SlideShare una empresa de Scribd logo

Show me your intents

N
navajanegra

Análisis de la arquitectura de aplicaciones de Android y demostración de vulnerabilidades en el desarrollo de aplicaciones.

Tecnología
1 de 25
[dmedianero@nn2ed~]$ whoami Manager Hacking Source Auditor Forensic Lider Code Programing auditor Consultin Service g Analys t
¿Porqué estoy aqui? 1.000 Millones $ 1 Billón $
Arquitectura de Android
Componentes App Activity Content Service Provider Broadcast Receiver
Activity
Activity
¿Como se invoca una Activity? Explícitamente Intent Filters
Componentes App Activity Content Service Provider Broadcast Receiver
Service
¿Como se invoca un Service? Explícitamente Intent Filters
Componentes App Activity Content Service Provider Broadcast Receiver
Broadcast Receiver Estáticos Dinámicos
Componentes App Activity Content Service Provider Broadcast Receiver
Content Provider
Componentes App Activity Service Content Provider Broadcast Receiver
Intents #1 #2 #3 #4 Origen: Component Name: Action: Enseñar las partes Boda Alquilar Data: Categoría: Curiosidad Compromiso Ocio Android:
Intents en la vida droide Origen (class): El componente que lo instancia ComponentName (class): Vacio Action (string): DONAR URI: nn2ed://donaciones.com Data (URI o Type MIME): Type MIME: Vacio Category (string): *DEFAULT (cuando se invoca startActivity) Extra (bundle o primitive): nif, nombre y cantidad
Intent Filters
Intent Filters Las tres relgas de la resolución de Intents: 1. Action 2. Data URI & Type 3. Category
Vulnerabilidades
Demo 1: Activity Hijacking 2. Se confirma la donación 1. Intent con datos Pasarela de pago nn2ed de la donación 4. Resolución de Intent idéntica, se le pregunta al usuario 6. Robo de datos y redirección a la pasarela Donaciones nn2ed 5. Se ejecuta la pasarela FAKE 3. Instalación pasarela FAKE Pasarela de pago nn2ed FAKE
Demo 2: Malicious Activity Launch 1. Instalación Quejas, permisos 2. SMS con quejas SMS solicitados 5. SMS arbitrario Quejas nn2ed 4. Intent con datos para enviar SMS 3. Instalación QuejasXploit, sin permisos Quejas Xploit nn2ed
Ten cuidado con lo que deseas, se puede convertir en realidad Oscar Wilde Daniel Medianero @dmediane ro

Recomendados

Malware en Android: Discovering, Reversing & Forensics
Malware en Android: Discovering, Reversing & ForensicsMalware en Android: Discovering, Reversing & Forensics
Malware en Android: Discovering, Reversing & ForensicsTelefónica
 
Mi querido navegador web ¿Qué sabe de mí?
Mi querido navegador web ¿Qué sabe de mí?Mi querido navegador web ¿Qué sabe de mí?
Mi querido navegador web ¿Qué sabe de mí?linenoise
 
Hacking uploaders
Hacking uploadersHacking uploaders
Hacking uploaderslinenoise
 
Libro de Seguridad en Redes
Libro de Seguridad en RedesLibro de Seguridad en Redes
Libro de Seguridad en RedesTelefónica
 
Pentest curso de verano - valencia 2010
Pentest curso de verano - valencia 2010Pentest curso de verano - valencia 2010
Pentest curso de verano - valencia 2010Alejandro Ramos
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubisZink Security
 
jdlaksjionc
jdlaksjioncjdlaksjionc
jdlaksjioncAlberto García Illera
 
Clase xiv
Clase xivClase xiv
Clase xivRoberto Moreno Doñoro
 

Recomendados

Malware en Android: Discovering, Reversing & Forensics
Malware en Android: Discovering, Reversing & ForensicsMalware en Android: Discovering, Reversing & Forensics
Malware en Android: Discovering, Reversing & ForensicsTelefónica
 
Mi querido navegador web ¿Qué sabe de mí?
Mi querido navegador web ¿Qué sabe de mí?Mi querido navegador web ¿Qué sabe de mí?
Mi querido navegador web ¿Qué sabe de mí?linenoise
 
