Pentest em aplicações mobile

 

 

@GouveaHeitor

hi@heitorgouvea.me

@GouveaHeitor

Heitor Gouvêa

Pesquisador de Segurança da Informação

https://heitorgouvea.me

hi@heitorgouvea.me

@GouveaHeitor

Você confia em suas apps?

hi@heitorgouvea.me

@GouveaHeitor

Você confia em suas apps?

vazamento de informações sensíveis sobre o usuário

hi@heitorgouvea.me

@GouveaHeitor

Você confia em suas apps?

possibilitava a intercepção da senha do usuário

hi@heitorgouvea.me

@GouveaHeitor

Você confia em suas apps?

Bypass de Autorização

hi@heitorgouvea.me

@GouveaHeitor

PENTEST / TESTE DE INVASÃO

Um teste de invasão nada mais é que um conjunto de processos e conceitos que utilizam ferramentas, técnicas de hacking e conceitos específicos para a avaliação de segurança da informação.

 

Ele tem como objetivo principal visualizar todas as vulnerabilidades no ambiente responsável pelas informações de uma empresa, tais como: computadores, aplicações web, bancos de dados, servidores e etc.

hi@heitorgouvea.me

@GouveaHeitor

por que testar?

  • Conhecer as vulnerabilidades ao qual o seu negócio está sujeito;
  • Proteger os dados de seus clientes que estão sob sua responsabilidade;
  • Atender às exigências de normas regulatórias que exigem o teste de invasão para certificação;
  • Garantir a integridade da imagem da sua empresa;
  • Testar na prática se os controles de segurança contratados são realmente eficazes;

hi@heitorgouvea.me

@GouveaHeitor

* AVISO:

talk focada nas aplicações desenvolvidas para as plataformas e não no o.s / arquitetura

hi@heitorgouvea.me

@GouveaHeitor

Conheça a plataforma

hi@heitorgouvea.me

@GouveaHeitor

Arquitetura android

hi@heitorgouvea.me

@GouveaHeitor

ANATOMIA DE UMA APLICAÇÃO ANDROID

hi@heitorgouvea.me

@GouveaHeitor

JVM                    X              DALVIK VM  

hi@heitorgouvea.me

@GouveaHeitor

Arquitetura iphone

hi@heitorgouvea.me

@GouveaHeitor

ANATOMIA DE UMA APLICAÇÃO IPHONE

hi@heitorgouvea.me

@GouveaHeitor

OWASP TOP 10 Mobile Risk

01 - Uso inapropriado da plataforma
02 - Armazenamento de dados de forma insegura
03 - Comunicação insegura
04 - Autenticação insegura
05 - Falta de proteção de dados em trânsito
06 - Autorização insegura
07 - Injeção de código do cliente
08 - Code Tampering
09 - Engenharia reversa
10 - Funcionalidade Extrangeira

hi@heitorgouvea.me

@GouveaHeitor

Instalação sdk

$ ~ APT INSTALL ANDROID-SDK lib32stdc++6

$ ~ android update  sdk --no-ui

$ ~ android

hi@heitorgouvea.me

@GouveaHeitor

ANDROID SDK MANAGER

hi@heitorgouvea.me

@GouveaHeitor

DISPOSITIVOS VIRTUAIS

hi@heitorgouvea.me

@GouveaHeitor

Emulador...

hi@heitorgouvea.me

@GouveaHeitor

Emulador...

hi@heitorgouvea.me

@GouveaHeitor

LAB... OK!

hi@heitorgouvea.me

@GouveaHeitor

tipos de análise

ESTÁTICA:

  • Source Code Review
  • Análise de Strings Hardcoded
  • Análise de Armazenamento de dados
  • Análise de cache

hi@heitorgouvea.me

@GouveaHeitor

tipos de análise

Dinâmica:

  • Debugging
  • Network traffic
  • Acesso e comunicação ( SOA, HTTP, etc..)
  • Acesso ao File System
  • Armazenamento e leitura de dados

hi@heitorgouvea.me

@GouveaHeitor

APLICATIVOS VULNERAVEIS

  1. OWASP GoatDroid

  2. Damn InsEcure and Vulnerable Application

  3. Insecure Bank

  4. Hacme Bank

hi@heitorgouvea.me

@GouveaHeitor

INSTALANDO O GOATDROID

$~ cd /usr/bin/share/android-sdk/platform-tools

$~ mv /root/Desktop/GoatDroid.apk .

