Probando la seguridad de aplicaciones Android con InsecureBankv2 (I)

En esta serie de artículos, vamos a aprender los distintos conceptos de seguridad de las aplicaciones Android explotando la aplicación, vulnerable ex profeso, InsecureBankv2.

Antes de comenzar se debe crear una plataforma de pentesting móvil adecuado para pruebas de aplicaciones Android, y para eso se debe descargar el paquete Eclipse ADT y seguir las instrucciones para instalarlo. Una vez hecho esto, se deben instalar los paquetes necesarios, SDK y bibliotecas, siguiendo estas instrucciones.

InsecureBankv2 es una aplicación Android vulnerable y está hecha para que desarrolladores y entusiastas de seguridad puedan aprender sobre la (in)seguridad en las aplicaciones Android y puedan probarlas de primera mano. El servidor está escrito en Python y el cliente (InsecureBank.apk) es la aplicación Android propiamente dicha. Todo el código fuente puede descargarse desde su repositorio en Github.

La lista de vulnerabilidades que actualmente están incluidas en esta versión son:

• Insecure Logging mechanism
• Vulnerable Activity Components
• Insecure Content Provider access
• Weak Broadcast Receiver permissions
• Android Pasteboard vulnerability
• Local Encryption issues
• Android keyboard cache issues
• Insecure Webview implementation
• Weak Cryptography implementation
• Android Backup vulnerability
• Application Debuggable
• Insecure SDCard storage
• Insecure HTTP connections
• Weak Authorization mechanism
• Parameter Manipulation
• Hardcoded secrets
• Username Enumeration issue
• Developer Backdoors
• Weak change password implementation

Continuará...

Cristian de la Redacción de Segu-Info