Hacking uploaders
Hacking uploadersHacking uploaders
Hacking uploaderslinenoise
 
Libro de Seguridad en Redes
Libro de Seguridad en RedesLibro de Seguridad en Redes
Libro de Seguridad en RedesTelefónica
 
Pentest curso de verano - valencia 2010
Pentest curso de verano - valencia 2010Pentest curso de verano - valencia 2010
Pentest curso de verano - valencia 2010Alejandro Ramos
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubisZink Security
 
jdlaksjionc
jdlaksjioncjdlaksjionc
jdlaksjioncAlberto García Illera
 
Clase xiv
Clase xivClase xiv
Clase xivRoberto Moreno Doñoro
 
Si usted quiere desarrollar con Bluevia y Java, esto es lo primero que debe s...
Si usted quiere desarrollar con Bluevia y Java, esto es lo primero que debe s...Si usted quiere desarrollar con Bluevia y Java, esto es lo primero que debe s...
Si usted quiere desarrollar con Bluevia y Java, esto es lo primero que debe s...mlinarev
 
1. realizacion de tareas administrativas
1. realizacion de tareas administrativas1. realizacion de tareas administrativas
1. realizacion de tareas administrativasJorge Luis Becerra Urquiza
 
Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Julian Maximiliano Zarate
 
Pentesting
PentestingPentesting
PentestingEventos Creativos
 
Mac os x & malware en tu empresa
Mac os x & malware en tu empresaMac os x & malware en tu empresa
Mac os x & malware en tu empresaEventos Creativos
 
Presentacion 4 Seguridad En Redes Ip
Presentacion 4 Seguridad En Redes IpPresentacion 4 Seguridad En Redes Ip
Presentacion 4 Seguridad En Redes IpInstituciones Educativas Evangelicas La Esperanza
 
Etical hacking
Etical hackingEtical hacking
Etical hackingMaurice Frayssinet
 
Ethical hacking a plataformas Elastix
Ethical hacking a plataformas ElastixEthical hacking a plataformas Elastix
Ethical hacking a plataformas ElastixPaloSanto Solutions
 
27.2.12 Lab - Interpret HTTP and DNS Data to Isolate Threat Actor.docx
27.2.12 Lab - Interpret HTTP and DNS Data to Isolate Threat Actor.docx27.2.12 Lab - Interpret HTTP and DNS Data to Isolate Threat Actor.docx
27.2.12 Lab - Interpret HTTP and DNS Data to Isolate Threat Actor.docxjesus521837
 
ANÁLISIS-DE-METADATOS-1(2).pptx
ANÁLISIS-DE-METADATOS-1(2).pptxANÁLISIS-DE-METADATOS-1(2).pptx
ANÁLISIS-DE-METADATOS-1(2).pptxJeryBrand
 
Tipos de Pentest
Tipos de PentestTipos de Pentest
Tipos de PentestRafael Seg
 
Riesgos a los que se exponen las empresas y cómo evitar las consecuencias, po...
Riesgos a los que se exponen las empresas y cómo evitar las consecuencias, po...Riesgos a los que se exponen las empresas y cómo evitar las consecuencias, po...
Riesgos a los que se exponen las empresas y cómo evitar las consecuencias, po...Foro Global Crossing
 
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]RootedCON
 
Análisis técnico de win32 georbot
Análisis técnico de win32 georbotAnálisis técnico de win32 georbot
Análisis técnico de win32 georbotYolanda Ruiz Hervás
 
El Malware en Mac Os X no es un juego de niños
El Malware en Mac Os X no es un juego de niñosEl Malware en Mac Os X no es un juego de niños
El Malware en Mac Os X no es un juego de niñosEventos Creativos
 
Aseguramiento de Vulnerabilidades Web con tecnologías OWASP
Aseguramiento de Vulnerabilidades Web con tecnologías OWASPAseguramiento de Vulnerabilidades Web con tecnologías OWASP
Aseguramiento de Vulnerabilidades Web con tecnologías OWASPcampus party
 
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)Owasp lnhg-2011-06-1 juan david parra (seg. y redes)
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)campus party
 
