Evaluación de aplicaciones Android — Parte III

September 20, 2018
Pruebas de acceso móviles

Esta publicación cubre algunos ataques y herramientas más específicos de aplicaciones de Android que pueden ayudarlo aún más a preprobar su aplicación de Android.

Tenga en cuenta que para una aplicación de Android que se conecta a Internet a través de Wifi o GPRS, debe inyectar un proxy y realizar pruebas similares a las de una aplicación web. En este caso, se aplicarán todas las pruebas de aplicaciones web aplicables. Compruebe aquí para configurar un proxy en el emulador de Android.


Proceso de solicitud e inspección de intercomunicación

El objetivo es buscar las llamadas internas del sistema realizadas por su aplicación, capturar pantallas sin rootear el dispositivo, falsificar datos locales, ver los procesos y la información del estado de la aplicación. La utilidad que utilizamos aquí es una versión gráfica de adb.exe, es decir, ddms.bat. La ubicación predeterminada de esta utilidad es C:\Program Files\ Android\ android-sdk\ tools. A continuación se muestra cómo puede acceder a todos los datos mencionados anteriormente:

Navegue hasta la ubicación\ Android\ android-sdk\ tools mediante la línea de comandos

Busque y ejecute ddms.bat para obtener la siguiente pantalla:

Almacenamiento criptográfico inseguro

El objetivo de esta prueba es buscar claves codificadas que la aplicación pueda almacenar para realizar el cifrado y el descifrado de datos en reposo o en tránsito. La descompilación de aplicaciones debería hacer la mayor parte de tu trabajo, como se detalla en mi última publicación. Lugares para buscar:

  • Métodos como javax.crypto.cipher.init () en el archivo de clase
  • El nombre de la clase debería darte la dirección
  • La página de inicio de inicio/inicio de sesión de la aplicación puede ejecutar alguna lógica de cifrado

Herramientas útiles

A continuación se muestran algunas de las herramientas específicas de las aplicaciones de Android (además de las que mencioné en esta serie) que pueden ayudarlo a investigar más a fondo o buscar más problemas:

Intent Fuzzer — Proporcione datos aleatorios e inválidos para probar cómo reacciona su aplicación ante ellos.

Detector de intenciones — Supervise e intercepte la intención de su aplicación

BusyBox — Paquete de herramientas de Unix para probar tu aplicación de Android

Wireshark — La mayoría de vosotros debéis conocer su funcionalidad. Combínalo con Gorra Raw para analizar el tráfico

Espero que esta serie le haya resultado útil para probar sus aplicaciones de Android.


¡¡Feliz lectura!!

Share this post
Seguridad de Wordpress
Análisis de malware
Herramientas y técnicas
Pentestes
PTAAS
Suscríbase a nuestro boletín

Suscríbase a nuestro boletín hoy mismo y mejore sus conocimientos con información valiosa. ¡Es rápido, fácil y gratuito!

Be a Team Player
¡Gracias! ¡Su presentación ha sido recibida!
¡Uy! Algo salió mal al enviar el formulario.
Latest blogs

Latest updates in cybersecurity services

View All
Blacklock Blog Image