RootedCON, profile picture
Subido porRootedCON
PPTX, PDF884 vistas

Cristian Barrientos - Auditando Aplicaciones Android [rooted2018]

El documento presenta un enfoque detallado sobre la auditoría de aplicaciones Android, abarcando desde la obtención y análisis de la APK hasta la elaboración de resultados. Describe metodologías como reversing, análisis estático y dinámico, e incluye herramientas y técnicas específicas para identificar deficiencias en la seguridad del código. Además, proporciona consideraciones sobre la implementación de controles de seguridad y la preparación del entorno para el análisis.

Incrustar presentación

Descargado 36 veces
Auditando Aplicaciones Android Cristian Barrientos
Auditando Aplicaciones Android 2 1. WHOAMI 2. ESTRUCTURA DE LA AUDITORÍA 3.- REVERSING 4.- ANÁLISIS ESTÁTICO 5.- PREPARACIÓN DEL ENTORNO 6.- ANÁLISIS DINÁMICO 7.- ELABORACIÓN DE RESULTADOS
Auditando Aplicaciones Android 3 01 WHOAMI
Auditando Aplicaciones Android 4 • Cristian Barrientos Beltrán • Consultor/Auditor en Wise Security • Especializado en auditoría móvil (Android & iOS) • Graduado en Ingeniería Informática (UPC – FIB) • Máster en Cybersecurity Management (UPC School) • Telegram: @SerBarristan
Auditando Aplicaciones Android 5 02 ESTRUCTURA DE LA AUDITORÍA
Auditando Aplicaciones Android 6 Reversing • adb • apktool • unzip • dex2jar • baksmali • APK Studio • Sublime • JD-GUI • SQLite • Certificado • Xposed - Framework • JustTrustMe • Burp Suite • Xposed Hooks • Documentación • Informe Análisis Estático Preparación entorno Análisis Dinámico Elaboración de resultados
Auditando Aplicaciones Android 7 03 REVERSING
Auditando Aplicaciones Android 8 • Obtención de la APK desde el dispositivo $ adb pull /data/app/game2048.b2048game.twozerofoureight2048.game.apk [100%] /data/app/game2048.b2048game.twozerofoureight2048.game.apk $ unzip game2048.b2048game.twozerofoureight2048.game.apk • Estructura de la APK: $ tree -L 1 . ├── AndroidManifest.xml ├── META-INF/ ├── assets/ ├── build-data.properties ├── classes.dex ├── classes2.dex ├── res/ └── resources.arsc Deficiencias en la protección del código
Auditando Aplicaciones Android 9 • Obtención de la APK desde el dispositivo • AndroidManifest.xml: Manifiesto de la aplicación en formato binario. Contiene la definición de permisos, actividades, proveedores de servicio, etc... • META-INF: Contiene el certificado de la aplicación y el SHA-1 de todos los recursos • assets: Esta carpeta contiene archivos auxiliares del código, por ejemplo, xmls. • res: Es carpeta es exactamente equivalente a su homónima en el código y contiene recursos, como por ejemplo, imágenes, videos, etc... • classes.dex: Contiene todo el código de la aplicación en bytecodes de Dalvik • classes[2...n].dex: Contienen código adicional (MultiDex) • resources.arsc: Contiene recursos precompilados como por ejemplo XMLs Deficiencias en la protección del código
Auditando Aplicaciones Android 10 • Obtención de la APK Google Play • APK Downloader • https://apps.evozi.com/apk-downloader/ Deficiencias en la protección del código
Auditando Aplicaciones Android 11 • Decodificando la APK a Java • $ unzip game2048.b2048game.twozerofoureight2048.game.apk . ├── AndroidManifest.xml ├── META-INF ├── assets ├── build-data.properties ├── classes.dex ├── classes2.dex ├── res └── resources.arsc • $ d2j-dex2jar classes.dex dex2jar classes.dex -> ./classes-dex2jar.jar • Abrir el .jar con JD-GUI Deficiencias en la protección del código
Auditando Aplicaciones Android 12 • Analizando el código Java Deficiencias en la protección del código