BlackBerry 10 - Oportunidades, Tecnologia y Soporte
BlackBerry 10 - Oportunidades, Tecnologia y SoporteBlackBerry 10 - Oportunidades, Tecnologia y Soporte
BlackBerry 10 - Oportunidades, Tecnologia y SoporteBryan Tafel
 
tehnik mobile hacking
tehnik mobile hackingtehnik mobile hacking
tehnik mobile hackingbayuwidiatmoko
 
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)Iván Portillo
 
Cryptography: The mathematics of secret codes is a game
Cryptography: The mathematics of secret codes is a gameCryptography: The mathematics of secret codes is a game
Cryptography: The mathematics of secret codes is a gamenavajanegra
 
Automated and unified opensource web application testing
Automated and unified opensource web application testingAutomated and unified opensource web application testing
Automated and unified opensource web application testingnavajanegra
 

Más contenido relacionado

Similar a Show me your intents

Si usted quiere desarrollar con Bluevia y Java, esto es lo primero que debe s...
Si usted quiere desarrollar con Bluevia y Java, esto es lo primero que debe s...Si usted quiere desarrollar con Bluevia y Java, esto es lo primero que debe s...
Si usted quiere desarrollar con Bluevia y Java, esto es lo primero que debe s...mlinarev
 
Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Julian Maximiliano Zarate
 
Mac os x & malware en tu empresa
Mac os x & malware en tu empresaMac os x & malware en tu empresa
Mac os x & malware en tu empresaEventos Creativos
 
Ethical hacking a plataformas Elastix
Ethical hacking a plataformas ElastixEthical hacking a plataformas Elastix
Ethical hacking a plataformas ElastixPaloSanto Solutions
 
27.2.12 Lab - Interpret HTTP and DNS Data to Isolate Threat Actor.docx
27.2.12 Lab - Interpret HTTP and DNS Data to Isolate Threat Actor.docx27.2.12 Lab - Interpret HTTP and DNS Data to Isolate Threat Actor.docx
27.2.12 Lab - Interpret HTTP and DNS Data to Isolate Threat Actor.docxjesus521837
 
ANÁLISIS-DE-METADATOS-1(2).pptx
ANÁLISIS-DE-METADATOS-1(2).pptxANÁLISIS-DE-METADATOS-1(2).pptx
ANÁLISIS-DE-METADATOS-1(2).pptxJeryBrand
 
Tipos de Pentest
Tipos de PentestTipos de Pentest
Tipos de PentestRafael Seg
 
Riesgos a los que se exponen las empresas y cómo evitar las consecuencias, po...
Riesgos a los que se exponen las empresas y cómo evitar las consecuencias, po...Riesgos a los que se exponen las empresas y cómo evitar las consecuencias, po...
Riesgos a los que se exponen las empresas y cómo evitar las consecuencias, po...Foro Global Crossing
 
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]RootedCON
 
Análisis técnico de win32 georbot
Análisis técnico de win32 georbotAnálisis técnico de win32 georbot
Análisis técnico de win32 georbotYolanda Ruiz Hervás
 
El Malware en Mac Os X no es un juego de niños
El Malware en Mac Os X no es un juego de niñosEl Malware en Mac Os X no es un juego de niños
El Malware en Mac Os X no es un juego de niñosEventos Creativos
 
Aseguramiento de Vulnerabilidades Web con tecnologías OWASP
Aseguramiento de Vulnerabilidades Web con tecnologías OWASPAseguramiento de Vulnerabilidades Web con tecnologías OWASP
Aseguramiento de Vulnerabilidades Web con tecnologías OWASPcampus party
 
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)Owasp lnhg-2011-06-1 juan david parra (seg. y redes)
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)campus party
 
BlackBerry 10 - Oportunidades, Tecnologia y Soporte
BlackBerry 10 - Oportunidades, Tecnologia y SoporteBlackBerry 10 - Oportunidades, Tecnologia y Soporte
BlackBerry 10 - Oportunidades, Tecnologia y SoporteBryan Tafel
 
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)Iván Portillo
 

Similar a Show me your intents (20)

Si usted quiere desarrollar con Bluevia y Java, esto es lo primero que debe s...
Si usted quiere desarrollar con Bluevia y Java, esto es lo primero que debe s...Si usted quiere desarrollar con Bluevia y Java, esto es lo primero que debe s...
Si usted quiere desarrollar con Bluevia y Java, esto es lo primero que debe s...
 
