hacktricks/mobile-pentesting/android-app-pentesting
2023-10-09 20:00:45 +00:00
..
drozer-tutorial Translated ['mobile-pentesting/android-app-pentesting/drozer-tutorial/RE 2023-08-27 20:06:50 +00:00
frida-tutorial Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2023-10-09 20:00:45 +00:00
adb-commands.md f 2023-06-05 20:33:24 +02:00
android-applications-basics.md Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:16:15 +00:00
android-burp-suite-settings.md Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat 2023-09-28 19:22:43 +00:00
android-task-hijacking.md Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:16:15 +00:00
apk-decompilers.md Translated ['1911-pentesting-fox.md', 'README.md', 'ctf-write-ups/try-ha 2023-06-07 04:36:55 +00:00
avd-android-virtual-device.md Translated ['mobile-pentesting/android-app-pentesting/README.md', 'mobil 2023-10-05 10:13:39 +00:00
bypass-biometric-authentication-android.md f 2023-06-05 20:33:24 +02:00
content-protocol.md f 2023-06-05 20:33:24 +02:00
exploiting-a-debuggeable-applciation.md f 2023-06-05 20:33:24 +02:00
google-ctf-2018-shall-we-play-a-game.md f 2023-06-05 20:33:24 +02:00
inspeckage-tutorial.md f 2023-06-05 20:33:24 +02:00
install-burp-certificate.md Translated ['README.md', 'backdoors/salseo.md', 'forensics/basic-forensi 2023-10-05 15:45:25 +00:00
intent-injection.md f 2023-06-05 20:33:24 +02:00
make-apk-accept-ca-certificate.md Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:16:15 +00:00
manual-deobfuscation.md f 2023-06-05 20:33:24 +02:00
react-native-application.md f 2023-06-05 20:33:24 +02:00
README.md Translated ['mobile-pentesting/android-app-pentesting/README.md', 'mobil 2023-10-05 10:13:39 +00:00
reversing-native-libraries.md f 2023-06-05 20:33:24 +02:00
smali-changes.md f 2023-06-05 20:33:24 +02:00
spoofing-your-location-in-play-store.md f 2023-06-05 20:33:24 +02:00
tapjacking.md Translated ['mobile-pentesting/android-app-pentesting/README.md', 'mobil 2023-08-25 14:03:49 +00:00
webview-attacks.md f 2023-06-05 20:33:24 +02:00

Pentesting de Aplicaciones Android

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

HackenProof es el hogar de todas las recompensas por errores de criptografía.

Obtén recompensas sin demoras
Las recompensas de HackenProof se lanzan solo cuando sus clientes depositan el presupuesto de recompensa. Obtendrás la recompensa después de que se verifique el error.

Obtén experiencia en pentesting web3
¡Los protocolos de blockchain y los contratos inteligentes son el nuevo Internet! Domina la seguridad web3 en sus días de crecimiento.

Conviértete en la leyenda del hacker web3
Gana puntos de reputación con cada error verificado y conquista la cima de la clasificación semanal.

Regístrate en HackenProof y comienza a ganar con tus hacks!

{% embed url="https://hackenproof.com/register" %}

Conceptos básicos de las aplicaciones Android

Se recomienda encarecidamente comenzar a leer esta página para conocer las partes más importantes relacionadas con la seguridad de Android y los componentes más peligrosos en una aplicación Android:

{% content-ref url="android-applications-basics.md" %} android-applications-basics.md {% endcontent-ref %}

ADB (Android Debug Bridge)

Esta es la herramienta principal que necesitas para conectarte a un dispositivo Android (emulado o físico).
Te permite controlar tu dispositivo a través de USB o Red desde una computadora, copiar archivos de ida y vuelta, instalar y desinstalar aplicaciones, ejecutar comandos shell, realizar copias de seguridad, leer registros y más.

Echa un vistazo a la siguiente lista de Comandos de ADB para aprender cómo usar adb.

Smali

A veces es interesante modificar el código de la aplicación para acceder a información oculta (quizás contraseñas bien ofuscadas o banderas). Luego, podría ser interesante descompilar el apk, modificar el código y recompilarlo.
En este tutorial puedes aprender cómo descompilar un APK, modificar el código Smali y recompilar el APK con la nueva funcionalidad. Esto podría ser muy útil como una alternativa para varias pruebas durante el análisis dinámico que se presentarán. Entonces, siempre ten en cuenta esta posibilidad.

Otros trucos interesantes

adb shell pm list packages
com.android.insecurebankv2

adb shell pm path com.android.insecurebankv2
package:/data/app/com.android.insecurebankv2-Jnf8pNgwy3QA_U5f-n_4jQ==/base.apk

adb pull /data/app/com.android.insecurebankv2- Jnf8pNgwy3QA_U5f-n_4jQ==/base.apk

Análisis estático

En primer lugar, para analizar un APK, debes echar un vistazo al código Java utilizando un descompilador.
Por favor, lee aquí para encontrar información sobre los diferentes descompiladores disponibles.

Buscando información interesante

Simplemente echando un vistazo a las cadenas de texto del APK, puedes buscar contraseñas, URLs (https://github.com/ndelphit/apkurlgrep), claves de API, encriptación, UUIDs de Bluetooth, tokens y cualquier otra cosa interesante... incluso busca posibles puertas traseras de ejecución de código o puertas traseras de autenticación (credenciales de administrador codificadas en la aplicación).

Firebase

Presta especial atención a las URLs de Firebase y verifica si están mal configuradas. Más información sobre qué es Firebase y cómo explotarlo aquí.

Comprensión básica de la aplicación - Manifest.xml, strings.xml

Utilizando cualquiera de los descompiladores mencionados aquí, podrás leer el Manifest.xml. También puedes renombrar el archivo APK cambiando la extensión a .zip y descomprimirlo.
Al leer el manifiesto, puedes encontrar vulnerabilidades:

  • En primer lugar, verifica si la aplicación es depurable. Un APK de producción no debería serlo (o de lo contrario, otros podrán conectarse a él). Puedes verificar si una aplicación es depurable buscando en el manifiesto el atributo debuggable="true" dentro de la etiqueta <application Ejemplo: <application theme="@2131296387" debuggable="true"
  • Aprende aquí cómo encontrar aplicaciones depurables en un teléfono y explotarlas.
  • Copia de seguridad: El atributo android:allowBackup define si los datos de la aplicación pueden ser respaldados y restaurados por un usuario que haya habilitado la depuración USB. Si la bandera de copia de seguridad está configurada en true, permite a un atacante hacer una copia de seguridad de los datos de la aplicación a través de adb, incluso si el dispositivo no está rooteado. Por lo tanto, las aplicaciones que manejan y almacenan información sensible como detalles de tarjetas, contraseñas, etc. deben tener esta configuración explícitamente establecida en false, ya que de forma predeterminada está establecida en true para prevenir tales riesgos.
  • <application android:allowBackup="false"
  • NetworkSecurity: La seguridad de red de la aplicación puede sobrescribir los valores predeterminados con android:networkSecurityConfig="@xml/network_security_config". Se puede colocar un archivo con ese nombre en res/xml. Este archivo configurará ajustes de seguridad importantes como pines de certificado o si permite tráfico HTTP. Puedes leer aquí más información sobre todas las cosas que se pueden configurar, pero revisa este ejemplo sobre cómo configurar el tráfico HTTP para algunos dominios:
  • <domain-config cleartextTrafficPermitted="true"> <domain includeSubdomains="true">formation-software.co.uk </domain></domain-config>
  • Actividades exportadas: Verifica las actividades exportadas dentro del manifiesto, ya que esto podría ser peligroso. Más adelante, en el análisis dinámico, se explicará cómo puedes aprovechar este comportamiento.
  • Proveedores de contenido: Si se expone un proveedor exportado, podrías acceder/modificar información interesante. En el análisis dinámico aprenderás cómo aprovecharlos.
  • Verifica las configuraciones de FileProviders dentro del atributo android:name="android.support.FILE_PROVIDER_PATHS". Lee aquí para obtener más información sobre FileProviders.
  • Servicios expuestos: Dependiendo de lo que el servicio esté haciendo internamente, se podrían explotar vulnerabilidades. En el análisis dinámico aprenderás cómo aprovecharlos.
  • Receptores de difusión: Aprenderás cómo posiblemente explotarlos durante el análisis dinámico.
  • Esquema de URL: Lee el código de la actividad que gestiona el esquema y busca vulnerabilidades en la gestión de la entrada del usuario. Más información sobre qué es un esquema de URL aquí.
  • minSdkVersion, targetSDKVersion, maxSdkVersion: Indican las versiones de Android en las que se ejecutará la aplicación. Es importante tenerlos en cuenta porque desde una perspectiva de seguridad, admitir versiones antiguas permitirá que se ejecuten versiones vulnerables conocidas de Android.

Al leer resources.arsc/strings.xml, puedes encontrar información interesante:

  • Claves de API
  • Esquemas personalizados
  • Otra información interesante que los desarrolladores guardan en este archivo

Tapjacking

Tapjacking es un ataque en el que se lanza una aplicación maliciosa y se posiciona encima de una aplicación víctima. Una vez que oculta visiblemente la aplicación víctima, su interfaz de usuario está diseñada de tal manera que engaña al usuario para que interactúe con ella, mientras pasa la interacción a la aplicación víctima.
En efecto, engaña al usuario para que no sepa que en realidad está realizando acciones en la aplicación víctima.

Encuentra más información en:

{% content-ref url="tapjacking.md" %} tapjacking.md {% endcontent-ref %}

Secuestro de tareas

Una actividad con el launchMode establecido en singleTask sin ninguna taskAffinity definida es vulnerable al secuestro de tareas. Esto significa que una aplicación puede ser instalada y, si se inicia antes de la aplicación real, podría secuestrar la tarea de la aplicación real (por lo que el usuario estará interactuando con la aplicación maliciosa pensando que está usando la real).

Más información en:

{% content-ref url="android-task-hijacking.md" %} android-task-hijacking.md {% endcontent-ref %}

Almacenamiento inseguro de datos

Almacenamiento interno

Los archivos creados en el almacenamiento interno solo son accesibles por la aplicación. Esta protección está implementada por Android y es suficiente para la mayoría de las aplicaciones. Sin embargo, los desarrolladores a menudo utilizan MODE_WORLD_READBALE y MODE_WORLD_WRITABLE para dar acceso a esos archivos a otra aplicación, pero esto no limita a otras aplicaciones (maliciosas) para acceder a ellos.
Durante el análisis estático, verifica el uso de esos modos, durante el análisis dinámico, verifica los permisos de los archivos creados (tal vez algunos de ellos sean legibles/escribibles para todo el mundo).
Más información sobre esta vulnerabilidad y cómo solucionarla aquí.

Almacenamiento externo

Los archivos creados en el almacenamiento externo, como las tarjetas SD, son legibles y escribibles globalmente. Debido a que el almacenamiento externo puede ser eliminado por el usuario y también modificado por cualquier aplicación, no debes almacenar información sensible utilizando el almacenamiento externo.
Al igual que con los datos de cualquier fuente no confiable, debes realizar validación de entrada al manejar datos del almacenamiento externo. Recomendamos encarecidamente que no almacenes archivos ejecutables o archivos de clase en el almacenamiento externo antes de la carga dinámica. Si tu aplicación recupera archivos ejecutables desde el almacenamiento externo, los archivos deben estar firmados y verificados criptográficamente antes de la carga dinámica.
Información tomada de aquí.

El almacenamiento externo se puede acceder en /storage/emulated/0, /sdcard, /mnt/sdcard

{% hint style="info" %} A partir de Android 4.4 (API 17), la tarjeta SD tiene una estructura de directorios que limita el acceso de una aplicación al directorio específico para esa aplicación. Esto evita que una aplicación maliciosa obtenga acceso de lectura o escritura a los archivos de otra aplicación. {% endhint %}

Datos sensibles almacenados en texto plano

  • Preferencias compartidas: Android permite que cada aplicación guarde fácilmente archivos XML en la ruta /data/data/<nombrepaquete>/shared_prefs/ y a veces es posible encontrar información sensible en texto plano en esa carpeta.
  • Bases de datos: Android permite que cada aplicación guarde bases de datos SQLite fácilmente en la ruta /data/data/<nombrepaquete>/databases/ y a veces es posible encontrar información sensible en texto plano en esa carpeta.

TLS Roto

Aceptar todos los certificados

Por alguna razón, a veces los desarrolladores aceptan todos los certificados, incluso si, por ejemplo, el nombre de host no coincide con las líneas de código como la siguiente:

SSLSocketFactory sf = new cc(trustStore);
sf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

Una buena manera de probar esto es intentar capturar el tráfico utilizando un proxy como Burp sin autorizar el CA de Burp dentro del dispositivo. Además, puedes generar con Burp un certificado para un nombre de host diferente y usarlo.