$~ ./ADB INSTALL GOATDROID.APK

 

hi@heitorgouvea.me

@GouveaHeitor

INSTALANDO O GOATDROID

hi@heitorgouvea.me

@GouveaHeitor

EXECUTANDO O PEnTEST

* Análise estática no iPhone

hi@heitorgouvea.me

@GouveaHeitor

EXECUTANDO O PENTEST

* Análise estática no Android

hi@heitorgouvea.me

@GouveaHeitor

Descompactando o pacote

hi@heitorgouvea.me

@GouveaHeitor

iNTERPRETANDO O PACOTE

hi@heitorgouvea.me

@GouveaHeitor

EXECUTANDO O PENTEST

* Análise dinâmica

hi@heitorgouvea.me

@GouveaHeitor

Configurando um proxy

hi@heitorgouvea.me

@GouveaHeitor

Configurando um proxy

hi@heitorgouvea.me

@GouveaHeitor

proxy no emulador

hi@heitorgouvea.me

@GouveaHeitor

proxy no emulador

hi@heitorgouvea.me

@GouveaHeitor

em seu celular

hi@heitorgouvea.me

@GouveaHeitor

GOATDROID

hi@heitorgouvea.me

@GouveaHeitor

GOATDROID

hi@heitorgouvea.me

@GouveaHeitor

Insufficient Transport Layer Protection

hi@heitorgouvea.me

@GouveaHeitor

GOATDROID

hi@heitorgouvea.me

@GouveaHeitor

GOATDROID

hi@heitorgouvea.me

@GouveaHeitor

GOATDROID

hi@heitorgouvea.me

@GouveaHeitor

GOATDROID

hi@heitorgouvea.me

@GouveaHeitor

GOATDROID

hi@heitorgouvea.me

@GouveaHeitor

hi@heitorgouvea.me

CLIENT SIDE INJECTION

@GouveaHeitor

hi@heitorgouvea.me

no mundo real:

@GouveaHeitor

hi@heitorgouvea.me

no mundo real:

@GouveaHeitor

hi@heitorgouvea.me

no mundo real:

@GouveaHeitor

hi@heitorgouvea.me

no mundo real:

@GouveaHeitor

hi@heitorgouvea.me

no mundo real:

@GouveaHeitor

hi@heitorgouvea.me

no mundo real:

@GouveaHeitor

hi@heitorgouvea.me

no mundo real:

@GouveaHeitor

hi@heitorgouvea.me

no mundo real:

@GouveaHeitor

hi@heitorgouvea.me

no mundo real:

@GouveaHeitor

hi@heitorgouvea.me

no mundo real:

@GouveaHeitor

COnclusão

aplicações mobile, assim como quALQUER OUTRA APLICAÇÃO, POSSUEM VULNERABILIDADEs E DEVEM SER ANALISADAS/TESTADAS!!

 

hi@heitorgouvea.me

@GouveaHeitor

OBRIGADO!

hi@heitorgouvea.me

Pentest em aplicações mobile

By Heitor Gouvêa

Pentest em aplicações mobile

Nos últimos anos o desenvolvimento de aplicações mobile para as plataformas Android e iOS cresceram absurdamente e em paralelo a isto começou a surgir os incidentes de segurança envolvendo estas tecnologias. O objetivo desta palestra é mostrar como é realizado o pentest em aplicações desta categoria.

  • 101
Loading comments...

More from Heitor Gouvêa