1. realizacion de tareas administrativas
1. realizacion de tareas administrativas1. realizacion de tareas administrativas
1. realizacion de tareas administrativas
 
Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014
 
Pentesting
PentestingPentesting
Pentesting
 
Mac os x & malware en tu empresa
Mac os x & malware en tu empresaMac os x & malware en tu empresa
Mac os x & malware en tu empresa
 
Presentacion 4 Seguridad En Redes Ip
Presentacion 4 Seguridad En Redes IpPresentacion 4 Seguridad En Redes Ip
Presentacion 4 Seguridad En Redes Ip
 
Etical hacking
Etical hackingEtical hacking
Etical hacking
 
Ethical hacking a plataformas Elastix
Ethical hacking a plataformas ElastixEthical hacking a plataformas Elastix
Ethical hacking a plataformas Elastix
 
27.2.12 Lab - Interpret HTTP and DNS Data to Isolate Threat Actor.docx
27.2.12 Lab - Interpret HTTP and DNS Data to Isolate Threat Actor.docx27.2.12 Lab - Interpret HTTP and DNS Data to Isolate Threat Actor.docx
27.2.12 Lab - Interpret HTTP and DNS Data to Isolate Threat Actor.docx
 
ANÁLISIS-DE-METADATOS-1(2).pptx
ANÁLISIS-DE-METADATOS-1(2).pptxANÁLISIS-DE-METADATOS-1(2).pptx
ANÁLISIS-DE-METADATOS-1(2).pptx
 
Tipos de Pentest
Tipos de PentestTipos de Pentest
Tipos de Pentest
 
Riesgos a los que se exponen las empresas y cómo evitar las consecuencias, po...
Riesgos a los que se exponen las empresas y cómo evitar las consecuencias, po...Riesgos a los que se exponen las empresas y cómo evitar las consecuencias, po...
Riesgos a los que se exponen las empresas y cómo evitar las consecuencias, po...
 
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
 
Análisis técnico de win32 georbot
Análisis técnico de win32 georbotAnálisis técnico de win32 georbot
Análisis técnico de win32 georbot
 
El Malware en Mac Os X no es un juego de niños
El Malware en Mac Os X no es un juego de niñosEl Malware en Mac Os X no es un juego de niños
El Malware en Mac Os X no es un juego de niños
 
Aseguramiento de Vulnerabilidades Web con tecnologías OWASP
Aseguramiento de Vulnerabilidades Web con tecnologías OWASPAseguramiento de Vulnerabilidades Web con tecnologías OWASP
Aseguramiento de Vulnerabilidades Web con tecnologías OWASP
 
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)Owasp lnhg-2011-06-1 juan david parra (seg. y redes)
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)
 
BlackBerry 10 - Oportunidades, Tecnologia y Soporte
BlackBerry 10 - Oportunidades, Tecnologia y SoporteBlackBerry 10 - Oportunidades, Tecnologia y Soporte
BlackBerry 10 - Oportunidades, Tecnologia y Soporte
 
tehnik mobile hacking
tehnik mobile hackingtehnik mobile hacking
tehnik mobile hacking
 
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
 

Más de navajanegra

Cryptography: The mathematics of secret codes is a game
Cryptography: The mathematics of secret codes is a gameCryptography: The mathematics of secret codes is a game
Cryptography: The mathematics of secret codes is a gamenavajanegra
 
Automated and unified opensource web application testing
Automated and unified opensource web application testingAutomated and unified opensource web application testing
Automated and unified opensource web application testingnavajanegra
 
Cool Boot: It's cool!
Cool Boot: It's cool!Cool Boot: It's cool!
Cool Boot: It's cool!navajanegra
 
El lado oscuro de TOR: La Deep Web
El lado oscuro de TOR: La Deep WebEl lado oscuro de TOR: La Deep Web
El lado oscuro de TOR: La Deep Webnavajanegra
 