Auditando Aplicaciones Android 13 • Decodificando la APK a Smali • $ apktool d game2048.b2048game.twozerofoureight2048.game.apk I: Using Apktool 2.2.2 on game2048.b2048game.twozerofoureight2048.game.apk I: Loading resource table... I: Decoding AndroidManifest.xml with resources... I: Loading resource table from file: /Users/barri/Library/apktool/framework/1.apk I: Regular manifest package... I: Decoding file-resources... I: Decoding values */* XMLs... I: Baksmaling classes.dex... I: Copying assets and libs... I: Copying unknown files... I: Copying original files… Deficiencias en la protección del código
Auditando Aplicaciones Android 14 • Decodificando la APK a Smali • $ tree –L 1 . ├── AndroidManifest.xml ├── apktool.yml ├── assets ├── original ├── res ├── smali ├── smali2 └── unknown Deficiencias en la protección del código
Auditando Aplicaciones Android 15 • Analizando Smali Deficiencias en la protección del código
Auditando Aplicaciones Android 16 04 ANÁLISIS ESTÁTICO
Auditando Aplicaciones Android 17 • Buscando Logs en el código Java • Descripción Android implementa un sistema de log llamado logcat que permite a las aplicaciones generar de manera sencilla un log centralizado para el debugging de las aplicaciones. Se considera una mala practica el uso de logs en aplicaciones en producción, el riesgo aumenta si la aplicación escribe en el log información sensible como usuarios o contraseñas. Logs
Auditando Aplicaciones Android 18 • Buscando Logs en el código Java Logs
Auditando Aplicaciones Android 19 • Buscando URLs y/o IPs en el código Java Enlaces a Internet (HTTP)
Auditando Aplicaciones Android 20 • Buscando Webviews en el código Java • Descripción El WebView de Android es un componente que permite a las aplicaciones cargar páginas web e incrustar el resultado en una aplicación. Google ha anunciado que este componente dejará de recibir soporte <4.4 por lo que las vulnerabilidades públicas ya existentes o las nuevas que se podrían encontrar no serán resueltas. Uso del Webview con minsdk < 19 (4.4)
Auditando Aplicaciones Android 21 • Analizando el AndroidManifest.xml de la aplicación • Descripción El parámetro del manifest “AllowBackup” establece si la aplicación permite copias de seguridad en el cloud o un dispositivo físico. Por defecto, este atributo se establece a “True”, con lo que es necesario ponerla a “False”. Por otro lado, el atributo “debuggable”, si se define a “True” permite ejecutar la aplicación en modo debug incluso con el dispositivo en en modo usuario. Archivo de configuración de la aplicación (AndroidManifest.xml)
Auditando Aplicaciones Android 22 • Analizando la protección del código de la aplicación • ProGuard: ofusca los nombre de las classes, funciones y variables. (gratiuto) Nivel de protección/ofuscación del código (ProGuard, DexGuard, Arxan…)
Auditando Aplicaciones Android 23 • Analizando la protección del código de la aplicación • DexGuard: ofusca nombres, cadenas de texto, flujo y utiliza reflection. Puede tener una clase propia con controles de seguridad (de pago) Nivel de protección/ofuscación del código (ProGuard, DexGuard, Arxan…)
Auditando Aplicaciones Android 24
Auditando Aplicaciones Android 25
Auditando Aplicaciones Android 26 • Analizando la protección del código de la aplicación • Arxan: similar a DexGuard con un módulo de whitebox (de pago) Nivel de protección/ofuscación del código (ProGuard, DexGuard, Arxan…)
Auditando Aplicaciones Android 27
Auditando Aplicaciones Android 28 • Analizando código Java en busca de métodos que implementen CP Implementación de CertificatePinning
Auditando Aplicaciones Android 29 • Analizando código Java en busca de controles de seguridad • Detección de root Detección de controles de seguridad (Root, Integridad, Emulador)
