presentada por: ing. gustavo m. sorondo
TRANSCRIPT
![Page 1: Presentada por: Ing. Gustavo M. Sorondo](https://reader035.vdocuments.co/reader035/viewer/2022081611/62c56d9abfd4601068681798/html5/thumbnails/1.jpg)
![Page 2: Presentada por: Ing. Gustavo M. Sorondo](https://reader035.vdocuments.co/reader035/viewer/2022081611/62c56d9abfd4601068681798/html5/thumbnails/2.jpg)
Ing. Gustavo M. SorondoCEH - Consultor Senior, CYBSEC
Presentada por:
![Page 3: Presentada por: Ing. Gustavo M. Sorondo](https://reader035.vdocuments.co/reader035/viewer/2022081611/62c56d9abfd4601068681798/html5/thumbnails/3.jpg)
Aclaración:
©© Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.
![Page 4: Presentada por: Ing. Gustavo M. Sorondo](https://reader035.vdocuments.co/reader035/viewer/2022081611/62c56d9abfd4601068681798/html5/thumbnails/4.jpg)
Tipos de Aplicaciones Mobile Plataformas Actuales Tareas de un Pentest Mobile Creación del Laboratorio Análisis de Archivos Reversing de Código Análisis de la Mensajería
Agenda:
![Page 5: Presentada por: Ing. Gustavo M. Sorondo](https://reader035.vdocuments.co/reader035/viewer/2022081611/62c56d9abfd4601068681798/html5/thumbnails/5.jpg)
Tipos de Aplicaciones Mobile
Web BasedApp
NativeApp
HybridApp
Según su programación:
¿Comunicaciones? Básicamente HTTP(S)
![Page 6: Presentada por: Ing. Gustavo M. Sorondo](https://reader035.vdocuments.co/reader035/viewer/2022081611/62c56d9abfd4601068681798/html5/thumbnails/6.jpg)
Plataformas Actuales
Market Share por Sistema Operativo
Lenguajes utilizados
Java JavaObjective-C .NET C#Silverlight
![Page 7: Presentada por: Ing. Gustavo M. Sorondo](https://reader035.vdocuments.co/reader035/viewer/2022081611/62c56d9abfd4601068681798/html5/thumbnails/7.jpg)
Vulnerabilidades más comunes
OWASP Mobile TOP 10
https://www.owasp.org/index.php/OWASP_Mobile_Security_Project
![Page 8: Presentada por: Ing. Gustavo M. Sorondo](https://reader035.vdocuments.co/reader035/viewer/2022081611/62c56d9abfd4601068681798/html5/thumbnails/8.jpg)
Tareas de Testing
¿Qué se hace en un Pentest Mobile?
• Creación del laboratorio.
• Análisis y comprensión de la lógica de la app.
• Análisis de seguridad de los servidores que soportan la app.
• Análisis de los archivos creados por la app.
• Ingeniería Inversa de código fuente / búsqueda de información sensible y vulnerabilidades.
• Búsqueda de vulnerabilidades a través del análisis y manipulación de la mensajería.
![Page 9: Presentada por: Ing. Gustavo M. Sorondo](https://reader035.vdocuments.co/reader035/viewer/2022081611/62c56d9abfd4601068681798/html5/thumbnails/9.jpg)
Creación del laboratorio
Emuladores • Android SDK Emulators• XCode iOS Simulator• Blackberry Simulators• Windows Phone Emulator
![Page 10: Presentada por: Ing. Gustavo M. Sorondo](https://reader035.vdocuments.co/reader035/viewer/2022081611/62c56d9abfd4601068681798/html5/thumbnails/10.jpg)
Análisis de archivos
• ¿Para qué?
• ¿Qué se busca?
• Jailbreak / Root necesario en dispositivos reales.
/data/data/<nombre_pkg>/
Shared Preferences
Base de datos SQLite
/private/var/mobile/Applications/<id_app>
PropertyList (.plist)
Base de datos SQLite
![Page 11: Presentada por: Ing. Gustavo M. Sorondo](https://reader035.vdocuments.co/reader035/viewer/2022081611/62c56d9abfd4601068681798/html5/thumbnails/11.jpg)
Análisis de archivos - Ejemplo
Veamos una demo...
![Page 12: Presentada por: Ing. Gustavo M. Sorondo](https://reader035.vdocuments.co/reader035/viewer/2022081611/62c56d9abfd4601068681798/html5/thumbnails/12.jpg)
Reversing de código fuente
• Binario compilado -> Código legible
• Bastante simple en Android y Windows Phone
• XAP (Windows) y APK (Android) = ZIP
• En Blackberry fácil si tenemos acceso al .jar
• En iOS solo se puede llegar a Assembler.
• Herramientas para Android:
• Apktool• Dex2jar• JDGUI Java Decompiler
![Page 13: Presentada por: Ing. Gustavo M. Sorondo](https://reader035.vdocuments.co/reader035/viewer/2022081611/62c56d9abfd4601068681798/html5/thumbnails/13.jpg)
Reversing de código fuente - Ejemplo
Divulgación de información en Mobile Banking
Veamos otra demo…
![Page 14: Presentada por: Ing. Gustavo M. Sorondo](https://reader035.vdocuments.co/reader035/viewer/2022081611/62c56d9abfd4601068681798/html5/thumbnails/14.jpg)
Análisis de la mensajería
• Man-in-the-middle
• Configuración de proxy
• Soportada por todos los emuladores.
• Soportada en algunos terminales.
• DNS Spoof / Packet Forwarding / Hosts
Proxy
HTTP(S) HTTP(S)
![Page 15: Presentada por: Ing. Gustavo M. Sorondo](https://reader035.vdocuments.co/reader035/viewer/2022081611/62c56d9abfd4601068681798/html5/thumbnails/15.jpg)
Análisis de la mensajería
• ¿Qué sucede con SSL?
• Tratamiento de certificados.
• Certificate Pinning
• Server o CA
• ¿Bueno o Malo?
• ¿Podemos saltear estas restricciones?
• Download/Decompile/Modify/Compile/Sign/Install
• Function Hooking
![Page 16: Presentada por: Ing. Gustavo M. Sorondo](https://reader035.vdocuments.co/reader035/viewer/2022081611/62c56d9abfd4601068681798/html5/thumbnails/16.jpg)
¿Preguntas?
![Page 17: Presentada por: Ing. Gustavo M. Sorondo](https://reader035.vdocuments.co/reader035/viewer/2022081611/62c56d9abfd4601068681798/html5/thumbnails/17.jpg)
¡Gracias por su atención!
Ing. Gustavo M. [email protected]
Los invitamos a sumarse al grupo “Segurinfo” en