

Daraufhin kommt ein Cursor ins Spiel, welcher die Zeilenposition darstellt, über den man auf die einzelnen Einträge einer Ergebnismenge einer Datenbankabfrage zugreifen kann. Bei mir im Beispiel liefert es den ersten Eintrag als String zurück.

Cursor cursor = db.rawQuery(selectQuery, null);
if (cursor.moveToFirst()) {
db.close();
return cursor.getString(0)
}

Nun brauchen wir nur noch einen Code, welcher die Eingabe der SQL Injection ermöglicht.

package in.gehaxelt.sqlinjection; import android.app.Activity; import android.os.Bundle; import android.view.View; import android.view.View.OnClickListener; import android.widget.Button; import android.widget.EditText; public class SQLInjectionActivity extends Activity implements OnClickListener { /** Called when the activity is first created. */ Button gobutton; EditText injection; Databasehelper DB; @Override public void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.main); gobutton=(Button)findViewById(R.id.gobutton); injection=(EditText)findViewById(R.id.injection); gobutton.setOnClickListener(this); DB = new Databasehelper(getApplicationContext()); } @Override public void onClick(View v) { // TODO Auto-generated method stub if(v==gobutton) { debugger.debug(injection.getText().toString()); try { String ouput= DB.getID(injection.getText().toString()); debugger.debug(ouput); } catch (Exception e) { // TODO: handle exception e.printStackTrace(); } } } }

Der wichtigere Teil des Codes ist folgender:

try {
String ouput= DB.getID(injection.getText().toString());
debugger.debug(ouput);
} catch (Exception e) {
// TODO: handle exception
e.printStackTrace();
}

Bei einem Druck auf den Button, wird das Query ausgeführt, die Rückgabe im String “output” abgelegt und danach im Debugger angezeigt.

Nun kann man fröhlich seine SQL Injection ausprobieren bzw. ausnutzen.

Was dann folgende Debuggermeldung hervorruft:

Wie man sieht, konnten wir nun erfolgreich eine SQL Injection durchführen, da statt des Types, das Datum ausgegeben wird.

Diese Praktiken sind aber sehr eingeschränkt zu illegalen Zwecken zu gebrauchen, da man keinen Zugriff auf andere Datenbanken anderer Apps erlangen kann, und man dagegen auf die Tabellen der angegriffenen App begrenzt ist.

Um sich gegen solche Angriffe zu schützen, sollte man den Typ des Parameters “id” der Funktion “getID” auf einen Integer ändern, und dann beim String mit Integer.toString(id) arbeiten, denn dies wirft bei einer Eingabe eines nicht -numerischen Zeichens dann eine NumberFormatExeception wirft, sodass entweder die Applikation abstürzt, falls kein entsprechender Try-Catch-Block diese abfängt.

Das war es dann auch schon zu dieser Untersuchung.

Gruß

gehaxelt