Auditando Aplicaciones Android 30 • Analizando código Java en busca de controles de seguridad • Control de integridad Detección de controles de seguridad (Root, Integridad, Emulador)
Auditando Aplicaciones Android 31 • Analizando código Java en busca de controles de seguridad • Detección de emuladores Detección de controles de seguridad (Root, Integridad, Emulador)
Auditando Aplicaciones Android 32 05 PREPARACIÓN DEL ENTORNO
Auditando Aplicaciones Android 33 • Obtención e instalación del certificado de Burp en el dispositivo • Abrir Burp en el PC • Configurar proxy en el dispositivo • Ajustes -> Wifi -> Modificar Red -> Opciones Avanzadas -> Proxy Manual -> IP y Puerto • Abrir http://burp:8080 en el dispositivo • Descargar el certificado (por defecto .der) • Modificar la extensión a .cer (dependiendo del dispositivo puede funcionar sin cambiar extensión) • Ajustes -> Seguridad -> Instalar certificados desde SD -> Seleccionar certificado Certificado para MITM
Auditando Aplicaciones Android 34 • Instalación de Xposed y sus módulos en el dispositivo • Descargar e instalar XposedInstaller_*.apk de xda-developers en el dispositivo • https://forum.xda-developers.com/attachment.php?attachmentid=4393082&d=1516301692 • Descargar y flashear con custom recovery (TWRP) xposed*.zip de xda-developers en el dispositivo (escogiendo el SDK adecuado) • https://dl-xda.xposed.info/framework/ • Descargar e instalar los .apk correspondientes a cada uno de los módulos que se quieren instalar • https://forum.xda-developers.com/xposed/modules/index-xposed-modules-collection-post-t2327541 XposedFramework
Auditando Aplicaciones Android 35 06 ANÁLISIS DINÁMICO
Auditando Aplicaciones Android 36 • Análisis del tráfico de la aplicación con Burp • Una vez se ha instalado el certificado del Burp en el teléfono y se ha configurado un proxy manual debemos “jugar” con la aplicación mientras observamos las conexiones que la aplicación realiza. • Modificamos parámetros enviados tanto por GET como por POST con el fin de alterar la información enviada al servidor. Man in the middle
Auditando Aplicaciones Android 37 • Análisis de logs en dinámico • adb logcat / adb logcat –s TAG • Usar PidCat (https://github.com/JakeWharton/pidcat) • python pidcat.py package • python pidcat.py –t TAG package Logcat
Auditando Aplicaciones Android 38 • Análisis de logs en dinámico Logcat
Auditando Aplicaciones Android 39 • Alteración de los métodos de la aplicación • Localizar packagename, clase y método que queremos alterar • Picar código que queremos ejecutar en dicho método • Instalar módulo de Xposed (como si de una app cualquiera se tratara) Xposed Framework
Auditando Aplicaciones Android 40 • Análisis de los archivos generados por la aplicación • Último paso de todos, ya que llevaremos toda la auditoría “jugando” con la app • $ adb shell • # su • # cd /data/data/com.pandiandcode.perrankana.esecretsantapp • # tree –L 2 Almacenamiento Interno
Auditando Aplicaciones Android 41 Almacenamiento Interno – Bases de Datos
Auditando Aplicaciones Android 42 • Análisis de los archivos generados por la aplicación • $ adb shell • # su • # cd /data/data/game2048.b2048game.twozerofoureight2048.game • # tree –L 2 Almacenamiento Interno
Auditando Aplicaciones Android 43
Auditando Aplicaciones Android 44 Almacenamiento Interno - Shared Preferences
Auditando Aplicaciones Android 45 Almacenamiento Interno – SQLite Database (Cookies)
Auditando Aplicaciones Android 46 07 ELABORACIÓN DE RESULTADOS
Auditando Aplicaciones Android 47 EVIDENCIAS
Auditando Aplicaciones Android 48 “Android was built to be very, very secure.” Sundar Pichai

