Android Applications Pentesting
Únete al servidor de HackenProof Discord para comunicarte con hackers experimentados y cazadores de recompensas por errores.
Información sobre Hacking Involúcrate con contenido que profundiza en la emoción y desafíos del hacking
Noticias de Hacking en Tiempo Real Mantente actualizado con el mundo del hacking a través de noticias e información en tiempo real
Últimos Anuncios Mantente informado sobre los nuevos programas de recompensas por errores que se lanzan y las actualizaciones importantes de las plataformas
Únete a nosotros en Discord y comienza a colaborar con los mejores hackers hoy mismo!
Conceptos Básicos de Aplicaciones Android
Se recomienda encarecidamente comenzar leyendo esta página para conocer las partes más importantes relacionadas con la seguridad de Android y los componentes más peligrosos en una aplicación de Android:
ADB (Android Debug Bridge)
Esta es la herramienta principal que necesitas para conectarte a un dispositivo Android (emulado o físico). ADB permite controlar dispositivos ya sea por USB o por Red desde un ordenador. Esta utilidad permite la copia de archivos en ambas direcciones, instalación y desinstalación de aplicaciones, ejecución de comandos de shell, respaldo de datos, lectura de registros, entre otras funciones.
Echa un vistazo a la siguiente lista de Comandos de ADB para aprender cómo usar adb.
Smali
A veces es interesante modificar el código de la aplicación para acceder a información oculta (quizás contraseñas bien ofuscadas o banderas). Entonces, podría ser interesante descompilar el apk, modificar el código y recompilarlo. En este tutorial puedes aprender cómo descompilar un APK, modificar el código Smali y recompilar el APK con la nueva funcionalidad. Esto podría ser muy útil como una alternativa para varias pruebas durante el análisis dinámico que se van a presentar. Entonces, siempre ten en cuenta esta posibilidad.
Otros trucos interesantes
Extraer APK del dispositivo:
Fusiona todos los splits y apks base con APKEditor:
Análisis Estático
En primer lugar, para analizar un APK debes echar un vistazo al código Java utilizando un decompilador. Por favor, lee aquí para encontrar información sobre diferentes decompiladores disponibles.
Buscando información interesante
Simplemente echando un vistazo a las cadenas de texto del APK puedes buscar contraseñas, URLs (https://github.com/ndelphit/apkurlgrep), claves API, encriptación, UUIDs de Bluetooth, tokens y cualquier cosa interesante... busca incluso por puertas traseras de ejecución de código o puertas traseras de autenticación (credenciales de administrador codificadas en la aplicación).
Firebase
Presta especial atención a las URLs de Firebase y verifica si está mal configurado. Más información sobre qué es Firebase y cómo explotarlo aquí.
Comprensión básica de la aplicación - Manifest.xml, strings.xml
El examen del archivo _Manifest.xml y strings.xml de una aplicación puede revelar posibles vulnerabilidades de seguridad. Estos archivos se pueden acceder utilizando decompiladores o cambiando la extensión del archivo APK a .zip y luego descomprimiéndolo.
Las vulnerabilidades identificadas en el Manifest.xml incluyen:
Aplicaciones en modo depuración: Las aplicaciones configuradas como depurables (
debuggable="true"
) en el archivo Manifest.xml representan un riesgo ya que permiten conexiones que pueden llevar a la explotación. Para comprender mejor cómo explotar aplicaciones en modo depuración, consulta un tutorial sobre cómo encontrar y explotar aplicaciones en modo depuración en un dispositivo.Configuraciones de respaldo: El atributo
android:allowBackup="false"
debería establecerse explícitamente para aplicaciones que manejan información sensible para evitar copias de seguridad no autorizadas a través de adb, especialmente cuando la depuración por USB está habilitada.Seguridad de red: Las configuraciones personalizadas de seguridad de red (
android:networkSecurityConfig="@xml/network_security_config"
) en res/xml/ pueden especificar detalles de seguridad como pines de certificados y configuraciones de tráfico HTTP. Un ejemplo es permitir tráfico HTTP para dominios específicos.Actividades y servicios exportados: Identificar actividades y servicios exportados en el manifiesto puede resaltar componentes que podrían ser mal utilizados. Un análisis adicional durante las pruebas dinámicas puede revelar cómo explotar estos componentes.
Proveedores de contenido y FileProviders: Los proveedores de contenido expuestos podrían permitir el acceso o modificación no autorizados de datos. También se debe examinar la configuración de los FileProviders.
Receptores de difusión y esquemas de URL: Estos componentes podrían ser aprovechados para la explotación, prestando especial atención a cómo se gestionan los esquemas de URL para posibles vulnerabilidades de entrada.
Versiones del SDK: Los atributos
minSdkVersion
,targetSDKVersion
ymaxSdkVersion
indican las versiones de Android compatibles, resaltando la importancia de no admitir versiones antiguas y vulnerables de Android por razones de seguridad.
Desde el archivo strings.xml, se pueden descubrir información sensible como claves API, esquemas personalizados y otras notas de desarrollador, subrayando la necesidad de revisar cuidadosamente estos recursos.
Tapjacking
Tapjacking es un ataque donde una aplicación maliciosa se lanza y se posiciona sobre una aplicación víctima. Una vez que oculta visualmente la aplicación víctima, su interfaz de usuario está diseñada de tal manera que engaña al usuario para que interactúe con ella, mientras pasa la interacción a la aplicación víctima. En efecto, engaña al usuario para que no sepa que en realidad está realizando acciones en la aplicación víctima.
