¿Para qué me pides permiso?

En artículos anteriores comentábamos la importancia que han cobrado los dispositivos móviles en nuestras vidas, hasta el punto de ser casi imprescindibles. Por aquel entonces, se habló de la importancia del desarrollo seguro y de posibles vulnerabilidades en las propias aplicaciones Android (APK).

En este artículo adoptaremos un enfoque algo distinto, en concreto, nos acercaremos al mundo del malware en dispositivos Android y el impacto que ciertas características de un APK tienen directamente sobre nuestra seguridad. Nos centraremos, en una primera aproximación, al estudio de los permisos de las App, declaradas (en el caso de Android, nuestro objeto de estudio), en el fichero AndroidManifest.xml. [Read more…]

Auditorías de seguridad para Apps (II)

En el artículo anterior, comentábamos la importancia de la seguridad en aplicaciones móviles, y presentábamos la herramienta Mobile Security Framework (MobSF), haciendo especial hincapié en la forma de utilizarla para realizar el análisis de código estático.

Continuando con el mismo ejemplo que utilizamos para el anterior artículo (APK de Android), mostraremos brevemente cómo funciona el análisis dinámico con MobSF y el potencial que tiene.

El entorno puede ser configurado de varias formas, pudiendo elegir la que más se adapte a las necesidades del técnico de seguridad o a la situación en la que nos encontremos. Podríamos utilizar la propia máquina virtual que el framework proporciona, importándola a VirtualBox, que es la que utilizaremos a continuación. También tenemos la capacidad de utilizar un dispositivo Android real o una máquina virtual diferente, por ejemplo, preparada por nosotros mismos. Por el momento, no podemos ejecutar análisis dinámicos con iOS. Esperamos que se añada dicha funcionalidad en un futuro, ya que el proyecto se encuentra en constante evolución.

[Read more…]

Auditorías de seguridad para Apps (I)

¿Quién no lleva su smartphone a mano en este mismo momento? A la vista de todos está que éstos dispositivos se han convertido en algo esencial pero, por este mismo motivo, se convierten en los más crítico en cuanto a seguridad se refiere. ¿Que ocurriría si perdieras tu móvil o si éste se ve afectado por un incidente de seguridad, por ejemplo, una intrusión? ¿Qué información podrían conseguir? ¿Qué acciones podría llevar a cabo un tercero malintencionado? Sólo de pensarlo asusta.

No sólo hay que tener en cuenta las vulnerabilidades del propio sistema operativo, sino también, y quizás más importante, las de las propias aplicaciones (App), las que pueden suponer un punto de entrada perfecto para un potencial atacante, ya sea mediante la explotación de vulnerabilidades en la propia aplicación o, como está de moda últimamente entre los ciberdelincuentes, mediante malware.

En esta serie de artículos se pretende realizar una breve aproximación a la herramienta Mobile Security Framework (MobSF), mostrando sus capacidades. Queda a cargo del lector la exploración práctica, profundizando en análisis más completos.

MobSF es una herramienta especialmente diseñada para el análisis de seguridad de aplicaciones móviles, tanto Android como iOS, con la capacidad de realizar análisis estáticos (de código) y dinámicos, bastante completos y con parte del proceso automatizado. Además, presenta la información de forma elegante e intuitiva mediante su interfaz, pudiendo también obtener el informe completo en formato PDF.

[Read more…]

Entre el navegador y yo. Extracción de credenciales en claro

Son muchas las aplicaciones web que, como es lógico, protegen sus comunicaciones cifrándolas, con HTTPS por ejemplo. De acuerdo, a priori los datos que intercambiemos con la aplicación viajarán cifrados, estando a salvo de escuchas indiscretas. Pero ¿qué ocurre con estos datos de camino al navegador web?, es decir, entre el usuario que introduce los datos y el cliente web que establecerá la conexión con la aplicación.... Leer Más