Telephaty: Harness the code
Telephaty: Harness the codeTelephaty: Harness the code
Telephaty: Harness the codenavajanegra
 
Trash Robotic Router Platform (TRRP)
Trash Robotic Router Platform (TRRP)Trash Robotic Router Platform (TRRP)
Trash Robotic Router Platform (TRRP)navajanegra
 
Economías criptográficas
Economías criptográficasEconomías criptográficas
Economías criptográficasnavajanegra
 
Where is my money? The evolution of Internet fraud
Where is my money? The evolution of Internet fraudWhere is my money? The evolution of Internet fraud
Where is my money? The evolution of Internet fraudnavajanegra
 
Divulgación del trabajo de la Brigada de Investigación Tecnológica
Divulgación del trabajo de la Brigada de Investigación TecnológicaDivulgación del trabajo de la Brigada de Investigación Tecnológica
Divulgación del trabajo de la Brigada de Investigación Tecnológicanavajanegra
 
Adivina quién viene a CDNear esta noche
Adivina quién viene a CDNear esta nocheAdivina quién viene a CDNear esta noche
Adivina quién viene a CDNear esta nochenavajanegra
 
1100101001001110
11001010010011101100101001001110
1100101001001110navajanegra
 
Anteproyecto del código procesal penal: Análisis Técnico
Anteproyecto del código procesal penal: Análisis TécnicoAnteproyecto del código procesal penal: Análisis Técnico
Anteproyecto del código procesal penal: Análisis Técniconavajanegra
 
Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5navajanegra
 
¿Nadie piensa en las DLLs?
¿Nadie piensa en las DLLs?¿Nadie piensa en las DLLs?
¿Nadie piensa en las DLLs?navajanegra
 
SDR: Lowcost receiving in radio communications
SDR: Lowcost receiving in radio communicationsSDR: Lowcost receiving in radio communications
SDR: Lowcost receiving in radio communicationsnavajanegra
 
LIOS: a tool for IOS Forensic
LIOS: a tool for IOS ForensicLIOS: a tool for IOS Forensic
LIOS: a tool for IOS Forensicnavajanegra
 
A brief introduction to reversing code with OllyDbg and other tools
A brief introduction to reversing code with OllyDbg and other toolsA brief introduction to reversing code with OllyDbg and other tools
A brief introduction to reversing code with OllyDbg and other toolsnavajanegra
 
HASH COLLISIONS: Welcome to the (un)real World!
HASH COLLISIONS: Welcome to the (un)real World!HASH COLLISIONS: Welcome to the (un)real World!
HASH COLLISIONS: Welcome to the (un)real World!navajanegra
 

Más de navajanegra (20)

Cryptography: The mathematics of secret codes is a game
Cryptography: The mathematics of secret codes is a gameCryptography: The mathematics of secret codes is a game
Cryptography: The mathematics of secret codes is a game
 
Automated and unified opensource web application testing
Automated and unified opensource web application testingAutomated and unified opensource web application testing
Automated and unified opensource web application testing
 
Offensive MitM
Offensive MitMOffensive MitM
Offensive MitM
 
Cool Boot: It's cool!
Cool Boot: It's cool!Cool Boot: It's cool!
Cool Boot: It's cool!
 
El lado oscuro de TOR: La Deep Web
El lado oscuro de TOR: La Deep WebEl lado oscuro de TOR: La Deep Web
El lado oscuro de TOR: La Deep Web
 
Telephaty: Harness the code
Telephaty: Harness the codeTelephaty: Harness the code
Telephaty: Harness the code
 
Trash Robotic Router Platform (TRRP)
Trash Robotic Router Platform (TRRP)Trash Robotic Router Platform (TRRP)
Trash Robotic Router Platform (TRRP)
 
Economías criptográficas
Economías criptográficasEconomías criptográficas
Economías criptográficas
 
Where is my money? The evolution of Internet fraud
Where is my money? The evolution of Internet fraudWhere is my money? The evolution of Internet fraud
Where is my money? The evolution of Internet fraud
 
Divulgación del trabajo de la Brigada de Investigación Tecnológica
Divulgación del trabajo de la Brigada de Investigación TecnológicaDivulgación del trabajo de la Brigada de Investigación Tecnológica
Divulgación del trabajo de la Brigada de Investigación Tecnológica
 