Más contenido relacionado

PPTX
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
porRootedCON
 
PPTX
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
porRootedCON
 
PPTX
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
porRootedCON
 
PDF
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
porRootedCON
 
PPTX
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
porRootedCON
 
PPTX
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
porRootedCON
 
PPTX
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
porRootedCON
 
PDF
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
porRootedCON
 
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
porRootedCON
 
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
porRootedCON
 
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
porRootedCON
 
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
porRootedCON
 
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
porRootedCON
 
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
porRootedCON
 
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
porRootedCON
 
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
porRootedCON
 

La actualidad más candente

PDF
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
porRootedCON
 
PDF
Rafael Boix - Reventando IOT con ataques hardware por menos de 50 euros [root...
porRootedCON
 
PPTX
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]
porRootedCON
 
PDF
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
porRootedCON
 
PPTX
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
porRootedCON
 
PDF
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
porIván Portillo
 
PDF
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
porIván Portillo
 
PDF
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
porIván Portillo
 
PPTX
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
porRootedCON
 
PDF
Webinar Gratuito: Capturar Tráfico de Red con Wireshark
porAlonso Eduardo Caballero Quezada
 
PPTX
Elias Grande - Dagda [rootedvlc4]
porRootedCON
 
PDF
Web cryptography
porJose Manuel Ortega Candel
 
PDF
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
porIván Portillo
 
PDF
Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]
porRootedCON
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
porRootedCON
 
Rafael Boix - Reventando IOT con ataques hardware por menos de 50 euros [root...
porRootedCON
 
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]
porRootedCON
 
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
porRootedCON
 
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
porRootedCON
 
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
porIván Portillo
 
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
porIván Portillo
 
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
porIván Portillo
 
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
porRootedCON
 
Webinar Gratuito: Capturar Tráfico de Red con Wireshark
porAlonso Eduardo Caballero Quezada
 
Elias Grande - Dagda [rootedvlc4]
porRootedCON
 
Web cryptography
porJose Manuel Ortega Candel
 
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
porIván Portillo
 
Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]
porRootedCON
 

Similar a Cristian Barrientos - Auditando Aplicaciones Android [rooted2018]

PDF
Testing Android Security
porJose Manuel Ortega Candel
 
PDF
Testing Android Security
porJose Manuel Ortega Candel
 
PPTX
Seguridad en Android
porJose Manuel Ortega Candel
 
PDF
Sebastián Guerrero - Pimp your Android [RootedCON 2012]
porRootedCON
 
PDF
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
porWebsec México
 
PDF
Pimp your Android. Rooted CON 2012.
porInternet Security Auditors
 
PDF
Android reversing 101.pdf
porJosé Moreno
 
PDF
Android Tips & Tricks - Boosting your productivity
porFe
 
PDF
Tacita, análisis de APKS y big data
porQuantiKa14
 
PPTX
Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...
porCSA Argentina
 
PDF
Introducción a Android: 10 cosas importantes que hay que entender
porjezabelink
 
PPTX
Troyanizando y Auditando Android - HoneyCON
porMatías Moreno Cárdenas
 
PDF
Ingeniería inversa básica en android tomo ii
porFreelance
 
PDF
[Public] GDS Metodología de Revisión #2015
porNicolas Bortolotti
 
PDF
Destripando y protegiendo aplicaciones android
porSergio Arcos
 
PDF
Taller Android seedrocket
porIsrael Camacho
 
PDF
Lo que las apps esconden
porEventos Creativos
 
PDF
Taller Android Navaja Negra 5 ED
pormirojo
 
PPTX
Curso Iniciacion android
porZix Stdio
 
PDF
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
porInternet Security Auditors
 
Testing Android Security
porJose Manuel Ortega Candel
 
Testing Android Security
porJose Manuel Ortega Candel
 
Seguridad en Android
porJose Manuel Ortega Candel
 
Sebastián Guerrero - Pimp your Android [RootedCON 2012]
porRootedCON
 
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
porWebsec México
 
Pimp your Android. Rooted CON 2012.
porInternet Security Auditors
 
Android reversing 101.pdf
porJosé Moreno
 
Android Tips & Tricks - Boosting your productivity
porFe
 
Tacita, análisis de APKS y big data
porQuantiKa14
 
Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...
porCSA Argentina
 
Introducción a Android: 10 cosas importantes que hay que entender
porjezabelink
 
Troyanizando y Auditando Android - HoneyCON
porMatías Moreno Cárdenas
 
Ingeniería inversa básica en android tomo ii
porFreelance
 
[Public] GDS Metodología de Revisión #2015
porNicolas Bortolotti
 
Destripando y protegiendo aplicaciones android
porSergio Arcos
 
Taller Android seedrocket
porIsrael Camacho
 
Lo que las apps esconden
porEventos Creativos
 
Taller Android Navaja Negra 5 ED
pormirojo
 
Curso Iniciacion android
porZix Stdio
 
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
porInternet Security Auditors
 

