Metaphor, prueba de concepto de explotación de Stagefright

Seguro que muchos os acordáis de la noticia que salió a la luz el año pasado sobre Stagefright(PDF). El enlace es de la presentación de dicha vulnerabilidad en Black Hat. Dicha noticia levantó bastante revuelo, porque anunciaba que cualquier teléfono móvil con Android (versiones entre 2.2 - 4.0, 5.0 y 5.1) era vulnerable y podría ser comprometido con un simple mensaje multimedia (realmente con cualquier fichero multimedia) sin intervención del usuario.
Leer más

Curso de pentesting sobre aplicaciones Android

DIVA Android (Damn Insecure and vulnerable App for Android)es una aplicación Android intencionadamente vulnerable, creada con el objetivo de ser usada con fines educativos, para la enseñanza o el aprendizaje de pentestingen aplicaciones Android. Desde Pentesting Academynos traen un curso llamado Pentesting Android Apps - DIVA, el cual usa como base la aplicación anteriormente mencionada. El curso esta compuesto por 13 vídeos disponibles de forma gratuita:
Leer más

Dia de internet segura - 2 Gb gratis en google

Durante el día de hoy exclusivamente, con motivo del día de internet segura, si completáis la revisión de seguridad de vuestra cuenta de google tendréis 2 gigas extra para siempre. Para conseguirlos solo tenéis que iniciar sesión en vuestra cuenta y acceder en la parte superior derecha a los datos de vuestra cuenta (Mi cuenta). A continuación, en el apartado “Comprobación de seguridad” pulsáis “empezar” y completáis la revisión. Al finalizar os aparecerá un mensaje confirmando que se os han añadido 2 gigas extra en vuestra cuenta, que podréis usar tanto en gmail, como en drive o cualquiera de los demás servicios de la gran G.
Leer más

Aplicaciones Android vulnerables

Con anterioridad hemos publicado algunas entradashablando de ciertas aplicaciones Android intencionalmente vulnerables o de sitios web que entro otras cosas enlazan a aplicaciones de este índole. En esta entrada voy a recolectar algunos enlaces específicos a aplicaciones móviles vulnerables para Android:
Leer más

Mensajería segura desde el escritorio

Open Whisper Systemsempresa que lleva ya media década dedicada en llevar el cifrado de las comunicaciones al usuario final, acaba de lanzar un nuevo producto llamado Signal Desktop. Inicialmente dicha empresa empezó desarrollando aplicaciones móviles para el intercambio de mensajes y voz de forma segura. Éstas aplicaciones se llamaban respectivamente: TextSecurey RedPhone. Con el tiempo estas dos aplicaciones se convirtieron en Signal. Una aplicación móvil para iPhoney Androidque nos permite tanto el cifrado de llamadas de voz como de mensajería.
Leer más

Decompilador de Dex a Java

Como la mayoría ya sabréis, .dexes el formato de fichero ejecutable que la máquina virtual Dalvik. Y cómo muchos ya también sabéis, aunque las aplicaciones Android las escribamos en Java (a menos que uses NDK, o algún framework de terceros que te permita codificar en algún otro lenguaje), pero no es el código Java o más bien el bytecodede Java lo que se ejecuta en el sistema, sino que hay un paso intermedio que convierte el bytecodede Java (.
Leer más

Curso sobre ingeniería inversa de aplicaciones Android impartido en Defcon 23

Como de costumbre, en la mayoría de las conferencias sobre seguridad, además de las charlas, siempre se ofrecen talleres y cursos. En la pasada Defcon 23, miembros Red Naga(@jcase, CalebFentony @timstrazz), impartieron un curso sobre ingeniería inversa en aplicaciones Android, cuyo contenido han publicado en Github. En dicho repositorio podemos encontrar un PDFbastante extenso (214 diapositivas), además algunos de los retos/talleresque se usaron en dicho curso. Se asume que debes tener un mínimo conocimiento sobre conceptos de ingeniería inversa y se recomienda el uso de una de las siguientes herramientas (aunque no es un requisito):
Leer más

Vuelve el Commodore PET

Los más jóvenes del lugar posiblemente no conozcan los ordenadores Commodore o quizás los conozcan tan solo de oídas. El buque insignia de Commodore fue su famoso Commodore 64 y quizás no menos conocido fueron los de la serie Amiga, pero el primer ordenador completo orientado al uso doméstico que Commodore lanzó al mercado fue el Commodore PET, allá por septiembre de 1977. La marca Commodore ha tenido muchos altibajos a través del tiempo, cerrando en 1994, declarándose en bancarrota en 1996, juicios, etc.
Leer más

Envío manual de paquetes IP

Cuando trabajas en redes, desarrollas alguna aplicación cliente/servidor, cuando quieres probar la seguridad de algún servicio mandándole paquetes mal formados, pruebas de estrés, etc, tener las herramientas adecuadas te harán la vida mucho más fácil. Quizás para los distintos escenarios que he enumerado anterioremente haya herramientas especializadas en cada caso, pero en esta entrada quería comentar Packet Sender. Packet Senderes una utilidad multiplataforma (Windows, Mac y Linux) que nos permite la definición y el envío de paquetes TCPy UDP.
Leer más

AIMSICD, un detector de StingRays

Antes de hablar de AIMSICD y StingRays, tenemos que hablar de IMSI-Catcher. IMSI (International Mobile Subscriber Identity) Catcheres una tecnología de escucha o monitorización del tráfico generado por teléfonos móviles. Es básicamente una torre false de telefonía móvil que se sitúa entre un teléfono y una torre legítima. Lo que se conoce como un man in the middle. Este tipo de dispositivos es conocido que los usan las fuerzas del orden y agencias de inteligencia en los EEUU, aunque parece que también se usan afuera de las fronteras del país estadounidense.
Leer más