Nicht nur für Programmierer: Das Android-SDK

Für die Analyse mit dem Android-SDK standen den Kursteilnehmern in Mosambiks Hauptstadt Maputo drei unterschiedliche Google-Smartphones zur Verfügung, von denen sich nur das HTC Desire HD einem Jailbreak standhaft widersetzt hatte:

• HTC Desire HD (Android 2.3.3, nicht gerootet)
• HTC Desire Z (2.2.1, gerootet)
• LG-P350 (2.2.1, gerootet)

Die Installation des Android-SDK auf den Linux-Rechnern der Teilnehmer gestaltet sich recht einfach via Download [10] und Entpacken am besten nach »/opt« . Die im Folgenden vorgestellten Programme »android« , »abd« und »ddms« stehen nach der Installation leider in zwei verschiedenen Unterverzeichnissen.

Um sie von überall auf der Kommandozeile starten zu können, nimmt der folgende Befehl in der Datei »/etc/bash.bashrc« (oder in der »~/bash.bashrc« des Users) die beiden SDK-Verzeichnisse in die Umgebungsvariablen für die Pfadsuche auf:

export PATH=$PATH:/opt/android-sdk-linux_x86/tools
export PATH=$PATH:/opt/android-sdk-linux_x86/platform-tools

Vor dem ersten Start sind noch die Udev-USB-Profile zu ergänzen, damit später die Verbindung zu den Smartphones klappt. Die Hersteller-Informationen zum Erstellen einer Datei namens »51-android.rules« sind unter [11] detailliert beschrieben. Wer die Datei nicht manuell anlegen möchte, kopiert sie einfach aus der DELUG-DVD oder vom Listingsserver des Linux-Magazins [12] nach »/etc/udev/rules.d/« .

Wer im SDK unter »Available Packages« mindestens eine Plattform aus dem Android-Repository installiert hat, kann mit dem Tool »android« virtuelle Systeme erstellen. Das Angebot, gleich alle verfügbaren Plattformen auszuwählen, dürfte für die von deutschen Bandbreiten verwöhnten Leser meist als Default dienen, im schlecht angebundenen Ostafrika verwarfen die Teilnehmer des Trainings diese Idee jedoch schnell und beschränkten sich auf ein einzelnes SDK.

Ein eigenes Android

Nach der Installation legt der Anwender ein erstes Virtual Device an und vergibt einen Namen für das Gastsystem, wählt die gewünschte Android-Version (Abbildung 2) und einige weitere, meist selbsterklärende Parameter. Jetzt steht ihm ein virtuelles Software-Android für einige Tests zur Verfügung (Abbildung 3). Hat der PC Internetzugang, dann geht auch das virtuelle Android-Image sofort online. Schon damit eignet sich solch ein System hervorragend zur Malware-Analyse: »lsof -i -n -P« zeigt die Verbindung, über die sich Host und Gast unterhalten:

emulator- 8961 root 20r IPv4 578071520t0 TCP 127.0.0.1:5555 (LISTEN)
emulator- 8961 root 21r IPv4 578071530t0 TCP 127.0.0.1:5554 (LISTEN)

Abbildung 2: Im SDK wählt der Anwender die Android-Version.

Wer beispielsweise den HTTP-Traffic aufzeichnen will, geht einfach über die IP-Adresse des Hostsystems »tcpdump -i eth0 -s 0 -w sdk.cap port 80« . Auf Browser-Aktivitäten sollte er dabei allerdings verzichten, die würden ebenfalls aufgezeichnet. Alternativ dazu bietet das SDK die Möglichkeit, einen dedizierten Proxy zu verwenden.