Encuentra más información en:
Secuestro de tareas
Una actividad con el launchMode
configurado como singleTask
sin ninguna taskAffinity
definida es vulnerable al secuestro de tareas. Esto significa que una aplicación puede ser instalada y si se inicia antes que la aplicación real, podría secuestrar la tarea de la aplicación real (por lo que el usuario estará interactuando con la aplicación maliciosa pensando que está usando la real).
Más información en:
Almacenamiento de datos inseguro
Almacenamiento interno
En Android, los archivos almacenados en el almacenamiento interno están diseñados para ser accesibles exclusivamente por la aplicación que los creó. Esta medida de seguridad es aplicada por el sistema operativo Android y generalmente es adecuada para las necesidades de seguridad de la mayoría de las aplicaciones. Sin embargo, a veces los desarrolladores utilizan modos como MODE_WORLD_READABLE
y MODE_WORLD_WRITABLE
para permitir que los archivos sean compartidos entre diferentes aplicaciones. Sin embargo, estos modos no restringen el acceso a estos archivos por otras aplicaciones, incluidas las potencialmente maliciosas.
Análisis estático:
Asegúrate de que el uso de
MODE_WORLD_READABLE
yMODE_WORLD_WRITABLE
sea escrutado cuidadosamente. Estos modos pueden exponer potencialmente los archivos a accesos no deseados o no autorizados.
Análisis dinámico:
Verifica los permisos establecidos en los archivos creados por la aplicación. Específicamente, verifica si algún archivo está configurado para ser legible o escribible a nivel mundial. Esto puede representar un riesgo de seguridad significativo, ya que permitiría que cualquier aplicación instalada en el dispositivo, independientemente de su origen o intención, lea o modifique estos archivos.
Almacenamiento externo
Al tratar con archivos en el almacenamiento externo, como las tarjetas SD, se deben tomar ciertas precauciones:
Accesibilidad:
Los archivos en el almacenamiento externo son legibles y escribibles globalmente. Esto significa que cualquier aplicación o usuario puede acceder a estos archivos.
Preocupaciones de seguridad:
Dada la facilidad de acceso, se recomienda no almacenar información sensible en el almacenamiento externo.
El almacenamiento externo puede ser eliminado o accedido por cualquier aplicación, lo que lo hace menos seguro.
Manejo de datos desde el almacenamiento externo:
Siempre realiza validación de entrada en los datos recuperados desde el almacenamiento externo. Esto es crucial porque los datos provienen de una fuente no confiable.
Almacenar ejecutables o archivos de clase en el almacenamiento externo para carga dinámica está fuertemente desaconsejado.
Si tu aplicación debe recuperar archivos ejecutables desde el almacenamiento externo, asegúrate de que estos archivos estén firmados y verificados criptográficamente antes de ser cargados dinámicamente. Este paso es vital para mantener la integridad de seguridad de tu aplicación.
El almacenamiento externo puede ser accedido en /storage/emulated/0
, /sdcard
, /mnt/sdcard
A partir de Android 4.4 (API 17), la tarjeta SD tiene una estructura de directorios que limita el acceso desde una aplicación al directorio específico para esa aplicación. Esto evita que aplicaciones maliciosas obtengan acceso de lectura o escritura a los archivos de otra aplicación.
Datos sensibles almacenados en texto claro
Preferencias compartidas: Android permite a cada aplicación guardar fácilmente archivos xml en la ruta
/data/data/<nombrepaquete>/shared_prefs/
y a veces es posible encontrar información sensible en texto claro en esa carpeta.Bases de datos: Android permite a cada aplicación guardar bases de datos sqlite fácilmente en la ruta
/data/data/<nombrepaquete>/databases/
y a veces es posible encontrar información sensible en texto claro en esa carpeta.
TLS roto
Aceptar todos los certificados
Por alguna razón, a veces los desarrolladores aceptan todos los certificados incluso si, por ejemplo, el nombre de host no coincide con líneas de código como la siguiente:
Criptografía Rota
Procesos de Gestión de Claves Deficientes
Algunos desarrolladores guardan datos sensibles en el almacenamiento local y los cifran con una clave codificada/predecible en el código. Esto no debería hacerse, ya que un proceso de reversión podría permitir a los atacantes extraer la información confidencial.
Uso de Algoritmos Inseguros y/o Obsoletos
Los desarrolladores no deberían utilizar algoritmos obsoletos para realizar comprobaciones de autorización, almacenar o enviar datos. Algunos de estos algoritmos son: RC4, MD4, MD5, SHA1... Si se utilizan hashes para almacenar contraseñas, por ejemplo, se deben utilizar hashes resistentes a ataques de fuerza bruta con sal.
Otras comprobaciones
Se recomienda ofuscar el APK para dificultar el trabajo de ingeniería inversa a los atacantes.
Si la aplicación es sensible (como las aplicaciones bancarias), debería realizar sus propias comprobaciones para ver si el móvil está rooteado y actuar en consecuencia.
Si la aplicación es sensible (como las aplicaciones bancarias), debería comprobar si se está utilizando un emulador.
Si la aplicación es sensible (como las aplicaciones bancarias), debería verificar su propia integridad antes de ejecutarse para comprobar si fue modificada.
Utilizar APKiD para comprobar qué compilador/empaquetador/ofuscador se utilizó para construir el APK.
Aplicación React Native
Lee la siguiente página para aprender cómo acceder fácilmente al código JavaScript de las aplicaciones React:
Aplicaciones Xamarin
Lee la siguiente página para aprender cómo acceder fácilmente al código C# de las aplicaciones Xamarin:
Aplicaciones Superpacked
Según esta publicación de blog, superpacked es un algoritmo Meta que comprime el contenido de una aplicación en un solo archivo. El blog habla sobre la posibilidad de crear una aplicación que descomprima este tipo de aplicaciones... y una forma más rápida que implica ejecutar la aplicación y recopilar los archivos descomprimidos del sistema de archivos.
Análisis de Código Estático Automatizado
La herramienta mariana-trench es capaz de encontrar vulnerabilidades escaneando el código de la aplicación. Esta herramienta contiene una serie de fuentes conocidas (que indican a la herramienta los lugares donde la entrada está controlada por el usuario), sumideros (que indican a la herramienta lugares peligrosos donde la entrada maliciosa del usuario podría causar daños) y reglas. Estas reglas indican la combinación de fuentes-sumideros que indican una vulnerabilidad.
Con este conocimiento, mariana-trench revisará el código y encontrará posibles vulnerabilidades en él.
Secretos filtrados
Una aplicación puede contener secretos (claves API, contraseñas, URLs ocultas, subdominios...) en su interior que podrías descubrir. Podrías usar una herramienta como https://github.com/dwisiswant0/apkleaks
Saltar la Autenticación Biométrica
Otras funciones interesantes
Ejecución de código:
Runtime.exec(), ProcessBuilder(), código nativo:system()
Enviar SMS:
sendTextMessage, sendMultipartTestMessage
Funciones nativas declaradas como
native
:public native, System.loadLibrary, System.load
Otros trucos
Únete al servidor de HackenProof Discord para comunicarte con hackers experimentados y cazadores de bugs!
Perspectivas de Hacking Participa en contenido que profundiza en la emoción y desafíos del hacking
Noticias de Hacking en Tiempo Real Mantente actualizado con el mundo del hacking a través de noticias e información en tiempo real
Últimos Anuncios Mantente informado sobre los nuevos programas de recompensas por errores que se lanzan y las actualizaciones importantes de la plataforma
Únete a nosotros en Discord y comienza a colaborar con los mejores hackers hoy!
Análisis Dinámico
En primer lugar, necesitas un entorno donde puedas instalar la aplicación y todo el entorno (certificado Burp CA, Drozer y Frida principalmente). Por lo tanto, se recomienda encarecidamente un dispositivo rooteado (emulado o no).
Análisis Dinámico en línea
Puedes crear una cuenta gratuita en: https://appetize.io/. Esta plataforma te permite subir y ejecutar APKs, por lo que es útil para ver cómo se comporta un APK.
Incluso puedes ver los registros de tu aplicación en la web y conectarte a través de adb.
Gracias a la conexión ADB, puedes usar Drozer y Frida dentro de los emuladores.
Análisis Dinámico Local
Usando un emulador
Android Studio (Puedes crear dispositivos x86 y arm, y según esto las últimas versiones x86 admiten bibliotecas ARM sin necesidad de un emulador ARM lento).
Aprende a configurarlo en esta página:
Genymotion (Versión gratuita: Personal Edition, necesitas crear una cuenta. Se recomienda descargar la versión CON VirtualBox para evitar posibles errores.)
Nox (Gratis, pero no es compatible con Frida o Drozer).
Al crear un nuevo emulador en cualquier plataforma, recuerda que cuanto más grande sea la pantalla, más lento funcionará el emulador. Por lo tanto, selecciona pantallas pequeñas si es posible.
Para instalar servicios de Google (como AppStore) en Genymotion, debes hacer clic en el botón marcado en rojo de la siguiente imagen:
Además, ten en cuenta que en la configuración de la VM de Android en Genymotion puedes seleccionar el modo Bridge Network (esto será útil si te vas a conectar a la VM de Android desde una VM diferente con las herramientas).
Usar un dispositivo físico
Debes activar las opciones de depuración y será genial si puedes rootearlo:
Ajustes.
(Desde Android 8.0) Selecciona Sistema.
Selecciona Acerca del teléfono.
Presiona Número de compilación 7 veces.
Vuelve atrás y encontrarás las Opciones de desarrollador.
Una vez que hayas instalado la aplicación, lo primero que debes hacer es probarla e investigar qué hace, cómo funciona y familiarizarte con ella. Sugiero realizar este análisis dinámico inicial utilizando el análisis dinámico de MobSF + pidcat, para poder aprender cómo funciona la aplicación mientras MobSF captura una gran cantidad de datos interesantes que puedes revisar más adelante.
Fuga de Datos No Intencionada
Registro
Los desarrolladores deben tener cuidado de exponer información de depuración públicamente, ya que puede llevar a fugas de datos sensibles. Se recomiendan las herramientas pidcat y adb logcat
para monitorear los registros de la aplicación y así identificar y proteger información sensible. Pidcat es preferido por su facilidad de uso y legibilidad.
Ten en cuenta que a partir de Android 4.0 en adelante, las aplicaciones solo pueden acceder a sus propios registros. Por lo tanto, las aplicaciones no pueden acceder a los registros de otras aplicaciones. De todas formas, se recomienda no registrar información sensible.
Caché del Portapapeles
El marco de Android basado en el portapapeles permite la funcionalidad de copiar y pegar en las aplicaciones, pero plantea un riesgo ya que otras aplicaciones pueden acceder al portapapeles, exponiendo potencialmente datos sensibles. Es crucial desactivar las funciones de copiar/pegar para secciones sensibles de una aplicación, como detalles de tarjetas de crédito, para prevenir fugas de datos.
Registros de Errores
Si una aplicación se bloquea y guarda registros, estos registros pueden ayudar a los atacantes, especialmente cuando la aplicación no puede ser ingenierizada inversamente. Para mitigar este riesgo, evita registrar en caso de errores, y si los registros deben ser transmitidos a través de la red, asegúrate de que se envíen a través de un canal SSL para mayor seguridad.
Como pentester, intenta echar un vistazo a estos registros.
Datos Analíticos Enviados a Terceros
Las aplicaciones a menudo integran servicios como Google Adsense, que pueden filtrar datos sensibles involuntariamente debido a una implementación incorrecta por parte de los desarrolladores. Para identificar posibles fugas de datos, es recomendable interceptar el tráfico de la aplicación y verificar si se envía alguna información sensible a servicios de terceros.
Bases de Datos SQLite
La mayoría de las aplicaciones utilizarán bases de datos SQLite internas para guardar información. Durante la prueba de penetración, echa un vistazo a las bases de datos creadas, los nombres de las tablas y columnas y todos los datos guardados, ya que podrías encontrar información sensible (lo cual sería una vulnerabilidad).
Las bases de datos deben estar ubicadas en /data/data/el.nombre.del.paquete/bases de datos
como /data/data/com.mwr.example.sieve/bases de datos
Si la base de datos está guardando información confidencial y está encriptada pero puedes encontrar la contraseña dentro de la aplicación, sigue siendo una vulnerabilidad.
Enumera las tablas usando .tables
y enumera las columnas de las tablas con .schema <nombre_de_la_tabla>
Drozer (Actividades de Explotación, Proveedores de Contenido y Servicios)
Desde Documentos de Drozer: Drozer te permite asumir el rol de una aplicación de Android e interactuar con otras aplicaciones. Puede hacer cualquier cosa que una aplicación instalada pueda hacer, como hacer uso del mecanismo de Comunicación entre Procesos (IPC) de Android e interactuar con el sistema operativo subyacente. Drozer es una herramienta útil para explotar actividades exportadas, servicios exportados y Proveedores de Contenido, como aprenderás en las siguientes secciones.
Explotando Actividades Exportadas
Lee esto si quieres recordar qué es una Actividad de Android.
También recuerda que el código de una actividad comienza en el método onCreate
.
Bypass de Autorización
Cuando una Actividad está exportada, puedes invocar su pantalla desde una aplicación externa. Por lo tanto, si una actividad con información sensible está exportada, podrías burlar los mecanismos de autenticación para acceder a ella.
Aprende cómo explotar actividades exportadas con Drozer.
También puedes iniciar una actividad exportada desde adb:
El nombre del paquete es com.example.demo
El nombre de la Actividad Exportada es com.example.test.MainActivity
NOTA: MobSF detectará como malicioso el uso de singleTask/singleInstance como android:launchMode
en una actividad, pero debido a esto, aparentemente esto solo es peligroso en versiones antiguas (versiones de API < 21).
Tenga en cuenta que una omisión de autorización no siempre es una vulnerabilidad, dependerá de cómo funcione la omisión y qué información se exponga.
Fuga de información sensible
Las actividades también pueden devolver resultados. Si logras encontrar una actividad exportada y desprotegida que llame al método setResult
y devuelva información sensible, entonces hay una fuga de información sensible.
Tapjacking
Si no se previene el tapjacking, podrías abusar de la actividad exportada para hacer que el usuario realice acciones inesperadas. Para obtener más información sobre qué es el Tapjacking sigue el enlace.
Explotando Proveedores de Contenido - Accediendo y manipulando información sensible
Lee esto si quieres recordar qué es un Proveedor de Contenido. Los proveedores de contenido se utilizan básicamente para compartir datos. Si una aplicación tiene proveedores de contenido disponibles, es posible que puedas extraer datos sensibles de ellos. También es interesante probar posibles inyecciones SQL y travesías de ruta ya que podrían ser vulnerables.
Aprende cómo explotar Proveedores de Contenido con Drozer.
Explotando Servicios
Lee esto si quieres recordar qué es un Servicio.
Recuerda que las acciones de un Servicio comienzan en el método onStartCommand
.
Un servicio es básicamente algo que puede recibir datos, procesarlos y devolver (o no) una respuesta. Entonces, si una aplicación está exportando algunos servicios, debes revisar el código para entender qué está haciendo y probarlo dinámicamente para extraer información confidencial, evadir medidas de autenticación... Aprende cómo explotar Servicios con Drozer.
Explotando Receptores de Difusión
Lee esto si quieres recordar qué es un Receptor de Difusión.
Recuerda que las acciones de un Receptor de Difusión comienzan en el método onReceive
.
Un receptor de difusión estará esperando un tipo de mensaje. Dependiendo de cómo maneje el receptor el mensaje, podría ser vulnerable. Aprende cómo explotar Receptores de Difusión con Drozer.
Explotando Esquemas / Enlaces profundos
Puedes buscar enlaces profundos manualmente, utilizando herramientas como MobSF o scripts como este. Puedes abrir un esquema declarado usando adb o un navegador:
Tenga en cuenta que puede omitir el nombre del paquete y el móvil llamará automáticamente a la aplicación que debería abrir ese enlace.
Código ejecutado
Para encontrar el código que se ejecutará en la aplicación, ve a la actividad llamada por el enlace profundo y busca la función onNewIntent
.
Información sensible
Cada vez que encuentres un enlace profundo, verifica que no esté recibiendo datos sensibles (como contraseñas) a través de parámetros de URL, porque cualquier otra aplicación podría hacerse pasar por el enlace profundo y robar esos datos.
Parámetros en la ruta
Debes verificar también si algún enlace profundo está utilizando un parámetro dentro de la ruta de la URL como: https://api.example.com/v1/users/{username}
, en ese caso puedes forzar una traversía de ruta accediendo a algo como: example://app/users?username=../../unwanted-endpoint%3fparam=value
.
Ten en cuenta que si encuentras los endpoints correctos dentro de la aplicación, podrías causar una Redirección Abierta (si parte de la ruta se utiliza como nombre de dominio), toma de cuenta (si puedes modificar detalles de usuarios sin token CSRF y el endpoint vulnerable utilizó el método correcto) y cualquier otra vulnerabilidad. Más información al respecto aquí.
Más ejemplos
Un informe interesante de recompensa por errores sobre enlaces (/.well-known/assetlinks.json).
Fallas en la Inspección y Verificación de la Capa de Transporte
Las aplicaciones de Android no siempre inspeccionan adecuadamente los certificados. Es común que estas aplicaciones pasen por alto advertencias y acepten certificados autofirmados o, en algunos casos, vuelvan a utilizar conexiones HTTP.
A veces, las negociaciones durante el handshake de SSL/TLS son débiles, empleando suites de cifrado inseguras. Esta vulnerabilidad hace que la conexión sea susceptible a ataques de intermediarios (MITM), permitiendo a los atacantes descifrar los datos.
La fuga de información privada es un riesgo cuando las aplicaciones se autentican utilizando canales seguros pero luego comunican a través de canales no seguros para otras transacciones. Este enfoque no protege los datos sensibles, como cookies de sesión o detalles de usuario, de la interceptación por entidades maliciosas.
Verificación de Certificados
Nos enfocaremos en la verificación de certificados. Se debe verificar la integridad del certificado del servidor para mejorar la seguridad. Esto es crucial porque las configuraciones TLS inseguras y la transmisión de datos sensibles a través de canales no encriptados pueden plantear riesgos significativos. Para obtener pasos detallados sobre la verificación de certificados de servidor y abordar vulnerabilidades, este recurso proporciona orientación completa.
Pinning de SSL
El Pinning de SSL es una medida de seguridad donde la aplicación verifica el certificado del servidor contra una copia conocida almacenada dentro de la aplicación misma. Este método es esencial para prevenir ataques MITM. Se recomienda encarecidamente implementar el Pinning de SSL para aplicaciones que manejan información sensible.
Inspección de Tráfico
Para inspeccionar el tráfico HTTP, es necesario instalar el certificado de la herramienta proxy (por ejemplo, Burp). Sin instalar este certificado, es posible que el tráfico encriptado no sea visible a través del proxy. Para obtener una guía sobre cómo instalar un certificado de CA personalizado, haz clic aquí.
Las aplicaciones que apuntan a API Level 24 y superior requieren modificaciones en la Configuración de Seguridad de Red para aceptar el certificado de CA del proxy. Este paso es crítico para inspeccionar el tráfico encriptado. Para obtener instrucciones sobre cómo modificar la Configuración de Seguridad de Red, consulta este tutorial.
Bypass de Pinning de SSL
Cuando se implementa el Pinning de SSL, es necesario eludirlo para inspeccionar el tráfico HTTPS. Hay varios métodos disponibles para este propósito:
Modificar automáticamente el apk para eludir el SSLPinning con apk-mitm. La mayor ventaja de esta opción es que no necesitarás permisos de root para eludir el Pinning de SSL, pero deberás eliminar la aplicación y reinstalar la nueva, y esto no siempre funcionará.
Puedes usar Frida (discutido a continuación) para eludir esta protección. Aquí tienes una guía para usar Burp+Frida+Genymotion: https://spenkk.github.io/bugbounty/Configuring-Frida-with-Burp-and-GenyMotion-to-bypass-SSL-Pinning/
También puedes intentar eludir automáticamente el Pinning de SSL usando objection:
objection --gadget com.package.app explore --startup-command "android sslpinning disable"
También puedes intentar eludir automáticamente el Pinning de SSL usando análisis dinámico de MobSF (explicado a continuación)
Si aún crees que hay tráfico que no estás capturando, puedes intentar redirigir el tráfico a burp usando iptables. Lee este blog: https://infosecwriteups.com/bypass-ssl-pinning-with-ip-forwarding-iptables-568171b52b62
Buscando Vulnerabilidades Web Comunes
También es importante buscar vulnerabilidades web comunes dentro de la aplicación. La información detallada sobre la identificación y mitigación de estas vulnerabilidades está más allá del alcance de este resumen, pero se cubre extensamente en otros lugares.
Frida
Frida es un kit de herramientas de instrumentación dinámica para desarrolladores, ingenieros inversos e investigadores de seguridad. Puedes acceder a la aplicación en ejecución y enganchar métodos en tiempo de ejecución para cambiar el comportamiento, cambiar valores, extraer valores, ejecutar código diferente... Si deseas hacer pentesting de aplicaciones de Android, necesitas saber cómo usar Frida.
Aprende a usar Frida: Tutorial de Frida
Algunas "GUI" para acciones con Frida: https://github.com/m0bilesecurity/RMS-Runtime-Mobile-Security
Ojection es genial para automatizar el uso de Frida: https://github.com/sensepost/objection , https://github.com/dpnishant/appmon
Puedes encontrar algunos scripts impresionantes de Frida aquí: https://codeshare.frida.re/
Intenta eludir los mecanismos anti-depuración / anti-Frida cargando Frida como se indica en https://erfur.github.io/blog/dev/code-injection-without-ptrace (herramienta linjector)
Volcado de Memoria - Fridump
Verifica si la aplicación está almacenando información sensible dentro de la memoria que no debería estar almacenando, como contraseñas o mnemónicos.
