Introducción al pentesting de aplicaciones móviles sin morir en el intento

Aplikazio mugikorretarako pentesting-en hastapena saiatu gabe

Pentest para moviles

Pentesting mugikorrari buruz hitz egiten hasi baino lehen, oinarriak ezarri eta aplikazioaren analisi estatikoa eta analisi dinamikoa bereizi behar ditugu. Baina ez APK baten egituraz hitz egin aurretik.

APK bat desmuntatzeko prozesuari deskonpresio deritzo eta prozesu honen bidez gure bitarren barnera sartu gaitezke:




Horretarako, nahikoa izango litzateke:

deskonprimitu APP.apk -d irteera-deskonprimitu

apktool d APP.apk -o output-apktool


Iturburu-kodea deskonpilatzeko orduan, bi modu ditugu, alde batetik .smali sor dezakegu, hau da, gizakientzat "irakur daitekeen" bytecodea (apktool), edo interpretatutako .java sor dezakegu, ez da jatorrizko iturria. kodea, baina guk Aplikazioaren logika errazago ulertzen laguntzen du (jadx).




Iturburu-kodea gurekin dugunean, mugikorreko pentesting-a egiterakoan kontuan hartu beharreko bi analisi-motei buruz hitz egingo dugu. 

Analisi estatikoa vs dinamikoa


Analisi estatikoan, aplikazioa kode mailan eta aplikazioarekin interakziorik gabe aztertzen da, eta analisi dinamikoa exekuzioan berrikusten da, funtzionalitateekin elkarreraginean.

Analisi estatikoa

Jadx tresnarekin informazio sentikorra bilatzen saiatuko gara:

  • Gako-hitzak edo kode-eredu zaurgarriak. 
  • Kredentzialak / api gakoak. 
  • Url/amaiera-puntuak.
  • Funtzio garrantzitsuen identifikazioa: autentifikazioa, egoera-aldaketak, PII.
  • Arazte funtzioaren identifikazioa. Kodean iruzkinak egotea.
  • Funtzio arriskutsuen identifikazioa: kanpoko biltegiratzea, kodearen exekuzioa. Higienizazioa.
  • Gogor kodetutako sekretuak.

Automatikoa

Aurreko analisi guztia honako tresna honekin (MobSF) automatizatu daiteke:



Pentesting mugikorrei buruz hitz egitean osagai interesgarri batzuk daude (aurreko irudian Mobsf-ek identifikatuta), eta denbora ulertzeko gomendatzen dizugu (jarduerak, hornitzaileak, hartzaileak eta esporta daitezkeen zerbitzuak). Hurrengo artikuluan esporta daitezkeen jarduerei buruz hitz egingo dugu.

Xuquiang Liu Xu, Pentester Jr. Zerolynx eta Alejandro Auñón, Zerolynxko Segurtasun Iraingarriaren Analista.
Itzuli blogera

Utzi iruzkin bat

Kontuan izan iruzkinak argitaratu aurretik onartu behar direla.