You Are Browsing ‘Android’ Category

Metaphor, prueba de concepto de explotación de Stagefright

by tuxotron - on Mar 7th 2016 - No Comments


stagefright.jpg

Seguro que muchos os acordáis de la noticia que salió a la luz el año pasado sobre Stagefright (PDF). El enlace es de la presentación de dicha vulnerabilidad en Black Hat.

Dicha noticia levantó bastante revuelo, porque anunciaba que cualquier teléfono móvil con Android (versiones entre 2.2 – 4.0, 5.0 y 5.1) era vulnerable y podría ser comprometido con un simple mensaje multimedia (realmente con cualquier fichero multimedia) sin intervención del usuario. El culpable, una librería (libstagefright) encargada del procesamiento multimedia. La recomendación, mientras no hubiera parche era la de deshabilitar la opción de descarga automática cuando se recibiera un mensaje multimedia (para no ser comprometido de forma automática) y la de no abrir un mensaje de fuente desconocida (sentido común).

Poco tiempo más tarde todo quedó en aguas de borrajas, porque según parecía la explotación remota no era obvia, sobre todo en las versiones 5.X, en las cuales Android posee protección ASLR.

Un grupo de investigadores de NorthBit, ha publicado un documento (PDF) con su implementación de dicha vulnerabilidad, y cómo está de moda eso de darle nombre a las vulnerabilidades (y logo), pues estos también han querido darle nombre a la prueba de concepto que han implementado y la han denominado Metaphor.

En dicho documento, muy técnico, se explican con explotar dicha vulnerabilidad y además con saltarse la protección ASLR, con alguna técnica distinta a la ya presentada por el equipo de Google: Project Zero.

 

Entradas relacionadas:

Curso de pentesting sobre aplicaciones Android

by tuxotron - on Feb 29th 2016 - 1 Comment


diva_pentesting.png

DIVA Android (Damn Insecure and vulnerable App for Android) es una aplicación Android intencionadamente vulnerable, creada con el objetivo de ser usada con fines educativos, para la enseñanza o el aprendizaje de pentesting en aplicaciones Android.

Desde Pentesting Academy nos traen un curso llamado Pentesting Android Apps – DIVA, el cual usa como base la aplicación anteriormente mencionada.

El curso esta compuesto por 13 vídeos disponibles de forma gratuita:

  1. Getting Started and Insecure Logging
  2. Hardcoding Vulnerabilities
  3. Insecure Data Storage 1
  4. Insecure Data Storage 2
  5. Insecure Data Storage 3
  6. Insecure Data Storage 4
  7. Input Validation Vulnerability 1
  8. Input Validation Vulnerability 2
  9. Access Control Vulnerability 1
  10. Access Control Vulnerability 2
  11. Access Control Vulnerability 3
  12. Conclusion

Si lo prefieres por escrito, en InfoSec Institute también tienen una serie de artículos (5 por el momento) explicando como aprovecharse de las vulnerabilidades en DIVA. Estos son los enlaces disponibles:

  1. Cracking Damn Insecure and Vulnerable App (DIVA) – part 1
  2. Cracking Damn Insecure and Vulnerable App (DIVA) – part 2
  3. Cracking Damn Insecure and Vulnerable App (DIVA) – part 3
  4. Cracking Damn Insecure and Vulnerable App (DIVA) – part 4
  5. Cracking Damn Insecure and Vulnerable App (DIVA) – part 5

Hace algún tiempo, publicamos una entrada con varias aplicaciones Android vulnerables (en las que se incluyen DIVA). Ideal para seguir practicando una vez hayas terminado la clase.

Entradas relacionadas: