Apresentação realizada no evento BSides SP 2014 Ed 10 - Lightning Talks em 23/11/14. Adicionado o suporte ao Kitkat através de engenharia reversa.
Mais informações: youtube.com/rafaeltosettosec
BSides 2014 Ed 10 - Obtendo informações pessoais do seu Android com uma calculadora. Agora no Kitkat.
1. Obtendo Informações Pessoais do
seu Android com uma Calculadora
Rafael Tosetto
Tecnólogo em Redes
MBA em Segurança da
Informação
rafaeltosettosec@gmail.com
2.
3. Drozer Framework
• Client/Servidor
• Client no Windows via MS-DOS
• Servidor no Android
• Permissões
– Acesso total a rede
– Leitura do dispositivo de armazenamento externo
6. Demonstração
• Utilizando cabo USB com modo de depuração USB
ativado
– Também funciona apenas com Wi-fi
• Galaxy S5 - Android Kitkat 4.4.2
Etapas
1. Realizar a conexão do Drozer com o Android
2. Explorar os diretórios do cartão de memória
3. Fazer download de uma foto
Link: http://youtu.be/EhcDDmBPf-Y
8. Como se proteger
• Suspeite de permissões não condizentes com o
aplicativo
• Usar criptografia
• Não fazer root
• Dar preferência para aplicativos com boa reputação
• Instalar aplicativos apenas do Google Play
9. Scan de APK
• Sites de análise de APK
– Virus Total: https://www.virustotal.com/
– Andrubis: http://anubis.iseclab.org/
– Copper Droid:
http://copperdroid.isg.rhul.ac.uk/copperdroid/
10. E com acesso 3G?
• Chips da Claro e Oi não responderam a
requisição
• Drozer estabelece conexão no chip da TIM e
faz a exploração via 3G (Testado no
Gingerbread)