Professional Documents
Culture Documents
MobilePruebasdePenetracinEnAndroidUsandoDrozer[DESCARGAR+TUTORIAL]|DENUNCIA
DENUNCIA
Servicios de Seguridad Ciberntica
10 de julio 2015
http://terminatio.org/mobilepenetrationtestingonandroidusingdrozer/
1/12
26/7/2015
MobilePruebasdePenetracinEnAndroidUsandoDrozer[DESCARGAR+TUTORIAL]|DENUNCIA
Los telfonos mviles se han convertido en una parte indispensable de nuestra vida
cotidiana. Utilizamos los telfonos mviles para comunicarse con nuestros seres
queridos, para un rpido acceso a la informacin a travs de Internet, para realizar
transacciones a travs de aplicaciones de banca mvil o para relajarse leyendo un
buen libro.
En cierto modo, una gran parte de nuestra vida privada se ha movido en el entorno
digital. Los telfonos mviles parecen ser un tesoro de bolsillo de secretos e
informacin, ocultando nuestras fotos ms valiosas, correos, contactos e incluso
informacin bancaria. No es de extraar por eso que necesitan los telfonos mviles
para tener seguridad a prueba de balas.
Android es el sistema operativo ms comn para los dispositivos mviles y es
particularmente interesante desde el punto de vista de seguridad. Es muy permisiva,
que permite a sus usuarios personalizar casi cualquier cosa, privilegios administrativos
(aka enraizamiento) puede ser desbloqueado en la mayora de los telfonos, que tiene
un sistema muy difusa para los permisos requeridos por las aplicaciones y
caractersticas de diferentes maneras para una aplicacin para interactuar con otros
aplicaciones.
En esta entrada del blog, nos vamos a centrar en cmo las aplicaciones de Android
pueden interactuar entre s y cmo la seguridad de esas interacciones se puede probar.
http://terminatio.org/mobilepenetrationtestingonandroidusingdrozer/
2/12
26/7/2015
MobilePruebasdePenetracinEnAndroidUsandoDrozer[DESCARGAR+TUTORIAL]|DENUNCIA
Como se puede ver, hay muchas interacciones. Prueba de una manera anticuada
(mediante la creacin de una aplicacin para todas las pruebas que tenga en mente,
instalarlo en su dispositivo y ejecutar la prueba-app) es mucho tiempo, as que no es
realmente una solucin. Aqu es donde entra en juego Drozer.
Presentacin de Drozer
Drozer es un ambicioso proyecto desarrollado por MWR InfoSecurity. Aunque es una
navaja suiza tipo de herramienta, me centrar en la forma en que se puede utilizar con
el fin de comenzar con una actividad exportado.
En primer lugar, es necesario instalar Drozer . Usted puede hacerlo dirigindose a la
oficial pgina (https://www.mwrinfosecurity.com/products/drozer/#downloads) y siga
las instrucciones, o puede descargar Appie (https://manifestsecurity.com/appie/) - un
conjunto de herramientas creadas para las pruebas de penetracin mvil, contiene
una versin porttil de Drozer.
En segundo lugar, es necesario instalar el Agente Drozer en su dispositivo mvil. El
dispositivo mvil no tiene que tener sus races. Agente Drozer es una aplicacin para
Android que requiere privilegios mnimos (acceso internet solamente) y acta como un
puente entre el Drozer instalar desde el ordenador y el dispositivo mvil. Se puede
descargar de las mismas fuentes como se mencion anteriormente, teniendo en
cuenta que la Drozer versin y Agente Drozer versin deben coincidir.
El tercer paso es instalar en su dispositivo mvil la aplicacin que desea probar. Para
las pruebas y la formacin, puede utilizar una de las siguientes aplicaciones:
tamiz de
(https://www.mwrinfosecurity.com/system/assets/380/original/sieve.apk) una
aplicacin maldita vulnerable desarrollado por MWR InfoSecurity -;
FourGoats - una aplicacin vulnerable incluido en de OWASP GoatDroid
(https://github.com/jackMannino/OWASP-GoatDroid-Project) proyecto;
Rebao financiera - otra aplicacin vulnerable incluido en de OWASP GoatDroid
(https://github.com/jackMannino/OWASP-GoatDroid-Project) proyecto;
una aplicacin en el mundo real, voy a utilizar para esta demo Firefox para
Android (https://play.google.com/store/apps/details?id=org.mozilla.firefox) instalado desde Google Play.
3/12
26/7/2015
MobilePruebasdePenetracinEnAndroidUsandoDrozer[DESCARGAR+TUTORIAL]|DENUNCIA
(https://kpmgsecurity.files.wordpress.com/2015/07/drozer-console-connect.png)
4/12
26/7/2015
MobilePruebasdePenetracinEnAndroidUsandoDrozer[DESCARGAR+TUTORIAL]|DENUNCIA
Ok, ahora tenemos una consola Drozer interactiva. Qu podemos hacer? Vamos a
empezar una actividad, comando por comando:
lista , se mostrar una lista de comandos disponibles en Drozer
http://terminatio.org/mobilepenetrationtestingonandroidusingdrozer/
5/12
26/7/2015
MobilePruebasdePenetracinEnAndroidUsandoDrozer[DESCARGAR+TUTORIAL]|DENUNCIA
Analizando el
http://terminatio.org/mobilepenetrationtestingonandroidusingdrozer/
6/12
26/7/2015
MobilePruebasdePenetracinEnAndroidUsandoDrozer[DESCARGAR+TUTORIAL]|DENUNCIA
Como resultado, Firefox abre una nueva pestaa en el dispositivo mvil y navegar a un
sitio web realmente genial.