Criptografía rota

Procesos de gestión de claves deficientes

Algunos desarrolladores guardan datos sensibles en el almacenamiento local y los cifran con una clave codificada/predecible en el código. Esto no debería hacerse, ya que algunos procesos de reversión podrían permitir a los atacantes extraer la información confidencial.

Uso de algoritmos inseguros y/o obsoletos

Los desarrolladores no deben utilizar algoritmos obsoletos para realizar comprobaciones de autorización, almacenar o enviar datos. Algunos de estos algoritmos son: RC4, MD4, MD5, SHA1... Si se utilizan hashes para almacenar contraseñas, por ejemplo, se deben utilizar hashes resistentes a ataques de fuerza bruta con sal.

Otras comprobaciones

  • Se recomienda ofuscar el APK para dificultar el trabajo de ingeniería inversa a los atacantes.
  • Si la aplicación es sensible (como las aplicaciones bancarias), debería realizar sus propias comprobaciones para ver si el dispositivo móvil está rooteado y actuar en consecuencia.
  • Si la aplicación es sensible (como las aplicaciones bancarias), debería comprobar si se está utilizando un emulador.
  • Si la aplicación es sensible (como las aplicaciones bancarias), debería comprobar su propia integridad antes de ejecutarse para verificar si ha sido modificada.
  • Utiliza APKiD para comprobar qué compilador/packer/ofuscador se utilizó para construir el APK.

Aplicación React Native

Lee la siguiente página para aprender cómo acceder fácilmente al código JavaScript de las aplicaciones React:

{% content-ref url="react-native-application.md" %} react-native-application.md {% endcontent-ref %}

Aplicaciones Xamarin

Lee la siguiente página para aprender cómo acceder fácilmente al código C# de las aplicaciones Xamarin:

{% content-ref url="../xamarin-apps.md" %} xamarin-apps.md {% endcontent-ref %}

Aplicaciones Superpacked

Según esta publicación de blog, Superpacked es un metaalgoritmo que comprime el contenido de una aplicación en un solo archivo. El blog habla sobre la posibilidad de crear una aplicación que descomprima este tipo de aplicaciones... y una forma más rápida que implica ejecutar la aplicación y recopilar los archivos descomprimidos del sistema de archivos.

Análisis estático automatizado de código

La herramienta mariana-trench es capaz de encontrar vulnerabilidades escaneando el código de la aplicación. Esta herramienta contiene una serie de fuentes conocidas (que indican a la herramienta los lugares donde la entrada está controlada por el usuario), sumideros (que indican a la herramienta lugares peligrosos donde la entrada maliciosa del usuario podría causar daños) y reglas. Estas reglas indican la combinación de fuentes-sumideros que indica una vulnerabilidad.

Con este conocimiento, mariana-trench revisará el código y encontrará posibles vulnerabilidades en él.

Fugas de secretos

Una aplicación puede contener secretos (claves de API, contraseñas, URL ocultas, subdominios...) en su interior que podrías descubrir. Puedes utilizar una herramienta como https://github.com/dwisiswant0/apkleaks

Saltar la autenticación biométrica

{% content-ref url="bypass-biometric-authentication-android.md" %} bypass-biometric-authentication-android.md {% endcontent-ref %}

Otras funciones interesantes

  • Ejecución de código: Runtime.exec(), ProcessBuilder(), código nativo: system()
  • Enviar SMS: sendTextMessage, sendMultipartTestMessage
  • Funciones nativas declaradas como native: public native, System.loadLibrary, System.load
  • Lee esto para aprender cómo revertir funciones nativas

Otros trucos

{% content-ref url="content-protocol.md" %} content-protocol.md {% endcontent-ref %}


HackenProof es el hogar de todas las recompensas por errores de criptografía.

Obtén recompensas sin demoras
Las recompensas de HackenProof se lanzan solo cuando sus clientes depositan el presupuesto de recompensa. Recibirás la recompensa después de que se verifique el error.

Obtén experiencia en pentesting web3
¡Los protocolos blockchain y los contratos inteligentes son el nuevo Internet! Domina la seguridad web3 en sus días de crecimiento.

Conviértete en la leyenda del hacker web3
Gana puntos de reputación con cada error verificado y conquista la cima de la clasificación semanal.

Regístrate en HackenProof ¡comienza a ganar con tus hacks!

{% embed url="https://hackenproof.com/register" %}


Análisis dinámico

En primer lugar, necesitas un entorno donde puedas instalar la aplicación y todo el entorno (certificado de CA de Burp, Drozer y Frida principalmente). Por lo tanto, se recomienda encarecidamente un dispositivo rooteado (emulado o no).

Análisis dinámico en línea

Puedes crear una cuenta gratuita en: https://appetize.io/. Esta plataforma te permite subir y ejecutar APKs, por lo que es útil para ver cómo se comporta una apk.

Incluso puedes ver los registros de tu aplicación en la web y conectarte a través de adb.

Gracias a la conexión ADB, puedes utilizar Drozer y Frida dentro de los emuladores.

Análisis dinámico local

Utilizando un emulador

  • Android Studio (Puedes crear dispositivos x86 y arm, y según esto las últimas versiones x86 admiten bibliotecas ARM sin necesidad de un emulador ARM lento).
  • Aprende a configurarlo en esta página:

{% content-ref url="avd-android-virtual-device.md" %} avd-android-virtual-device.md {% endcontent-ref %}

  • Genymotion (Versión gratuita: Personal Edition, necesitas crear una cuenta. Se recomienda descargar la versión CON VirtualBox para evitar posibles errores.)
  • Nox (Gratis, pero no es compatible con Frida o Drozer).

{% hint style="info" %} Cuando crees un nuevo emulador en cualquier plataforma, recuerda que cuanto más grande sea la pantalla, más lento funcionará el emulador. Así que selecciona pantallas pequeñas si es posible. {% endhint %}

Para instalar los servicios de Google (como AppStore) en Genymotion, debes hacer clic en el botón marcado en rojo de la siguiente imagen:

Además, ten en cuenta que en la configuración de la máquina virtual de Android en Genymotion puedes seleccionar el modo de red de puente (esto será útil si te conectarás a la máquina virtual de Android desde una VM diferente con las herramientas).

Utilizar un dispositivo físico

Necesitas activar las opciones de depuración y sería genial si puedes rootearlo:

  1. Configuración.
  2. (A partir de Android 8.0) Selecciona Sistema.
  3. Selecciona Acerca del teléfono.
  4. Presiona Número de compilación 7 veces.
  5. Regresa y encontrarás las Opciones de desarrollador.

