1 sept 2015

Drozer: pentesting de aplicaciones Android

La seguridad en dispositivos y aplicaciones Android o "Android Hacking" es algo que me gusta mucho, incluso desarrollar aplicaciones para este sistema me resulta entretenido. Mi idea es escribir algunas notas sobre los test que podemos realizar para medir la seguridad de una App Android.
Me parece esencial empezar explicando cómo utilizar Drozer, ya que es un framework, desarrollado por MWR InfoSecurity, que nos ayudará mucho a la hora de testear vulnerabilidades de fuga de información, inyección SQL en aplicaciones y Content Providers, y un largo etcétera que me tocará explicar en cada nota.
  1. Armar el laboratorio. Necesitamos: Drozer, obviamente Java y el Android SDK.
  2. Nota existencial: Si utilizan un Linux que no es Debian/Ubuntu, como es mi caso que uso OpenSUSE, tendrán que descargar la opción .egg de Drozer, lean las instrucciones de instalación en el readme para no tener pérdida de tiempo con problemas de dependencias.
  3. Por último, para realizar los test necesitamos un dispositivo Android (no es necesario que esté rooteado), podemos usar nuestro propio teléfono Android o alguno emulado, yo uso el emulador: Genymotion.
Es necesario que instalemos un agente de Drozer (un APK) en el dispositivo Android donde vayamos a testear las aplicaciones, dicho APK se lo pueden descargar desde la misma página del framework, precisamente aquí.

Contenido completo en fuente original Se Me Cayo un Exploit (@UnaPibaGeek)

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!