Usando Fridump3 puedes volcar la memoria de la aplicación con:
Esto volcará la memoria en la carpeta ./dump, y allí podrías usar grep con algo como:
Datos sensibles en el Keystore
En Android, el Keystore es el mejor lugar para almacenar datos sensibles, sin embargo, con suficientes privilegios todavía es posible acceder a ellos. Como las aplicaciones tienden a almacenar aquí datos sensibles en texto claro, las pruebas de penetración deberían verificar esto, ya que un usuario root o alguien con acceso físico al dispositivo podría robar estos datos.
Incluso si una aplicación almacenara datos en el keystore, los datos deberían estar encriptados.
Para acceder a los datos dentro del keystore, podrías utilizar este script de Frida: https://github.com/WithSecureLabs/android-keystore-audit/blob/master/frida-scripts/tracer-cipher.js
Bypass de Huella Dactilar/Biometría
Usando el siguiente script de Frida, podría ser posible bypassar la autenticación de huella dactilar que las aplicaciones de Android podrían estar realizando para proteger ciertas áreas sensibles:
Imágenes de Fondo
Cuando pones una aplicación en segundo plano, Android almacena una instantánea de la aplicación para que cuando se recupere al primer plano comience a cargar la imagen antes que la aplicación, de modo que parezca que la aplicación se cargó más rápido.
Sin embargo, si esta instantánea contiene información sensible, alguien con acceso a la instantánea podría robar esa información (ten en cuenta que se necesita acceso de root para acceder a ella).
Las instantáneas suelen almacenarse en: /data/system_ce/0/snapshots
Android proporciona una forma de evitar la captura de pantalla configurando el FLAG_SECURE como parámetro de diseño. Al usar esta bandera, el contenido de la ventana se trata como seguro, evitando que aparezca en capturas de pantalla o se vea en pantallas no seguras.
Analizador de Aplicaciones Android
Esta herramienta podría ayudarte a gestionar diferentes herramientas durante el análisis dinámico: https://github.com/NotSoSecure/android_application_analyzer
Inyección de Intents
Los desarrolladores a menudo crean componentes proxy como actividades, servicios y receptores de difusión que manejan estos Intents y los pasan a métodos como startActivity(...)
o sendBroadcast(...)
, lo cual puede ser riesgoso.
El peligro radica en permitir a los atacantes activar componentes de la aplicación no exportados o acceder a proveedores de contenido sensibles al desviar estos Intents. Un ejemplo notable es el componente WebView
que convierte URL a objetos Intent
a través de Intent.parseUri(...)
y luego los ejecuta, lo que potencialmente puede llevar a inyecciones maliciosas de Intents.
Conclusiones Esenciales
Inyección de Intents es similar al problema de Redirección Abierta en la web.
Los exploits implican pasar objetos
Intent
como extras, que pueden ser redirigidos para ejecutar operaciones inseguras.Puede exponer componentes no exportados y proveedores de contenido a los atacantes.
La conversión de URL a
Intent
enWebView
puede facilitar acciones no deseadas.
Inyecciones del Lado del Cliente en Android y otros
Probablemente conozcas este tipo de vulnerabilidades de la web. Debes tener especial cuidado con estas vulnerabilidades en una aplicación Android:
Inyección SQL: Al tratar consultas dinámicas o Content-Providers, asegúrate de estar utilizando consultas parametrizadas.
Inyección de JavaScript (XSS): Verifica que JavaScript y el soporte de plugins estén deshabilitados para cualquier WebView (deshabilitado por defecto). Más información aquí.
Inclusión de Archivos Locales: Las WebViews deben tener acceso al sistema de archivos deshabilitado (habilitado por defecto) -
(webview.getSettings().setAllowFileAccess(false);)
. Más información aquí.Cookies eternas: En varios casos, cuando la aplicación Android finaliza la sesión, la cookie no se revoca o incluso podría estar guardada en disco.
Únete al servidor de HackenProof Discord para comunicarte con hackers experimentados y cazadores de recompensas por errores.
Perspectivas de Hacking Participa en contenido que profundiza en la emoción y desafíos del hacking
Noticias de Hacking en Tiempo Real Mantente actualizado con el mundo del hacking a través de noticias e información en tiempo real
Últimos Anuncios Mantente informado sobre los nuevos programas de recompensas por errores que se lanzan y las actualizaciones cruciales de la plataforma
Únete a nosotros en Discord y comienza a colaborar con los mejores hackers hoy!
Análisis Automático
Análisis estático
Evaluación de vulnerabilidades de la aplicación utilizando una interfaz web frontal agradable. También puedes realizar análisis dinámico (pero necesitas preparar el entorno).
Ten en cuenta que MobSF puede analizar aplicaciones de Android(apk), IOS(ipa) y Windows(apx) (Las aplicaciones de Windows deben ser analizadas desde un MobSF instalado en un host de Windows). Además, si creas un archivo ZIP con el código fuente de una aplicación de Android o de IOS (ve a la carpeta raíz de la aplicación, selecciona todo y crea un archivo ZIP), también podrá analizarlo.