Más de RootedCON

PDF
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
porRootedCON
 
PDF
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
porRootedCON
 
PDF
Rooted2020 hunting malware-using_process_behavior-roberto_amado
porRootedCON
 
PPSX
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
porRootedCON
 
PDF
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
porRootedCON
 
PPTX
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
porRootedCON
 
PPTX
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
porRootedCON
 
PPTX
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
porRootedCON
 
PDF
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
porRootedCON
 
PDF
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
porRootedCON
 
PPTX
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
porRootedCON
 
PPTX
Rooted2020 virtual pwned-network_-_manel_molina
porRootedCON
 
PDF
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
porRootedCON
 
PDF
Rooted2020 todo a-siem_-_marta_lopez
porRootedCON
 
PPTX
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
porRootedCON
 
PDF
Rooted2020 live coding--_jesus_jara
porRootedCON
 
PDF
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
porRootedCON
 
PDF
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
porRootedCON
 
PDF
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
porRootedCON
 
PDF
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
porRootedCON
 
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
porRootedCON
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
porRootedCON
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
porRootedCON
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
porRootedCON
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
porRootedCON
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
porRootedCON
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
porRootedCON
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
porRootedCON
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
porRootedCON
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
porRootedCON
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
porRootedCON
 
Rooted2020 virtual pwned-network_-_manel_molina
porRootedCON
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
porRootedCON
 
Rooted2020 todo a-siem_-_marta_lopez
porRootedCON
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
porRootedCON
 
Rooted2020 live coding--_jesus_jara
porRootedCON
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
porRootedCON
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
porRootedCON
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
porRootedCON
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
porRootedCON
 

Cristian Barrientos - Auditando Aplicaciones Android [rooted2018]

