pentest en android con drozer

Pentesting en Dispositivos Android con

Drozer

T e m a r i o

1. Seguridad en Android

2. ¿Qué es Drozer?

3. Obteniendo Credenciales

4. Live Demo

1. Seguridad en Android

• Aplicaciones• Framework de Aplicaciones• Librerias• Android Runtime• Librerias Core• DVM (Dalvik Virtual Machine)

• Capa Abstracta de Hardware• Kernel de Linux

¿Qué es ?

Framework para Auditar y Atacar Dispositivos Android

Validar el nivel de seguridad de las aplicaciones

Usar y publicar exploits públicos

Descubre vulnerabilidades en las aplicaciones

Ejecuta código dinámico Java

En dispositivos reales o emuladores

Automatizar mediante módulos

Prerequisitos

1. Una laptop

- JRE o JDK

- SDK de Android

2. Emulador con Android >2.1 o un dispositivo

3. Descargar el instalador de Drozer

4. Descargar la app Agent.apk

Instalación

1. El cliente Drozer a través del instalador en la computadora

2. La aplicación en la consola:

3. Conectar la consola Drozer con la aplicación agente

$ adb install agent.apk

$ adb forward tcp:31415 tcp:31415

$ drozer console connect

Demo 1

Usando Drozer

- El comando list mostrará los módulos preinstalados

El módulo app.package.manifest, obtiene el androidmanifest.xml

run app.package.manifest.com.miapp.vulnerable

Obteniendo Datos con Drozer

OWASP Top Ten Móviles

! Error de los desarrolladores !

MODE_WORLD_READABLE

MODE_WORLD_WRITABLE

$ /data/data/com.miapp.vulnerable/shared_prefs # cat

credentials.xml

Obteniendo Datos con Drozer

Obteniendo las credenciales

$ /data/data/com.miapp.vulnerable/shared_prefs # cat

credentials.xml

Demo 2

@cbreeto

/cbreeto

Carlos J. Brito Abundis

http://lnked.in/cbreeto

carlosbreeto@gmail.com