Una vez que hayas instalado la aplicación, lo primero que debes hacer es probarla e investigar qué hace, cómo funciona y familiarizarte con ella.
Sugiero realizar este análisis dinámico inicial utilizando el análisis dinámico de MobSF + pidcat, así podrás aprender cómo funciona la aplicación mientras MobSF captura una gran cantidad de datos interesantes que puedes revisar más tarde.

Fugas de datos no intencionales

Registro

A menudo, los desarrolladores dejan información de depuración de forma pública. Por lo tanto, cualquier aplicación con permiso READ_LOGS puede acceder a esos registros y obtener información sensible a través de ellos.
Mientras navegas por la aplicación, utiliza pidcat(Recomendado, es más fácil de usar y leer) o adb logcat para leer los registros creados y buscar información sensible.

{% hint style="warning" %} Ten en cuenta que a partir de versiones posteriores a Android 4.0, las aplicaciones solo pueden acceder a sus propios registros. Por lo tanto, las aplicaciones no pueden acceder a los registros de otras aplicaciones.
De todos modos, se recomienda no registrar información sensible. {% endhint %}

Caché del portapapeles

Android proporciona un marco basado en el portapapeles para proporcionar la función de copiar y pegar en las aplicaciones de Android. Pero esto crea un problema grave cuando alguna otra aplicación puede acceder al portapapeles que contiene datos sensibles. La función de copiar y pegar debe estar deshabilitada para las partes sensibles de la aplicación. Por ejemplo, deshabilita la copia de detalles de tarjetas de crédito.

Registros de fallos

Si una aplicación falla durante la ejecución y guarda registros en algún lugar, esos registros pueden ser útiles para un atacante, especialmente en casos en los que no se puede realizar ingeniería inversa de la aplicación de Android. Por lo tanto, evita crear registros cuando la aplicación falla y, si los registros se envían a través de la red, asegúrate de que se envíen a través de un canal SSL.
Como pentester, intenta echar un vistazo a estos registros.

Datos de análisis enviados a terceros

La mayoría de las aplicaciones utilizan otros servicios en su aplicación, como Google Adsense, pero a veces filtran datos sensibles o datos que no es necesario enviar a ese servicio. Esto puede suceder porque el desarrollador no implementó correctamente la función. Puedes verificar interceptando el tráfico de la aplicación y ver si se envían datos sensibles a terceros o no.

Bases de datos SQLite

La mayoría de las aplicaciones utilizarán bases de datos SQLite internas para guardar información. Durante la prueba de penetración, observa las bases de datos creadas, los nombres de las tablas y las columnas y todos los datos guardados, ya que podrías encontrar información sensible (lo cual sería una vulnerabilidad).
Las bases de datos deben estar ubicadas en /data/data/el.nombre.del.paquete/databases como /data/data/com.mwr.example.sieve/databases

Si la base de datos guarda información confidencial y está encriptada, pero puedes encontrar la contraseña dentro de la aplicación, sigue siendo una vulnerabilidad.

Enumera las tablas usando .tables y enumera las columnas de las tablas con .schema <nombre_de_la_tabla>

Drozer (Explotar actividades, proveedores de contenido y servicios exportados)

Drozer te permite asumir el rol de una aplicación de Android e interactuar con otras aplicaciones. Puede hacer todo lo que una aplicación instalada puede hacer, como utilizar el mecanismo de Comunicación entre Procesos (IPC) de Android e interactuar con el sistema operativo subyacente. Extraído de Guía de Drozer.
Drozer es una herramienta útil para explotar actividades exportadas, servicios exportados y proveedores de contenido, como aprenderás en las siguientes secciones.

Explotando actividades exportadas

Lee esto si quieres recordar qué es una Actividad de Android.
También recuerda que el código de una actividad comienza con el método onCreate.

Bypass de autorización

Cuando una actividad está exportada, puedes invocar su pantalla desde una aplicación externa. Por lo tanto, si una actividad con información sensible está exportada, podrías burlar los mecanismos de autenticación para acceder a ella.
Aprende cómo explotar actividades exportadas con Drozer.

También puedes iniciar una actividad exportada desde adb:

  • El nombre del paquete es com.example.demo
  • El nombre de la actividad exportada es com.example.test.MainActivity
adb shell am start -n com.example.demo/com.example.test.MainActivity

NOTA: MobSF detectará como malicioso el uso de singleTask/singleInstance como android:launchMode en una actividad, pero debido a esto, aparentemente esto solo es peligroso en versiones antiguas (versiones de API < 21).

{% hint style="info" %} Ten en cuenta que eludir una autorización no siempre es una vulnerabilidad, dependerá de cómo funcione eludir y qué información se exponga. {% endhint %}

Fuga de información sensible

Las actividades también pueden devolver resultados. Si logras encontrar una actividad exportada y desprotegida que llame al método setResult y devuelva información sensible, entonces hay una fuga de información sensible.

Tapjacking

Si no se previene el tapjacking, podrías abusar de la actividad exportada para hacer que el usuario realice acciones inesperadas. Para obtener más información sobre qué es el Tapjacking, sigue el enlace.

Explotando Proveedores de Contenido - Accediendo y manipulando información sensible

Lee esto si quieres recordar qué es un Proveedor de Contenido.
Los proveedores de contenido se utilizan básicamente para compartir datos. Si una aplicación tiene proveedores de contenido disponibles, es posible que puedas extraer datos sensibles de ellos. También es interesante probar posibles inyecciones SQL y travesías de ruta ya que podrían ser vulnerables.
Aprende cómo explotar Proveedores de Contenido con Drozer.

Explotando Servicios

Lee esto si quieres recordar qué es un Servicio.
Recuerda que las acciones de un Servicio comienzan en el método onStartCommand.

Un servicio es básicamente algo que puede recibir datos, procesarlos y devolver (o no) una respuesta. Entonces, si una aplicación está exportando algunos servicios, debes verificar el código para entender qué está haciendo y probarlo dinámicamente para extraer información confidencial, eludir medidas de autenticación...
Aprende cómo explotar Servicios con Drozer.

Explotando Receptores de Difusión

Lee esto si quieres recordar qué es un Receptor de Difusión.
Recuerda que las acciones de un Receptor de Difusión comienzan en el método onReceive.

Un receptor de difusión estará esperando un tipo de mensaje. Dependiendo de cómo maneje el receptor el mensaje, podría ser vulnerable.
Aprende cómo explotar Receptores de Difusión con Drozer.

Explotando Esquemas / Enlaces profundos

Puedes buscar enlaces profundos manualmente, utilizando herramientas como MobSF o scripts como este.
Puedes abrir un esquema declarado utilizando adb o un navegador:

{% code overflow="wrap" %}

adb shell am start -a android.intent.action.VIEW -d "scheme://hostname/path?param=value" [your.package.name]

{% endcode %}

Ten en cuenta que puedes omitir el nombre del paquete y el móvil llamará automáticamente a la aplicación que debería abrir ese enlace.

{% code overflow="wrap" %}

<!-- Browser regular link -->
<a href="scheme://hostname/path?param=value">Click me</a>
<!-- fallback in your url you could try the intent url -->
<a href="intent://hostname#Intent;scheme=scheme;package=your.package.name;S.browser_fallback_url=http%3A%2F%2Fwww.example.com;end">with alternative</a>

{% endcode %}

Código ejecutado

Para encontrar el código que se ejecutará en la aplicación, ve a la actividad llamada por el enlace profundo y busca la función onNewIntent.

Información sensible

Cada vez que encuentres un enlace profundo, verifica que no esté recibiendo datos sensibles (como contraseñas) a través de parámetros de URL, porque cualquier otra aplicación podría suplantar el enlace profundo y robar esos datos.

Parámetros en la ruta

También debes verificar si algún enlace profundo está utilizando un parámetro dentro de la ruta de la URL, como: https://api.example.com/v1/users/{username}, en ese caso puedes forzar una traversión de ruta accediendo a algo como: example://app/users?username=../../unwanted-endpoint%3fparam=value.
Ten en cuenta que si encuentras los endpoints correctos dentro de la aplicación, es posible que puedas causar una Redirección Abierta (si parte de la ruta se utiliza como nombre de dominio), toma de control de cuenta (si puedes modificar los detalles de los usuarios sin un token CSRF y el endpoint vulnerable utiliza el método correcto) y cualquier otra vulnerabilidad. Más información sobre esto aquí.

Más ejemplos

Un informe interesante de recompensa por errores sobre enlaces (/.well-known/assetlinks.json).

Protección insuficiente de la capa de transporte

  • Falta de inspección de certificados: la aplicación de Android no verifica la identidad del certificado presentado. La mayoría de las aplicaciones ignoran las advertencias y aceptan cualquier certificado autofirmado presentado. Algunas aplicaciones, en cambio, pasan el tráfico a través de una conexión HTTP.
  • Negociación de handshake débil: la aplicación y el servidor realizan un handshake SSL/TLS pero utilizan un conjunto de cifrado inseguro que es vulnerable a ataques MITM. Por lo tanto, cualquier atacante puede descifrar fácilmente esa conexión.
  • Fuga de información de privacidad: muchas veces sucede que las aplicaciones autentican a través de un canal seguro pero el resto de las conexiones se realizan a través de un canal no seguro. Esto no agrega seguridad a la aplicación porque los datos sensibles restantes, como las cookies de sesión o los datos de usuario, pueden ser interceptados por un usuario malintencionado.

De los 3 escenarios presentados, vamos a discutir cómo verificar la identidad del certificado. Los otros 2 escenarios dependen de la configuración de TLS del servidor y si la aplicación envía datos sin cifrar. El pentester debe verificar por sí mismo la configuración de TLS del servidor (aquí) y detectar si se envía alguna información confidencial a través de un canal no cifrado/vulnerable.
Más información sobre cómo descubrir y solucionar este tipo de vulnerabilidades aquí.

SSL Pinning

Por defecto, al realizar una conexión SSL, el cliente (aplicación de Android) verifica que el certificado del servidor tenga una cadena de confianza verificable hasta un certificado de confianza (raíz) y coincida con el nombre de host solicitado. Esto lleva al problema de los ataques de Man in the Middle (MITM).
En el Pinning de certificados, una aplicación de Android contiene el certificado del servidor y solo transmite datos si se presenta el mismo certificado.
Se recomienda aplicar SSL Pinning para los sitios donde se enviará información sensible.

Inspeccionar el tráfico HTTP

En primer lugar, debes (debes) instalar el certificado de la herramienta de proxy que vas a utilizar, probablemente Burp. Si no instalas el certificado CA de la herramienta de proxy, es probable que no veas el tráfico cifrado en el proxy.
Por favor, lee esta guía para aprender cómo instalar un certificado CA personalizado.

Para las aplicaciones dirigidas a API Level 24+ no es suficiente instalar el certificado CA de Burp en el dispositivo. Para evitar esta nueva protección, debes modificar el archivo de configuración de seguridad de red. Por lo tanto, puedes modificar este archivo para autorizar tu certificado CA o puedes leer esta página para obtener un tutorial sobre cómo hacer que la aplicación vuelva a aceptar todos los certificados instalados en el dispositivo.

SSL Pinning

Ya hemos discutido qué es el SSL Pinning solo 2 párrafos antes. Cuando se implementa en una aplicación, deberás evitarlo para inspeccionar el tráfico HTTPS o no lo verás.
Aquí voy a presentar algunas opciones que he utilizado para evitar esta protección:

  • Modificar automáticamente el apk para evitar el SSL Pinning con apk-mitm. La mejor ventaja de esta opción es que no necesitarás acceso root para evitar el SSL Pinning, pero deberás eliminar la aplicación y reinstalar la nueva, y esto no siempre funcionará.
  • Puedes usar Frida (discutido a continuación) para evitar esta protección. Aquí tienes una guía para usar Burp+Frida+Genymotion: https://spenkk.github.io/bugbounty/Configuring-Frida-with-Burp-and-GenyMotion-to-bypass-SSL-Pinning/
  • También puedes intentar evitar automáticamente el SSL Pinning utilizando objection: objection --gadget com.package.app explore --startup-command "android sslpinning disable"
  • También puedes intentar evitar automáticamente el SSL Pinning utilizando el análisis dinámico de MobSF (explicado a continuación)
  • Si aún crees que hay algún tráfico que no estás capturando, puedes intentar redirigir el tráfico a burp utilizando iptables. Lee este blog: https://infosecwriteups.com/bypass-ssl-pinning-with-ip-forwarding-iptables-568171b52b62

Vulnerabilidades web comunes

Ten en cuenta que en este paso debes buscar vulnerabilidades web comunes. Hay mucha información sobre vulnerabilidades web en este libro, por lo que no las mencionaré aquí.

