Post on 18-Jan-2017
transcript
Pentesting en Dispositivos Android con
Drozer
T e m a r i o
1. Seguridad en Android
2. ¿Qué es Drozer?
3. Obteniendo Credenciales
4. Live Demo
1. Seguridad en Android
• Aplicaciones• Framework de Aplicaciones• Librerias• Android Runtime• Librerias Core• DVM (Dalvik Virtual Machine)
• Capa Abstracta de Hardware• Kernel de Linux
¿Qué es ?
Framework para Auditar y Atacar Dispositivos Android
Validar el nivel de seguridad de las aplicaciones
Usar y publicar exploits públicos
Descubre vulnerabilidades en las aplicaciones
Ejecuta código dinámico Java
En dispositivos reales o emuladores
Automatizar mediante módulos
Prerequisitos
1. Una laptop
- JRE o JDK
- SDK de Android
2. Emulador con Android >2.1 o un dispositivo
3. Descargar el instalador de Drozer
4. Descargar la app Agent.apk
Instalación
1. El cliente Drozer a través del instalador en la computadora
2. La aplicación en la consola:
3. Conectar la consola Drozer con la aplicación agente
$ adb install agent.apk
$ adb forward tcp:31415 tcp:31415
$ drozer console connect
Demo 1
Usando Drozer
- El comando list mostrará los módulos preinstalados
El módulo app.package.manifest, obtiene el androidmanifest.xml
run app.package.manifest.com.miapp.vulnerable
Obteniendo Datos con Drozer
OWASP Top Ten Móviles
! Error de los desarrolladores !
MODE_WORLD_READABLE
MODE_WORLD_WRITABLE
$ /data/data/com.miapp.vulnerable/shared_prefs # cat
credentials.xml
Obteniendo Datos con Drozer
Obteniendo las credenciales
$ /data/data/com.miapp.vulnerable/shared_prefs # cat
credentials.xml
Demo 2
@cbreeto
/cbreeto
Carlos J. Brito Abundis
http://lnked.in/cbreeto
carlosbreeto@gmail.com