  • 1.
  • 2.
    Auditando Aplicaciones Android2 1. WHOAMI 2. ESTRUCTURA DE LA AUDITORÍA 3.- REVERSING 4.- ANÁLISIS ESTÁTICO 5.- PREPARACIÓN DEL ENTORNO 6.- ANÁLISIS DINÁMICO 7.- ELABORACIÓN DE RESULTADOS
  • 3.
  • 4.
    Auditando Aplicaciones Android4 • Cristian Barrientos Beltrán • Consultor/Auditor en Wise Security • Especializado en auditoría móvil (Android & iOS) • Graduado en Ingeniería Informática (UPC – FIB) • Máster en Cybersecurity Management (UPC School) • Telegram: @SerBarristan
  • 5.
    Auditando Aplicaciones Android5 02 ESTRUCTURA DE LA AUDITORÍA
  • 6.
    Auditando Aplicaciones Android6 Reversing • adb • apktool • unzip • dex2jar • baksmali • APK Studio • Sublime • JD-GUI • SQLite • Certificado • Xposed - Framework • JustTrustMe • Burp Suite • Xposed Hooks • Documentación • Informe Análisis Estático Preparación entorno Análisis Dinámico Elaboración de resultados
  • 7.
  • 8.
    Auditando Aplicaciones Android8 • Obtención de la APK desde el dispositivo $ adb pull /data/app/game2048.b2048game.twozerofoureight2048.game.apk [100%] /data/app/game2048.b2048game.twozerofoureight2048.game.apk $ unzip game2048.b2048game.twozerofoureight2048.game.apk • Estructura de la APK: $ tree -L 1 . ├── AndroidManifest.xml ├── META-INF/ ├── assets/ ├── build-data.properties ├── classes.dex ├── classes2.dex ├── res/ └── resources.arsc Deficiencias en la protección del código
  • 9.
    Auditando Aplicaciones Android9 • Obtención de la APK desde el dispositivo • AndroidManifest.xml: Manifiesto de la aplicación en formato binario. Contiene la definición de permisos, actividades, proveedores de servicio, etc... • META-INF: Contiene el certificado de la aplicación y el SHA-1 de todos los recursos • assets: Esta carpeta contiene archivos auxiliares del código, por ejemplo, xmls. • res: Es carpeta es exactamente equivalente a su homónima en el código y contiene recursos, como por ejemplo, imágenes, videos, etc... • classes.dex: Contiene todo el código de la aplicación en bytecodes de Dalvik • classes[2...n].dex: Contienen código adicional (MultiDex) • resources.arsc: Contiene recursos precompilados como por ejemplo XMLs Deficiencias en la protección del código
  • 10.
    Auditando Aplicaciones Android10 • Obtención de la APK Google Play • APK Downloader • https://apps.evozi.com/apk-downloader/ Deficiencias en la protección del código
  • 11.
    Auditando Aplicaciones Android11 • Decodificando la APK a Java • $ unzip game2048.b2048game.twozerofoureight2048.game.apk . ├── AndroidManifest.xml ├── META-INF ├── assets ├── build-data.properties ├── classes.dex ├── classes2.dex ├── res └── resources.arsc • $ d2j-dex2jar classes.dex dex2jar classes.dex -> ./classes-dex2jar.jar • Abrir el .jar con JD-GUI Deficiencias en la protección del código
  • 12.
    Auditando Aplicaciones Android12 • Analizando el código Java Deficiencias en la protección del código
  • 13.
    Auditando Aplicaciones Android13 • Decodificando la APK a Smali • $ apktool d game2048.b2048game.twozerofoureight2048.game.apk I: Using Apktool 2.2.2 on game2048.b2048game.twozerofoureight2048.game.apk I: Loading resource table... I: Decoding AndroidManifest.xml with resources... I: Loading resource table from file: /Users/barri/Library/apktool/framework/1.apk I: Regular manifest package... I: Decoding file-resources... I: Decoding values */* XMLs... I: Baksmaling classes.dex... I: Copying assets and libs... I: Copying unknown files... I: Copying original files… Deficiencias en la protección del código
  • 14.
    Auditando Aplicaciones Android14 • Decodificando la APK a Smali • $ tree –L 1 . ├── AndroidManifest.xml ├── apktool.yml ├── assets ├── original ├── res ├── smali ├── smali2 └── unknown Deficiencias en la protección del código
  • 15.
    Auditando Aplicaciones Android15 • Analizando Smali Deficiencias en la protección del código
  • 16.
    Auditando Aplicaciones Android16 04 ANÁLISIS ESTÁTICO
  • 17.
    Auditando Aplicaciones Android17 • Buscando Logs en el código Java • Descripción Android implementa un sistema de log llamado logcat que permite a las aplicaciones generar de manera sencilla un log centralizado para el debugging de las aplicaciones. Se considera una mala practica el uso de logs en aplicaciones en producción, el riesgo aumenta si la aplicación escribe en el log información sensible como usuarios o contraseñas. Logs
  • 18.
    Auditando Aplicaciones Android18 • Buscando Logs en el código Java Logs
  • 19.
    Auditando Aplicaciones Android19 • Buscando URLs y/o IPs en el código Java Enlaces a Internet (HTTP)
  • 20.
    Auditando Aplicaciones Android20 • Buscando Webviews en el código Java • Descripción El WebView de Android es un componente que permite a las aplicaciones cargar páginas web e incrustar el resultado en una aplicación. Google ha anunciado que este componente dejará de recibir soporte <4.4 por lo que las vulnerabilidades públicas ya existentes o las nuevas que se podrían encontrar no serán resueltas. Uso del Webview con minsdk < 19 (4.4)
  • 21.