MobSF también te permite diferenciar/comparar análisis e integrar VirusTotal (necesitarás configurar tu clave de API en MobSF/settings.py y habilitarlo: VT_ENABLED = TRUE
VT_API_KEY = <Tu clave de API>
VT_UPLOAD = TRUE
). También puedes establecer VT_UPLOAD
en False
, entonces el hash se subirá en lugar del archivo.
Análisis dinámico asistido con MobSF
MobSF también puede ser muy útil para el análisis dinámico en Android, pero en ese caso necesitarás instalar MobSF y genymotion en tu host (una VM o Docker no funcionarán). Nota: Necesitas iniciar primero una VM en genymotion y luego MobSF. El analizador dinámico de MobSF puede:
Volcar datos de la aplicación (URLs, logs, portapapeles, capturas de pantalla realizadas por ti, capturas de pantalla realizadas por "Exported Activity Tester", correos electrónicos, bases de datos SQLite, archivos XML y otros archivos creados). Todo esto se hace automáticamente excepto las capturas de pantalla, debes presionar cuando desees una captura de pantalla o debes presionar "Exported Activity Tester" para obtener capturas de pantalla de todas las actividades exportadas.
Capturar tráfico HTTPS
Usar Frida para obtener información en tiempo de ejecución
A partir de las versiones de Android > 5, iniciará automáticamente Frida y establecerá la configuración global de proxy para capturar el tráfico. Solo capturará el tráfico de la aplicación probada.
Frida
Por defecto, también utilizará algunos Scripts de Frida para burlar el pinning SSL, detección de root y detección de depurador y para monitorizar APIs interesantes. MobSF también puede invocar actividades exportadas, capturar capturas de pantalla de ellas y guardarlas para el informe.
Para iniciar las pruebas dinámicas, presiona el botón verde: "Start Instrumentation". Presiona "Frida Live Logs" para ver los logs generados por los scripts de Frida y "Live API Monitor" para ver todas las invocaciones a los métodos enganchados, argumentos pasados y valores devueltos (esto aparecerá después de presionar "Start Instrumentation").
MobSF también te permite cargar tus propios scripts de Frida (para enviar los resultados de tus scripts de Frida a MobSF utiliza la función send()
). También tiene varios scripts preescritos que puedes cargar (puedes añadir más en MobSF/DynamicAnalyzer/tools/frida_scripts/others/
), simplemente seléccionalos, presiona "Load" y presiona "Start Instrumentation" (podrás ver los logs de esos scripts dentro de "Frida Live Logs").
Además, tienes algunas funcionalidades auxiliares de Frida:
Enumerar Clases Cargadas: Imprimirá todas las clases cargadas
Capturar Cadenas: Imprimirá todas las cadenas capturadas al usar la aplicación (muy ruidoso)
Capturar Comparaciones de Cadenas: Puede ser muy útil. Mostrará las 2 cadenas que se están comparando y si el resultado fue Verdadero o Falso.
Enumerar Métodos de Clase: Pon el nombre de la clase (como "java.io.File") y mostrará todos los métodos de la clase.
Buscar Patrón de Clase: Buscar clases por patrón
Rastrear Métodos de Clase: Rastrear una clase entera (ver entradas y salidas de todos los métodos de la clase). Recuerda que por defecto MobSF rastrea varios métodos interesantes de la API de Android.
Una vez que hayas seleccionado el módulo auxiliar que deseas utilizar, debes presionar "Start Intrumentation" y verás todas las salidas en "Frida Live Logs".
Shell
Mobsf también te proporciona un shell con algunos comandos de adb, comandos de MobSF y comandos de shell comunes en la parte inferior de la página de análisis dinámico. Algunos comandos interesantes:
Herramientas HTTP
Cuando se captura el tráfico http, puedes ver una vista fea del tráfico capturado en la parte inferior de "HTTP(S) Traffic" o una vista más agradable en el botón verde "Start HTTPTools". Desde la segunda opción, puedes enviar las solicitudes capturadas a proxies como Burp u Owasp ZAP. Para hacerlo, encender Burp --> apagar Intercept --> en MobSB HTTPTools seleccionar la solicitud --> presionar "Enviar a Fuzzer" --> seleccionar la dirección del proxy (http://127.0.0.1:8080\).
Una vez que hayas terminado el análisis dinámico con MobSF, puedes presionar "Start Web API Fuzzer" para fuzzear solicitudes http y buscar vulnerabilidades.
Después de realizar un análisis dinámico con MobSF, la configuración del proxy puede estar mal configurada y es posible que no puedas solucionarlo desde la GUI. Puedes arreglar la configuración del proxy haciendo:
Análisis Dinámico Asistido con Inspeckage
Puedes obtener la herramienta de Inspeckage. Esta herramienta utilizará algunos Hooks para informarte sobre lo que está sucediendo en la aplicación mientras realizas un análisis dinámico.
Esta es una gran herramienta para realizar análisis estático con una interfaz gráfica
Esta herramienta está diseñada para buscar varias vulnerabilidades de seguridad relacionadas con aplicaciones de Android, ya sea en código fuente o en APKs empaquetados. La herramienta también es capaz de crear un APK desplegable de "Prueba de Concepto" y comandos ADB para explotar algunas de las vulnerabilidades encontradas (actividades expuestas, intenciones, tapjacking...). Al igual que con Drozer, no es necesario rootear el dispositivo de prueba.
Muestra todos los archivos extraídos para una fácil referencia
Descompila automáticamente archivos APK al formato Java y Smali
Analiza AndroidManifest.xml en busca de vulnerabilidades y comportamientos comunes
Análisis estático del código fuente en busca de vulnerabilidades y comportamientos comunes
Información del dispositivo
y más
SUPER es una aplicación de línea de comandos que se puede utilizar en Windows, MacOS X y Linux, que analiza archivos .apk en busca de vulnerabilidades. Lo hace descomprimiendo los APK y aplicando una serie de reglas para detectar esas vulnerabilidades.
