Introducción al pentesting de aplicaciones móviles sin morir en el intento

Introducció al pentesting d'aplicacions mòbils sense morir a l'intent

Celia Catalán

Pentest para moviles

Abans de començar a parlar de pentesting mòbil hem d'establir les bases i diferenciar entre allò que és una anàlisi estàtica de l'aplicació i una anàlisi dinàmica. Però no sense parlar abans de l'estructura d'un APK.

El procés de desassemblar un APK s'anomena descompressió i és mitjançant aquest procés a través del qual aconseguim accedir a les entranyes del nostre binari:




Per això, n'hi hauria prou amb:

unzip APP.apk -d output-unzip

apktool d APP.apk -o output-apktool


A l'hora de descompilar el codi font, tenim dues maneres, per una banda podem generar el .smali que és el bytecode “llegible” per a humans (apktool), o generar el .java interpretat, no és el codi font original, però ens ajuda a entendre la lògica de laplicació de forma més senzilla (jadx).




Un cop tenim el codi font amb nosaltres passarem a parlar dels dos tipus d'anàlisis que cal tenir en compte a l'hora de fer un pentesting de mòbil. 

Anàlisi estàtica vs Dinàmic


A l'anàlisi estàtica s'analitza l'aplicació a nivell de codi i sense la interacció amb l'aplicació, i l'anàlisi dinàmica es revisa en temps d'execució, interactuant amb les funcionalitats.

Anàlisi estàtica

Amb l'eina Jadx intentarem cercar informació sensible:

  • Paraules clau o patrons vulnerables de codi. 
  • Credencials / api keys. 
  • Urls/endpoints.
  • Identificació de funcions importants: autenticació, canvis d‟estat, PII.
  • Identificació de funció de debug. Presència de comentaris al codi.
  • Identificació de funcions perilloses: ús demmagatzematge extern, execució de codi. Sanitització.
  • Secrets hardcodejats.

Automàtic

Tota l'anàlisi anterior es pot automatitzar amb la següent eina (MobSF):



A l'hora de parlar de pentesting mòbil hi ha una sèrie de component interessants (identificats per Mobsf a la imatge anterior), que us recomanem que dediquis temps a entendre (activitats, proveïdors, receptors i serveis exportables). Al proper article us parlarem sobre les activitats exportables.

Xuquiang Liu Xu, Pentester Jr. at Zerolynx i Alejandro Auñón, Offensive Security Analyst at Zerolynx.
Tornar al bloc

Deixa un comentari

Tingueu en compte que els comentaris s'han d'aprovar abans que es publiquin.

Últims articles

Veure tot
  • La Ciberseguridad en los procesos de Autenticación: Riesgos y Soluciones

    La Ciberseguretat en els processos d'autenticac...

    Els sistemes d'autenticació, com ara els logins, són un objectiu constant de ciberatacs que busquen vulnerar la seguretat dels usuaris i accedir a informació sensible. Des de tècniques com a...

    La Ciberseguretat en els processos d'autenticac...

    Els sistemes d'autenticació, com ara els logins, són un objectiu constant de ciberatacs que busquen vulnerar la seguretat dels usuaris i accedir a informació sensible. Des de tècniques com a...

  • ¡Flu Project estrena nuevo aspecto!

    ¡Flu Project estrena nou aspecte!

    Aquest mes de desembre Flu Project farà 14 anys i hem volgut aprofitar aquesta fita per lluir un nou aspecte visual, més adaptat als nous temps i integrat amb el...

    ¡Flu Project estrena nou aspecte!

    Aquest mes de desembre Flu Project farà 14 anys i hem volgut aprofitar aquesta fita per lluir un nou aspecte visual, més adaptat als nous temps i integrat amb el...

  • A10:2021 – Server-Side Request Forgery (SSRF)

    A10:2021 – Falsificació de Sol·licituds del Llo...

    Descripció L'atac 'Server-Side Request Forgery' (SSRF) és un tipus d'atac en què un atacant abusa de la funcionalitat d'un servidor per fer sol·licituds HTTP a recursos interns o...

    A10:2021 – Falsificació de Sol·licituds del Llo...

    Descripció L'atac 'Server-Side Request Forgery' (SSRF) és un tipus d'atac en què un atacant abusa de la funcionalitat d'un servidor per fer sol·licituds HTTP a recursos interns o...

1 3
Veure tot