Frida

Herramienta de instrumentación dinámica para desarrolladores, ingenieros inversos e investigadores de seguridad. Obtén más información en www.frida.re.
Es increíble, puedes acceder a la aplicación en ejecución y enganchar métodos en tiempo de ejecución para cambiar el comportamiento, cambiar valores, extraer valores, ejecutar código diferente...
Si quieres hacer pentesting de aplicaciones de Android, debes saber cómo usar Frida.

Aprende cómo usar Frida: Tutorial de Frida
Algunas "GUI" para acciones con Frida: https://github.com/m0bilesecurity/RMS-Runtime-Mobile-Security
Algunas otras abstracciones basadas en Frida: https://github.com/sensepost/objection , https://github.com/dpnishant/appmon
Puedes encontrar algunos scripts increíbles de Frida aquí: https://codeshare.frida.re/

Volcar Memoria - Fridump

Verifique si la aplicación está almacenando información sensible en la memoria que no debería almacenar, como contraseñas o mnemónicos.

Usando Fridump3, puedes volcar la memoria de la aplicación con:

# With PID
python3 fridump3.py -u <PID>

# With name
frida-ps -Uai
python3 fridump3.py -u "<Name>"

Esto volcará la memoria en la carpeta ./dump, y allí podrías buscar con algo como:

{% code overflow="wrap" %}

strings * | grep -E "^[a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+$"

{% endcode %}

Datos sensibles en el Keystore

En Android, el Keystore es el mejor lugar para almacenar datos sensibles, sin embargo, con suficientes privilegios aún es posible acceder a él. Como las aplicaciones tienden a almacenar aquí datos sensibles en texto claro, las pruebas de penetración deben verificarlo, ya que un usuario root o alguien con acceso físico al dispositivo podría robar estos datos.

Incluso si una aplicación almacena datos en el keystore, los datos deben estar encriptados.

Para acceder a los datos dentro del keystore, puedes utilizar este script de Frida: https://github.com/WithSecureLabs/android-keystore-audit/blob/master/frida-scripts/tracer-cipher.js

frida -U -f com.example.app -l frida-scripts/tracer-cipher.js

Bypass de huella dactilar/biometría

Utilizando el siguiente script de Frida, podría ser posible bypassar la autenticación de huella dactilar que las aplicaciones de Android podrían estar realizando para proteger ciertas áreas sensibles:

{% code overflow="wrap" %}

frida --codeshare krapgras/android-biometric-bypass-update-android-11 -U -f <app.package>

{% endcode %}

Imágenes de fondo

Cuando pones una aplicación en segundo plano, Android guarda una captura de pantalla de la aplicación para que cuando se recupere al primer plano, comience a cargar la imagen antes que la aplicación para que parezca que la aplicación se cargó más rápido.

Sin embargo, si esta captura de pantalla contiene información sensible, alguien con acceso a la captura de pantalla podría robar esa información (ten en cuenta que necesitas acceso de root para acceder a ella).

Las capturas de pantalla generalmente se almacenan en: /data/system_ce/0/snapshots

Android proporciona una forma de prevenir la captura de pantalla configurando el parámetro de diseño FLAG_SECURE. Al usar esta bandera, el contenido de la ventana se trata como seguro, evitando que aparezca en capturas de pantalla o que se vea en pantallas no seguras.

getWindow().setFlags(LayoutParams.FLAG_SECURE, LayoutParams.FLAG_SECURE);

Analizador de Aplicaciones Android

Esta herramienta puede ayudarte a gestionar diferentes herramientas durante el análisis dinámico: https://github.com/NotSoSecure/android_application_analyzer

Inyección de Intenciones

Esta vulnerabilidad se asemeja a la Redirección Abierta en seguridad web. Dado que la clase Intent es Parcelable, los objetos pertenecientes a esta clase pueden ser pasados como datos extra en otro objeto Intent.
Muchos desarrolladores hacen uso de esta característica y crean componentes proxy (actividades, receptores de difusión y servicios) que toman una Intención incrustada y la pasan a métodos peligrosos como startActivity(...), sendBroadcast(...), etc.
Esto es peligroso porque un atacante puede forzar a la aplicación a lanzar un componente no exportado que no puede ser lanzado directamente desde otra aplicación, o conceder al atacante acceso a sus proveedores de contenido. WebView a veces también cambia una URL de una cadena a un objeto Intent, utilizando el método Intent.parseUri(...), y lo pasa a startActivity(...).

Inyecciones en el Lado del Cliente de Android y otros

Probablemente ya conozcas este tipo de vulnerabilidades en la Web. Debes tener especial cuidado con estas vulnerabilidades en una aplicación Android:

  • Inyección SQL: Al tratar con consultas dinámicas o Proveedores de Contenido, asegúrate de utilizar consultas parametrizadas.
  • Inyección de JavaScript (XSS): Verifica que JavaScript y el soporte de complementos estén deshabilitados para cualquier WebView (deshabilitado de forma predeterminada). Más información aquí.
  • Inclusión de Archivos Locales: Verifica que el acceso al sistema de archivos esté deshabilitado para cualquier WebView (habilitado de forma predeterminada) (webview.getSettings().setAllowFileAccess(false);). Más información aquí.
  • Cookies Eternas: En varios casos, cuando la aplicación Android finaliza la sesión, la cookie no se revoca o incluso puede guardarse en el disco.
  • Bandera de Seguridad en las cookies

HackenProof es el hogar de todas las recompensas por errores de criptografía.

Obtén recompensas sin demoras
Las recompensas de HackenProof se lanzan solo cuando sus clientes depositan el presupuesto de recompensa. Obtendrás la recompensa después de que se verifique el error.

Obtén experiencia en pentesting web3
¡Los protocolos de blockchain y los contratos inteligentes son el nuevo Internet! Domina la seguridad web3 en sus días de crecimiento.

Conviértete en la leyenda del hacker web3
Gana puntos de reputación con cada error verificado y conquista la cima de la clasificación semanal.

Regístrate en HackenProof ¡comienza a ganar con tus hacks!

{% embed url="https://hackenproof.com/register" %}

Análisis Automático

MobSF

Análisis estático

Evaluación de vulnerabilidades de la aplicación utilizando una interfaz web agradable. También puedes realizar análisis dinámico (pero necesitas preparar el entorno).

docker pull opensecurity/mobile-security-framework-mobsf
docker run -it -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest

Ten en cuenta que MobSF puede analizar aplicaciones de Android (apk), IOS (ipa) y Windows (apx) (las aplicaciones de Windows deben analizarse desde un MobSF instalado en un host de Windows).
Además, si creas un archivo ZIP con el código fuente de una aplicación de Android o IOS (ve a la carpeta raíz de la aplicación, selecciona todo y crea un archivo ZIP), también podrás analizarlo.

