Seguridad en smartphones

El objetivo es realizar una auditoría móvil sobre el apk que se ha proporcionado.

Para ello se deberá, en primer lugar, configurar el entorno tal y como se explica en el correspondiente apartado.

Se deben reportar todas las vulnerabilidades encontradas como se muestra en la plantilla de informe.



Los objetivos de este ejercicio son los siguientes:



1. Obtención del código fuente de la aplicación. Detallar todo el proceso con capturas.

2. Análisis del AndroidManifest (permisos y qué vulnerabilidades presenta).

3. Análisis del código fuente de la aplicación en busca de vulnerabilidades (dos vulnerabilidades como mucho).

4. Análisis de aplicación móvil en dinámico:



Interceptación del tráfico entre aplicación y servidor.
Vulnerabilidades de depuración de la aplicación.
Almacenamiento inseguro de datos.
Bypass de autenticación.


5. Bypass de detección de root.

6. Bypass de detección de emulador.



Credenciales de la aplicación



dinesh/Dinesh@123$

jack/Jack@123$



Información adicional



Para la configuración del entorno se debe descomprimir el .zip en cualquier directorio de Kali y ejecutar el siguiente comando para instalar las dependencias (siempre con Python3):



pip3 install –r requirements.txt



cp01.png


Figura 1. Comando de ejecución.

Fuente: elaboración propia.



A continuación se deberá ejecutar el servidor mediante el siguiente comando:



cp02.png




Figura 2. Comando de ejecución.

Fuente: elaboración propia.



Finalmente, se debe configurar el server en la aplicación. Para ello es imprescindible que tanto el emulador como Kali Linux estén en el mismo segmento de red, ambos con la interfaz de bridge habilitada.



Una vez la aplicación se encuentre en ejecución, se introducirá la IP del servidor, tal y como se muestra en las siguientes imágenes:



cp03.png


Figura 3. Introducción de IP.

Fuente: elaboración propia.



Cp04.png


Figura 4. Introducción de IP.

Fuente: elaboración propia.