Introducción al pentesting de aplicaciones móviles sin morir en el intento

Einführung in das Pentesting mobiler Anwendungen, ohne beim Versuch zu sterben

Pentest para moviles

Bevor wir über mobiles Pentesting sprechen, müssen wir die Grundlagen legen und zwischen statischer Analyse der Anwendung und dynamischer Analyse unterscheiden. Aber nicht bevor wir über die Struktur einer APK gesprochen haben.

Der Prozess der Zerlegung einer APK wird als Dekomprimierung bezeichnet und durch diesen Prozess können wir auf die Innereien unserer Binärdatei zugreifen:




Dazu würde es ausreichen:

entpacken Sie APP.apk -d Output-unzip

apktool d APP.apk -o Ausgabe-apktool


Wenn es darum geht, den Quellcode zu dekompilieren, haben wir zwei Möglichkeiten: Einerseits können wir die .smali-Datei generieren, die der für Menschen „lesbare“ Bytecode ist (apktool), oder die interpretierte .java-Datei generieren, die nicht die Originalquelle ist Code, aber wir Es hilft, die Logik der Anwendung leichter zu verstehen (jadx).




Sobald wir den Quellcode haben, sprechen wir über die beiden Analysearten, die bei der Durchführung mobiler Pentests berücksichtigt werden müssen. 

Statische vs. dynamische Analyse


Bei der statischen Analyse wird die Anwendung auf Codeebene und ohne Interaktion mit der Anwendung analysiert, während die dynamische Analyse zur Laufzeit überprüft wird und mit den Funktionalitäten interagiert.

Statische Analyse

Mit dem Jadx-Tool werden wir versuchen, nach sensiblen Informationen zu suchen:

  • Anfällige Schlüsselwörter oder Codemuster. 
  • Anmeldeinformationen/API-Schlüssel. 
  • URLs/Endpunkte.
  • Identifizierung wichtiger Funktionen: Authentifizierung, Statusänderungen, PII.
  • Identifizierung der Debug-Funktion. Vorhandensein von Kommentaren im Code.
  • Identifizierung gefährlicher Funktionen: Verwendung von externem Speicher, Codeausführung. Desinfektion.
  • Hartcodierte Geheimnisse.

Automatisch

Alle oben genannten Analysen können mit dem folgenden Tool (MobSF) automatisiert werden:



Wenn es um mobiles Pentesting geht, gibt es eine Reihe interessanter Komponenten (im vorherigen Bild durch Mobsf gekennzeichnet), für deren Verständnis wir Ihnen empfehlen (Aktivitäten, Lieferanten, Empfänger und exportierbare Dienstleistungen). Im nächsten Artikel werden wir über exportierbare Aktivitäten sprechen.

Xuquiang Liu Xu, Pentester Jr. bei Zerolynx und Alejandro Auñón, Offensive Security Analyst bei Zerolynx.
Zurück zum Blog

Hinterlasse einen Kommentar

Bitte beachten Sie, dass Kommentare vor der Veröffentlichung genehmigt werden müssen.

Neueste Artikel

Alles sehen
  • NTLMv1 Downgrade attack

    NTLMv1-Downgrade-Angriff

    NetNTLMv1-Downgrade  Wie wir bereits in früheren Beiträgen erwähnt haben, werden wir nach der erzwungenen Authentifizierung und dem Erhalt des NetNTLM-Hashs des Passworts des Computerbenutzers des Opfers hauptsächlich mit … konfrontiert.

    NTLMv1-Downgrade-Angriff

    NetNTLMv1-Downgrade  Wie wir bereits in früheren Beiträgen erwähnt haben, werden wir nach der erzwungenen Authentifizierung und dem Erhalt des NetNTLM-Hashs des Passworts des Computerbenutzers des Opfers hauptsächlich mit … konfrontiert.

  • ¿Por qué se han caído los servicios de medio mundo tras un fallo de Crowdstrike?

    Warum sind nach einem Crowdstrike-Misserfolg di...

    Heute, am 19. Juli 2024, sind viele Unternehmen weltweit auf den bekannten „Blue Screen of Death“ (BSOD) in ihren Systemen gestoßen. Dieser Misserfolg hat viele Unternehmen dazu gezwungen, ihre...

    Warum sind nach einem Crowdstrike-Misserfolg di...

    Heute, am 19. Juli 2024, sind viele Unternehmen weltweit auf den bekannten „Blue Screen of Death“ (BSOD) in ihren Systemen gestoßen. Dieser Misserfolg hat viele Unternehmen dazu gezwungen, ihre...

  • IA y Deepfakes: un dúo peligroso en las manos equivocadas

    KI und Deepfakes: ein gefährliches Duo in den f...

    Das aufkommende Wachstum der Künstlichen Intelligenz hat es ermöglicht, Schlüsselsektoren wie die Medizin, die Wirtschaft, den Energiesektor oder den Transport zu verändern. Im aktuellen Panorama, Geheimdienst...

    KI und Deepfakes: ein gefährliches Duo in den f...

    Das aufkommende Wachstum der Künstlichen Intelligenz hat es ermöglicht, Schlüsselsektoren wie die Medizin, die Wirtschaft, den Energiesektor oder den Transport zu verändern. Im aktuellen Panorama, Geheimdienst...

1 3
Alles sehen