MobSF también te permite realizar análisis de diferencias/comparaciones e integrar VirusTotal (necesitarás configurar tu clave de API en MobSF/settings.py y habilitarlo: VT_ENABLED = TRUE VT_API_KEY = <Tu clave de API> VT_UPLOAD = TRUE). También puedes establecer VT_UPLOAD en False, en ese caso se subirá el hash en lugar del archivo.

Análisis dinámico asistido con MobSF

MobSF también puede ser muy útil para el análisis dinámico en Android, pero en ese caso necesitarás instalar MobSF y genymotion en tu host (una máquina virtual o Docker no funcionarán). Nota: Debes iniciar primero una VM en genymotion y luego MobSF.
El analizador dinámico de MobSF puede:

  • Extraer datos de la aplicación (URLs, registros, portapapeles, capturas de pantalla realizadas por ti, capturas de pantalla realizadas por "Exported Activity Tester", correos electrónicos, bases de datos SQLite, archivos XML y otros archivos creados). Todo esto se hace automáticamente, excepto las capturas de pantalla, debes presionar cuando desees una captura de pantalla o debes presionar "Exported Activity Tester" para obtener capturas de pantalla de todas las actividades exportadas.
  • Capturar tráfico HTTPS
  • Usar Frida para obtener información en tiempo de ejecución

A partir de las versiones de Android > 5, MobSF iniciará automáticamente Frida y establecerá la configuración global del proxy para capturar el tráfico. Solo capturará el tráfico de la aplicación probada.

Frida

Por defecto, también utilizará algunos scripts de Frida para evitar el pinning SSL, detección de root y detección de depurador, y para monitorizar APIs interesantes.
MobSF también puede invocar actividades exportadas, capturar capturas de pantalla de ellas y guardarlas para el informe.

Para iniciar las pruebas dinámicas, presiona el botón verde "Start Instrumentation". Presiona "Frida Live Logs" para ver los registros generados por los scripts de Frida y "Live API Monitor" para ver todas las invocaciones a los métodos enganchados, los argumentos pasados y los valores devueltos (esto aparecerá después de presionar "Start Instrumentation").
MobSF también te permite cargar tus propios scripts de Frida (para enviar los resultados de tus scripts de Frida a MobSF, utiliza la función send()). También tiene varios scripts preescritos que puedes cargar (puedes agregar más en MobSF/DynamicAnalyzer/tools/frida_scripts/others/), solo selecciona el que desees, presiona "Load" y presiona "Start Instrumentation" (podrás ver los registros de esos scripts dentro de "Frida Live Logs").

Además, tienes algunas funcionalidades auxiliares de Frida:

  • Enumerate Loaded Classes: Imprimirá todas las clases cargadas.
  • Capture Strings: Imprimirá todas las cadenas capturadas mientras se utiliza la aplicación (muy ruidoso).
  • Capture String Comparisons: Puede ser muy útil. Mostrará las 2 cadenas que se están comparando y si el resultado fue verdadero o falso.
  • Enumerate Class Methods: Ingresa el nombre de la clase (como "java.io.File") y se imprimirán todos los métodos de la clase.
  • Search Class Pattern: Buscar clases por patrón.
  • Trace Class Methods: Rastrear una clase completa (ver entradas y salidas de todos los métodos de la clase). Recuerda que por defecto MobSF rastrea varios métodos interesantes de la API de Android.

Una vez que hayas seleccionado el módulo auxiliar que deseas utilizar, debes presionar "Start Intrumentation" y verás todas las salidas en "Frida Live Logs".

Shell

Mobsf también te ofrece una shell con algunos comandos adb, comandos de MobSF y comandos de shell comunes en la parte inferior de la página de análisis dinámico. Algunos comandos interesantes:

help
shell ls
activities
exported_activities
services
receivers

Herramientas HTTP

Cuando se captura el tráfico HTTP, puedes ver una vista poco atractiva del tráfico capturado en la sección "HTTP(S) Traffic" o una vista más agradable en el botón verde "Start HTTPTools". Desde la segunda opción, puedes enviar las solicitudes capturadas a proxies como Burp o Owasp ZAP.
Para hacerlo, enciende Burp --> desactiva Intercept --> en MobSB HTTPTools selecciona la solicitud --> presiona "Send to Fuzzer" --> selecciona la dirección del proxy (http://127.0.0.1:8080\).

Una vez que hayas terminado el análisis dinámico con MobSF, puedes presionar "Start Web API Fuzzer" para fuzzear las solicitudes HTTP y buscar vulnerabilidades.

{% hint style="info" %} Después de realizar un análisis dinámico con MobSF, es posible que la configuración del proxy esté mal configurada y no puedas solucionarlo desde la interfaz gráfica. Puedes solucionar la configuración del proxy haciendo:

adb shell settings put global http_proxy :0

{% endhint %}

Análisis dinámico asistido con Inspeckage

Puedes obtener la herramienta de Inspeckage.
Esta herramienta utiliza algunos Hooks para informarte qué está sucediendo en la aplicación mientras realizas un análisis dinámico.

{% content-ref url="inspeckage-tutorial.md" %} inspeckage-tutorial.md {% endcontent-ref %}

Yaazhini

Esta es una gran herramienta para realizar análisis estático con una interfaz gráfica

Qark

Esta herramienta está diseñada para buscar varias vulnerabilidades de seguridad relacionadas con aplicaciones Android, ya sea en código fuente o en APK empaquetados. La herramienta también es capaz de crear un APK desplegable de "Prueba de concepto" y comandos ADB para explotar algunas de las vulnerabilidades encontradas (actividades expuestas, intenciones, tapjacking...). Al igual que con Drozer, no es necesario rootear el dispositivo de prueba.

pip3 install --user qark  # --user is only needed if not using a virtualenv
qark --apk path/to/my.apk
qark --java path/to/parent/java/folder
qark --java path/to/specific/java/file.java

ReverseAPK

  • Muestra todos los archivos extraídos para una fácil referencia
  • Descompila automáticamente archivos APK al formato Java y Smali
  • Analiza AndroidManifest.xml en busca de vulnerabilidades y comportamientos comunes
  • Análisis estático del código fuente en busca de vulnerabilidades y comportamientos comunes
  • Información del dispositivo
  • Intents
  • Ejecución de comandos
  • Referencias a SQLite
  • Referencias a registros
  • Proveedores de contenido
  • Receptores de transmisión
  • Referencias a servicios
  • Referencias a archivos
  • Referencias a criptografía
  • Secretos codificados
  • URL's
  • Conexiones de red
  • Referencias a SSL
  • Referencias a WebView
reverse-apk relative/path/to/APP.apk

SUPER Android Analyzer

SUPER es una aplicación de línea de comandos que se puede utilizar en Windows, MacOS X y Linux para analizar archivos .apk en busca de vulnerabilidades. Esto se logra descomprimiendo los APK y aplicando una serie de reglas para detectar esas vulnerabilidades.

