hacktricks/mobile-pentesting/android-checklist.md

6.8 KiB

Lista de Verificação do APK Android

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Grupo de Segurança Try Hard

{% embed url="https://discord.gg/tryhardsecurity" %}


Aprenda os fundamentos do Android

Análise Estática

  • Verifique o uso de ofuscação, verificações para saber se o dispositivo móvel está rooteado, se está sendo usado um emulador e verificações anti-manipulação. Leia mais informações aqui.
  • Aplicativos sensíveis (como aplicativos bancários) devem verificar se o dispositivo móvel está rooteado e agir em conformidade.
  • Procure por strings interessantes (senhas, URLs, API, criptografia, backdoors, tokens, UUIDs Bluetooth...).
  • Atenção especial para as APIs do firebase.
  • Leia o manifesto:
  • Verifique se o aplicativo está em modo de depuração e tente "explorá-lo"
  • Verifique se o APK permite backups
  • Atividades Exportadas
  • Provedores de Conteúdo
  • Serviços Expostos
  • Receptores de Transmissão
  • Esquemas de URL
  • O aplicativo está salvando dados de forma insegura interna ou externamente?
  • Existe alguma senha codificada ou salva em disco? O aplicativo está usando algoritmos de criptografia inseguros?
  • Todas as bibliotecas compiladas usando a flag PIE?
  • Não se esqueça de que existem muitos Analisadores Estáticos de Android que podem ajudar muito durante esta fase.

Análise Dinâmica

  • Prepare o ambiente (online, VM local ou física)
  • Existe algum vazamento de dados não intencional (logs, copiar/colar, logs de falhas)?
  • Informações confidenciais sendo salvas em bancos de dados SQLite?
  • Atividades expostas exploráveis
  • Provedores de Conteúdo exploráveis
  • Serviços expostos exploráveis
  • Receptores de Transmissão exploráveis
  • O aplicativo está transmitindo informações em texto claro/usando algoritmos fracos? É possível um ataque Man-in-the-Middle?
  • Inspecionar tráfego HTTP/HTTPS
  • Isso é realmente importante, porque se você pode capturar o tráfego HTTP, pode procurar por vulnerabilidades comuns na Web (Hacktricks tem muitas informações sobre vulnerabilidades na Web).
  • Verifique possíveis Injeções do Lado do Cliente Android (provavelmente alguma análise de código estático ajudará aqui)
  • Frida: Apenas Frida, use-o para obter dados dinâmicos interessantes do aplicativo (talvez algumas senhas...)

Algumas informações de obfuscação/Desobfuscação

Grupo de Segurança Try Hard

{% embed url="https://discord.gg/tryhardsecurity" %}

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!