Entonces qu paso? El cuento es que Drozer agente, una aplicacin sin permisos
especiales instalados en nuestro dispositivo mvil, puede iniciar actividades que se
exportaron por otras aplicaciones. Y esto es slo la punta del iceberg.
http://terminatio.org/mobilepenetrationtestingonandroidusingdrozer/
7/12
26/7/2015
MobilePruebasdePenetracinEnAndroidUsandoDrozer[DESCARGAR+TUTORIAL]|DENUNCIA
Es importante entender que cualquier otra aplicacin por ah puede iniciar una
Intencin de esta manera, no slo Drozer. Si desea probar por ti mismo y crear una
aplicacin de Android sencillo que inicia una intencin, aqu est el cdigo equivalente
para la sintaxis Drozer utilizado anteriormente:
http://terminatio.org/mobilepenetrationtestingonandroidusingdrozer/
8/12
26/7/2015
MobilePruebasdePenetracinEnAndroidUsandoDrozer[DESCARGAR+TUTORIAL]|DENUNCIA
En caso de una linterna de ser capaz de tomar fotos y videos con mi cmara? No. En
caso de una linterna capaz de descargar datos desde Internet? No. Debo permitir que
una linterna para tener acceso completo a la red? No. Debo permitir que una linterna
para modificar la configuracin de mi sistema? Por supuesto que no.
Eso es slo un ejemplo, pero ilustra muy bien cmo no se puede saber si una aplicacin
es inofensivo o no, a juzgar slo por los permisos que requiere. As pues, si una
aplicacin de linterna se instala en ms de 100.000.000 dispositivos con permisos
ampliados, entonces es seguro asumir que el malware conseguir instalado en el
dispositivo de la vctima con algunos permisos; se vera sospechoso si la aplicacin de
malware no requerira ningn permiso en absoluto.
Volver a nuestra meta, podemos construir un Agente Drozer con permisos especficos
utilizando la instancia Drozer de nuestro ordenador: agente drozer.bat construir permission "android.permission.SOMETHING"
Despus de instalar el nuevo Agente Drozer, podemos seguir los mismos pasos que se
describen en este artculo, para iniciar una actividad que requiere permisos
especficos.
http://terminatio.org/mobilepenetrationtestingonandroidusingdrozer/
9/12
26/7/2015
MobilePruebasdePenetracinEnAndroidUsandoDrozer[DESCARGAR+TUTORIAL]|DENUNCIA
Conclusiones
Al final, me gustara sealar que Android cuenta con un modelo de seguridad compleja
y, a veces, la complejidad es el peor enemigo de la seguridad. Teniendo en cuenta
todas las interacciones que son posibles entre aplicaciones, debemos probar a fondo la
seguridad de las aplicaciones que construimos. Es mejor prevenir que curar!
Apyanos, Share this:
(http://terminatio.org/mobilepenetrationtestingonandroidusingdrozer/?share=twitter&nb=1)17
(http://terminatio.org/mobilepenetrationtestingonandroidusingdrozer/?share=facebook&nb=1)97
(http://terminatio.org/mobilepenetrationtestingonandroidusingdrozer/?share=googleplus
1&nb=1)
Relacionados
Ms de 600 millones de
dispositivos Samsung S
abierto a hackear (+ Video
Tutorial)
(http://terminatio.org/morethan-600-million-samsung-sdevices-open-to-hacktutorial-video/)
18/06/2015
En "Noticias"
Website
http://terminatio.org/mobilepenetrationtestingonandroidusingdrozer/
10/12
26/7/2015
MobilePruebasdePenetracinEnAndroidUsandoDrozer[DESCARGAR+TUTORIAL]|DENUNCIA
Message
PUBLICAR COMENTARIO
Notifiqueme de seguimiento de los comentarios por correo electrnico.
Notifcame de nuevas entradas por e-mail.
Anuncios
ltimos Mensajes
[E-Book] Hackear: el arte de la explotacin | Por Jon Erickson | (http://terminatio.org/e-bookhacking-the-art-of-exploitation-by-jon-erickson/)
Ataque de fuerza bruta usando HYDRA [Tutorial] (http://terminatio.org/brute-force-attack-usinghydra/)
Hervesting datos: Una introduccin a la medicina forense automatizados con extractor mayor
[Tutorial] (http://terminatio.org/hervesting-data-an-introduction-to-automated-forensics-withbulk-extractor/)
Pentest Herramienta Arsenal [Infografa] (http://terminatio.org/pentest-tool-arsenalinfographic/)
Cmo crack nmeros de tarjetas de crdito [Tutorial completo] (http://terminatio.org/how-tocrack-credit-card-numbers-complete-tutorial/)
http://terminatio.org/mobilepenetrationtestingonandroidusingdrozer/
11/12
26/7/2015
MobilePruebasdePenetracinEnAndroidUsandoDrozer[DESCARGAR+TUTORIAL]|DENUNCIA
Anuncios
(https://www.facebook.com/Terminatio.Org)
(https://twitter.com/TerminatioOrg)
(https://www.youtube.com/c/TerminatioOrgOfficial)
(https://plus.google.com/+TerminatioOrgOfficial)
http://terminatio.org/mobilepenetrationtestingonandroidusingdrozer/
12/12