Todas las reglas se encuentran en un archivo rules.json, y cada empresa o probador puede crear sus propias reglas para analizar lo que necesiten.

Descarga las últimas versiones binarias en la página de descargas

super-analyzer {apk_file}

StaCoAn

StaCoAn es una herramienta multiplataforma que ayuda a desarrolladores, cazadores de recompensas de errores y hackers éticos a realizar análisis de código estático en aplicaciones móviles*.

El concepto es que arrastres y sueltes el archivo de tu aplicación móvil (un archivo .apk o .ipa) en la aplicación StaCoAn y generará un informe visual y portátil para ti. Puedes ajustar la configuración y las listas de palabras para obtener una experiencia personalizada.

Descarga la última versión:

./stacoan

AndroBugs

AndroBugs Framework es un sistema de análisis de vulnerabilidades de Android que ayuda a los desarrolladores o hackers a encontrar posibles vulnerabilidades de seguridad en aplicaciones de Android.
Versiones para Windows

python androbugs.py -f [APK file]
androbugs.exe -f [APK file]

Androwarn

Androwarn es una herramienta cuyo objetivo principal es detectar y advertir al usuario sobre posibles comportamientos maliciosos desarrollados por una aplicación de Android.

La detección se realiza mediante el análisis estático del bytecode Dalvik de la aplicación, representado como Smali, con la biblioteca androguard.

Esta herramienta busca comportamientos comunes de aplicaciones "malas" como: exfiltración de identificadores de telefonía, interceptación de flujos de audio/video, modificación de datos PIM, ejecución de código arbitrario...

python androwarn.py -i my_application_to_be_analyzed.apk -r html -v 3

MARA Framework

MARA es un Framework de Reverse engineering y Análisis de Aplicaciones Móviles. Es una herramienta que reúne herramientas comúnmente utilizadas para el reverse engineering y análisis de aplicaciones móviles, para ayudar en las pruebas de seguridad de aplicaciones móviles contra las amenazas de seguridad móvil de OWASP. Su objetivo es facilitar esta tarea y hacerla más amigable para los desarrolladores de aplicaciones móviles y profesionales de seguridad.

Es capaz de:

Koodous

Útil para detectar malware: https://koodous.com/

Ofuscando/Desofuscando código

Tenga en cuenta que dependiendo del servicio y la configuración que utilice para ofuscar el código, los secretos pueden o no terminar ofuscados.

ProGuard

ProGuard es una herramienta de línea de comandos de código abierto que reduce, optimiza y ofusca el código Java. Es capaz de optimizar el bytecode, así como detectar y eliminar instrucciones no utilizadas. ProGuard es software libre y se distribuye bajo la Licencia Pública General de GNU, versión 2.

ProGuard se distribuye como parte del Android SDK y se ejecuta al compilar la aplicación en modo de lanzamiento.

De: https://en.wikipedia.org/wiki/ProGuard_(software)

DexGuard

Encuentra una guía paso a paso para desofuscar el apk en https://blog.lexfo.fr/dexguard.html

(De esa guía) La última vez que verificamos, el modo de operación de Dexguard era:

  • cargar un recurso como un InputStream;
  • alimentar el resultado a una clase que hereda de FilterInputStream para descifrarlo;
  • hacer alguna ofuscación inútil para perder unos minutos de tiempo de un reversor;
  • alimentar el resultado descifrado a un ZipInputStream para obtener un archivo DEX;
  • finalmente cargar el DEX resultante como un recurso utilizando el método loadDex.

DeGuard

DeGuard revierte el proceso de ofuscación realizado por las herramientas de ofuscación de Android. Esto permite realizar numerosos análisis de seguridad, incluida la inspección de código y la predicción de bibliotecas.

Puede cargar una APK ofuscada en su plataforma.

Simplify

Es un desofuscador genérico de Android. Simplify ejecuta virtualmente una aplicación para comprender su comportamiento y luego intenta optimizar el código para que se comporte de manera idéntica pero sea más fácil de entender para un humano. Cada tipo de optimización es simple y genérico, por lo que no importa qué tipo específico de ofuscación se utilice.

APKiD

APKiD te proporciona información sobre cómo se creó un APK. Identifica muchos compiladores, empaquetadores, ofuscadores y otras cosas extrañas. Es PEiD para Android.

Manual

Lea este tutorial para aprender algunos trucos sobre cómo desofuscar la ofuscación personalizada

Laboratorios

Androl4b

AndroL4b es una máquina virtual de seguridad de Android basada en ubuntu-mate que incluye la colección de los últimos frameworks, tutoriales y laboratorios de diferentes expertos en seguridad e investigadores para el reverse engineering y análisis de malware.

OWASP

{% embed url="https://github.com/OWASP/owasp-mstg%0Ahttps://mobile-security.gitbook.io/mobile-security-testing-guide/ios-testing-guide/0x06g-testing-network-communication" %}

Repositorios de Git

https://github.com/riddhi-shree/nullCommunity/tree/master/Android
https://www.youtube.com/watch?v=PMKnPaGWxtg&feature=youtu.be&ab_channel=B3nacSec

Referencias

Para obtener más información, visite:

Para probar

HackenProof es el hogar de todas las recompensas por errores de criptografía.

Obtén recompensas sin demoras
Las recompensas de HackenProof se lanzan solo cuando sus clientes depositan el presupuesto de recompensa. Recibirás la recompensa después de que se verifique el error.

Obtén experiencia en pentesting web3
¡Los protocolos blockchain y los contratos inteligentes son el nuevo Internet! Domina la seguridad web3 en sus días de crecimiento.

Conviértete en la leyenda del hacker web3
Gana puntos de reputación con cada error verificado y conquista la cima de la clasificación semanal.

Regístrate en HackenProof ¡comienza a ganar con tus hacks!

{% embed url="https://hackenproof.com/register" %}

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