Adivina quién viene a CDNear esta noche
Adivina quién viene a CDNear esta nocheAdivina quién viene a CDNear esta noche
Adivina quién viene a CDNear esta noche
 
1100101001001110
11001010010011101100101001001110
1100101001001110
 
Anteproyecto del código procesal penal: Análisis Técnico
Anteproyecto del código procesal penal: Análisis TécnicoAnteproyecto del código procesal penal: Análisis Técnico
Anteproyecto del código procesal penal: Análisis Técnico
 
Zeus-R-Us
Zeus-R-UsZeus-R-Us
Zeus-R-Us
 
Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5
 
¿Nadie piensa en las DLLs?
¿Nadie piensa en las DLLs?¿Nadie piensa en las DLLs?
¿Nadie piensa en las DLLs?
 
SDR: Lowcost receiving in radio communications
SDR: Lowcost receiving in radio communicationsSDR: Lowcost receiving in radio communications
SDR: Lowcost receiving in radio communications
 
LIOS: a tool for IOS Forensic
LIOS: a tool for IOS ForensicLIOS: a tool for IOS Forensic
LIOS: a tool for IOS Forensic
 
A brief introduction to reversing code with OllyDbg and other tools
A brief introduction to reversing code with OllyDbg and other toolsA brief introduction to reversing code with OllyDbg and other tools
A brief introduction to reversing code with OllyDbg and other tools
 
HASH COLLISIONS: Welcome to the (un)real World!
HASH COLLISIONS: Welcome to the (un)real World!HASH COLLISIONS: Welcome to the (un)real World!
HASH COLLISIONS: Welcome to the (un)real World!
 

Último

9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 

Último (16)

9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 

Show me your intents

  • 1. [dmedianero@nn2ed~]$ whoami Manager Hacking Source Auditor Forensic Lider Code Programing auditor Consultin Service g Analys t
  • 2. ¿Porqué estoy aqui? 1.000 Millones $ 1 Billón $
  • 3.
  • 5. Componentes App Activity Content Service Provider Broadcast Receiver
  • 8. ¿Como se invoca una Activity? Explícitamente Intent Filters
  • 9. Componentes App Activity Content Service Provider Broadcast Receiver
  • 11. ¿Como se invoca un Service? Explícitamente Intent Filters
  • 12. Componentes App Activity Content Service Provider Broadcast Receiver
  • 13. Broadcast Receiver Estáticos Dinámicos
  • 14. Componentes App Activity Content Service Provider Broadcast Receiver
  • 16. Componentes App Activity Service Content Provider Broadcast Receiver
  • 17.
  • 18. Intents #1 #2 #3 #4 Origen: Component Name: Action: Enseñar las partes Boda Alquilar Data: Categoría: Curiosidad Compromiso Ocio Android:
  • 19. Intents en la vida droide Origen (class): El componente que lo instancia ComponentName (class): Vacio Action (string): DONAR URI: nn2ed://donaciones.com Data (URI o Type MIME): Type MIME: Vacio Category (string): *DEFAULT (cuando se invoca startActivity) Extra (bundle o primitive): nif, nombre y cantidad
  • 21. Intent Filters Las tres relgas de la resolución de Intents: 1. Action 2. Data URI & Type 3. Category
  • 23. Demo 1: Activity Hijacking 2. Se confirma la donación 1. Intent con datos Pasarela de pago nn2ed de la donación 4. Resolución de Intent idéntica, se le pregunta al usuario 6. Robo de datos y redirección a la pasarela Donaciones nn2ed 5. Se ejecuta la pasarela FAKE 3. Instalación pasarela FAKE Pasarela de pago nn2ed FAKE
  • 24. Demo 2: Malicious Activity Launch 1. Instalación Quejas, permisos 2. SMS con quejas SMS solicitados 5. SMS arbitrario Quejas nn2ed 4. Intent con datos para enviar SMS 3. Instalación QuejasXploit, sin permisos Quejas Xploit nn2ed
  • 25. Ten cuidado con lo que deseas, se puede convertir en realidad Oscar Wilde Daniel Medianero @dmediane ro