Introducción al pentesting de aplicaciones móviles sin morir en el intento

Introducció al pentesting d'aplicacions mòbils sense morir a l'intent

Pentest para moviles

Abans de començar a parlar de pentesting mòbil hem d'establir les bases i diferenciar entre allò que és una anàlisi estàtica de l'aplicació i una anàlisi dinàmica. Però no sense parlar abans de l'estructura d'un APK.

El procés de desassemblar un APK s'anomena descompressió i és mitjançant aquest procés a través del qual aconseguim accedir a les entranyes del nostre binari:




Per això, n'hi hauria prou amb:

unzip APP.apk -d output-unzip

apktool d APP.apk -o output-apktool


A l'hora de descompilar el codi font, tenim dues maneres, per una banda podem generar el .smali que és el bytecode “llegible” per a humans (apktool), o generar el .java interpretat, no és el codi font original, però ens ajuda a entendre la lògica de laplicació de forma més senzilla (jadx).




Un cop tenim el codi font amb nosaltres passarem a parlar dels dos tipus d'anàlisis que cal tenir en compte a l'hora de fer un pentesting de mòbil. 

Anàlisi estàtica vs Dinàmic


A l'anàlisi estàtica s'analitza l'aplicació a nivell de codi i sense la interacció amb l'aplicació, i l'anàlisi dinàmica es revisa en temps d'execució, interactuant amb les funcionalitats.

Anàlisi estàtica

Amb l'eina Jadx intentarem cercar informació sensible:

  • Paraules clau o patrons vulnerables de codi. 
  • Credencials / api keys. 
  • Urls/endpoints.
  • Identificació de funcions importants: autenticació, canvis d‟estat, PII.
  • Identificació de funció de debug. Presència de comentaris al codi.
  • Identificació de funcions perilloses: ús demmagatzematge extern, execució de codi. Sanitització.
  • Secrets hardcodejats.

Automàtic

Tota l'anàlisi anterior es pot automatitzar amb la següent eina (MobSF):



A l'hora de parlar de pentesting mòbil hi ha una sèrie de component interessants (identificats per Mobsf a la imatge anterior), que us recomanem que dediquis temps a entendre (activitats, proveïdors, receptors i serveis exportables). Al proper article us parlarem sobre les activitats exportables.

Xuquiang Liu Xu, Pentester Jr. at Zerolynx i Alejandro Auñón, Offensive Security Analyst at Zerolynx.
Tornar al bloc

Deixa un comentari

Tingueu en compte que els comentaris s'han d'aprovar abans que es publiquin.