    Auditando Aplicaciones Android21 • Analizando el AndroidManifest.xml de la aplicación • Descripción El parámetro del manifest “AllowBackup” establece si la aplicación permite copias de seguridad en el cloud o un dispositivo físico. Por defecto, este atributo se establece a “True”, con lo que es necesario ponerla a “False”. Por otro lado, el atributo “debuggable”, si se define a “True” permite ejecutar la aplicación en modo debug incluso con el dispositivo en en modo usuario. Archivo de configuración de la aplicación (AndroidManifest.xml)
  • 22.
    Auditando Aplicaciones Android22 • Analizando la protección del código de la aplicación • ProGuard: ofusca los nombre de las classes, funciones y variables. (gratiuto) Nivel de protección/ofuscación del código (ProGuard, DexGuard, Arxan…)
  • 23.
    Auditando Aplicaciones Android23 • Analizando la protección del código de la aplicación • DexGuard: ofusca nombres, cadenas de texto, flujo y utiliza reflection. Puede tener una clase propia con controles de seguridad (de pago) Nivel de protección/ofuscación del código (ProGuard, DexGuard, Arxan…)
  • 24.
  • 25.
  • 26.
    Auditando Aplicaciones Android26 • Analizando la protección del código de la aplicación • Arxan: similar a DexGuard con un módulo de whitebox (de pago) Nivel de protección/ofuscación del código (ProGuard, DexGuard, Arxan…)
  • 27.
  • 28.
    Auditando Aplicaciones Android28 • Analizando código Java en busca de métodos que implementen CP Implementación de CertificatePinning
  • 29.
    Auditando Aplicaciones Android29 • Analizando código Java en busca de controles de seguridad • Detección de root Detección de controles de seguridad (Root, Integridad, Emulador)
  • 30.
    Auditando Aplicaciones Android30 • Analizando código Java en busca de controles de seguridad • Control de integridad Detección de controles de seguridad (Root, Integridad, Emulador)
  • 31.
    Auditando Aplicaciones Android31 • Analizando código Java en busca de controles de seguridad • Detección de emuladores Detección de controles de seguridad (Root, Integridad, Emulador)
  • 32.
    Auditando Aplicaciones Android32 05 PREPARACIÓN DEL ENTORNO
  • 33.
    Auditando Aplicaciones Android33 • Obtención e instalación del certificado de Burp en el dispositivo • Abrir Burp en el PC • Configurar proxy en el dispositivo • Ajustes -> Wifi -> Modificar Red -> Opciones Avanzadas -> Proxy Manual -> IP y Puerto • Abrir http://burp:8080 en el dispositivo • Descargar el certificado (por defecto .der) • Modificar la extensión a .cer (dependiendo del dispositivo puede funcionar sin cambiar extensión) • Ajustes -> Seguridad -> Instalar certificados desde SD -> Seleccionar certificado Certificado para MITM
  • 34.
    Auditando Aplicaciones Android34 • Instalación de Xposed y sus módulos en el dispositivo • Descargar e instalar XposedInstaller_*.apk de xda-developers en el dispositivo • https://forum.xda-developers.com/attachment.php?attachmentid=4393082&d=1516301692 • Descargar y flashear con custom recovery (TWRP) xposed*.zip de xda-developers en el dispositivo (escogiendo el SDK adecuado) • https://dl-xda.xposed.info/framework/ • Descargar e instalar los .apk correspondientes a cada uno de los módulos que se quieren instalar • https://forum.xda-developers.com/xposed/modules/index-xposed-modules-collection-post-t2327541 XposedFramework
  • 35.
    Auditando Aplicaciones Android35 06 ANÁLISIS DINÁMICO
  • 36.
    Auditando Aplicaciones Android36 • Análisis del tráfico de la aplicación con Burp • Una vez se ha instalado el certificado del Burp en el teléfono y se ha configurado un proxy manual debemos “jugar” con la aplicación mientras observamos las conexiones que la aplicación realiza. • Modificamos parámetros enviados tanto por GET como por POST con el fin de alterar la información enviada al servidor. Man in the middle
  • 37.
    Auditando Aplicaciones Android37 • Análisis de logs en dinámico • adb logcat / adb logcat –s TAG • Usar PidCat (https://github.com/JakeWharton/pidcat) • python pidcat.py package • python pidcat.py –t TAG package Logcat
  • 38.
    Auditando Aplicaciones Android38 • Análisis de logs en dinámico Logcat
  • 39.
    Auditando Aplicaciones Android39 • Alteración de los métodos de la aplicación • Localizar packagename, clase y método que queremos alterar • Picar código que queremos ejecutar en dicho método • Instalar módulo de Xposed (como si de una app cualquiera se tratara) Xposed Framework
  • 40.
    Auditando Aplicaciones Android40 • Análisis de los archivos generados por la aplicación • Último paso de todos, ya que llevaremos toda la auditoría “jugando” con la app • $ adb shell • # su • # cd /data/data/com.pandiandcode.perrankana.esecretsantapp • # tree –L 2 Almacenamiento Interno
  • 41.
    Auditando Aplicaciones Android41 Almacenamiento Interno – Bases de Datos
  • 42.
    Auditando Aplicaciones Android42 • Análisis de los archivos generados por la aplicación • $ adb shell • # su • # cd /data/data/game2048.b2048game.twozerofoureight2048.game • # tree –L 2 Almacenamiento Interno
  • 43.
  • 44.
    Auditando Aplicaciones Android44 Almacenamiento Interno - Shared Preferences
  • 45.
    Auditando Aplicaciones Android45 Almacenamiento Interno – SQLite Database (Cookies)
  • 46.
    Auditando Aplicaciones Android46 07 ELABORACIÓN DE RESULTADOS
  • 47.
  • 48.
    Auditando Aplicaciones Android48 “Android was built to be very, very secure.” Sundar Pichai