Todas las reglas están centradas en un archivo rules.json
, y cada empresa o probador podría crear sus propias reglas para analizar lo que necesitan.
Descarga las últimas versiones binarias en la página de descargas
StaCoAn es una herramienta multiplataforma que ayuda a desarrolladores, cazadores de bugs y hackers éticos a realizar análisis de código estático en aplicaciones móviles.
El concepto es que arrastres y sueltes el archivo de tu aplicación móvil (un archivo .apk o .ipa) en la aplicación StaCoAn y generará un informe visual y portátil para ti. Puedes ajustar la configuración y listas de palabras para obtener una experiencia personalizada.
Descarga la última versión:
AndroBugs Framework es un sistema de análisis de vulnerabilidades de Android que ayuda a desarrolladores o hackers a encontrar posibles vulnerabilidades de seguridad en aplicaciones de Android. Versiones para Windows
Androwarn es una herramienta cuyo objetivo principal es detectar y advertir al usuario sobre posibles comportamientos maliciosos desarrollados por una aplicación de Android.
La detección se realiza con el análisis estático del bytecode Dalvik de la aplicación, representado como Smali, con la biblioteca androguard
.
Esta herramienta busca comportamientos comunes de aplicaciones "malas" como: exfiltración de identificadores de telefonía, interceptación de flujo de audio/video, modificación de datos PIM, ejecución de código arbitrario...
MARA es un Marco de trabajo de Análisis e Ingeniería Inversa de Aplicaciones Móviles. Es una herramienta que reúne herramientas comúnmente utilizadas para la ingeniería inversa y análisis de aplicaciones móviles, para ayudar en la prueba de aplicaciones móviles contra las amenazas de seguridad móvil de OWASP. Su objetivo es hacer esta tarea más fácil y amigable para los desarrolladores de aplicaciones móviles y profesionales de seguridad.
Es capaz de:
Extraer código Java y Smali utilizando diferentes herramientas
Analizar APKs utilizando: smalisca, ClassyShark, androbugs, androwarn, APKiD
Extraer información privada de la APK utilizando expresiones regulares.
Analizar el Manifiesto.
Desofuscar APK a través de apk-deguard.com
Koodous
Útil para detectar malware: https://koodous.com/
Ofuscación/Desofuscación de código
Tenga en cuenta que dependiendo del servicio y la configuración que utilice para ofuscar el código. Los secretos pueden o no terminar ofuscados.
Desde Wikipedia: ProGuard es una herramienta de línea de comandos de código abierto que reduce, optimiza y ofusca el código Java. Es capaz de optimizar el bytecode, así como detectar y eliminar instrucciones no utilizadas. ProGuard es software libre y se distribuye bajo la Licencia Pública General de GNU, versión 2.
ProGuard se distribuye como parte del SDK de Android y se ejecuta al compilar la aplicación en modo de lanzamiento.
Encuentre una guía paso a paso para desofuscar el APK en https://blog.lexfo.fr/dexguard.html
(De esa guía) La última vez que verificamos, el modo de operación de Dexguard era:
cargar un recurso como un InputStream;
alimentar el resultado a una clase que hereda de FilterInputStream para descifrarlo;
hacer alguna ofuscación inútil para perder unos minutos de tiempo de un inversor;
alimentar el resultado descifrado a un ZipInputStream para obtener un archivo DEX;
finalmente cargar el DEX resultante como un Recurso utilizando el método
loadDex
.
DeGuard revierte el proceso de ofuscación realizado por las herramientas de ofuscación de Android. Esto permite numerosos análisis de seguridad, incluida la inspección de código y la predicción de bibliotecas.
Puede cargar un APK ofuscado en su plataforma.
Es un desofuscador genérico de Android. Simplify ejecuta virtualmente una aplicación para comprender su comportamiento y luego trata de optimizar el código para que se comporte de manera idéntica pero sea más fácil de entender para un humano. Cada tipo de optimización es simple y genérico, por lo que no importa qué tipo específico de ofuscación se utilice.
APKiD le proporciona información sobre cómo se creó un APK. Identifica muchos compiladores, empaquetadores, ofuscadores y otras cosas extrañas. Es PEiD para Android.
Manual
Lea este tutorial para aprender algunos trucos sobre cómo revertir la ofuscación personalizada
Laboratorios
AndroL4b es una máquina virtual de seguridad de Android basada en ubuntu-mate que incluye la colección de los últimos marcos, tutoriales y laboratorios de diferentes geeks de seguridad e investigadores para ingeniería inversa y análisis de malware.
Referencias
https://appsecwiki.com/#/ Es una gran lista de recursos
https://maddiestone.github.io/AndroidAppRE/ Curso rápido de Android
Aún por probar
Únete al servidor de HackenProof Discord para comunicarte con hackers experimentados y cazadores de bugs!
Perspectivas de Hacking Involúcrate con contenido que profundiza en la emoción y desafíos del hacking
Noticias de Hacking en Tiempo Real Mantente actualizado con el mundo del hacking a través de noticias e información en tiempo real
Últimos Anuncios Mantente informado sobre los nuevos programas de recompensas por bugs y actualizaciones importantes de plataformas
Únete a nosotros en Discord y comienza a colaborar con los mejores hackers hoy!
Última actualización