Metaphor, prueba de concepto de explotación de Stagefright

Seguro que muchos os acordáis de la noticia que salió a la luz el año pasado sobre Stagefright (PDF). El enlace es de la presentación de dicha vulnerabilidad en Black Hat. Dicha noticia levantó bastante revuelo, porque anunciaba que cualquier teléfono móvil con Android (versiones entre 2.2 - 4.0, 5.0 y 5.1) era vulnerable y podría ser comprometido con un simple mensaje multimedia (realmente con cualquier fichero multimedia) sin intervención del usuario.
Leer más

Curso de pentesting sobre aplicaciones Android

DIVA Android (Damn Insecure and vulnerable App for Android) es una aplicación Android intencionadamente vulnerable, creada con el objetivo de ser usada con fines educativos, para la enseñanza o el aprendizaje de pentesting en aplicaciones Android. Desde Pentesting Academy nos traen un curso llamado Pentesting Android Apps - DIVA, el cual usa como base la aplicación anteriormente mencionada. El curso esta compuesto por 13 vídeos disponibles de forma gratuita: Getting Started and Insecure Logging Hardcoding Vulnerabilities Insecure Data Storage 1 Insecure Data Storage 2 Insecure Data Storage 3 Insecure Data Storage 4 Input Validation Vulnerability 1 Input Validation Vulnerability 2 Access Control Vulnerability 1 Access Control Vulnerability 2 Access Control Vulnerability 3 Conclusion Si lo prefieres por escrito, en InfoSec Institute también tienen una serie de artículos (5 por el momento) explicando como aprovecharse de las vulnerabilidades en DIVA.
Leer más

Dia de internet segura - 2 Gb gratis en google

Durante el día de hoy exclusivamente, con motivo del día de internet segura, si completáis la revisión de seguridad de vuestra cuenta de google tendréis 2 gigas extra para siempre. Para conseguirlos solo tenéis que iniciar sesión en vuestra cuenta y acceder en la parte superior derecha a los datos de vuestra cuenta (Mi cuenta). A continuación, en el apartado “Comprobación de seguridad” pulsáis “empezar” y completáis la revisión.
Leer más

Aplicaciones Android vulnerables

Con anterioridad hemos publicado algunas entradas hablando de ciertas aplicaciones Android intencionalmente vulnerables o de sitios web que entro otras cosas enlazan a aplicaciones de este índole. En esta entrada voy a recolectar algunos enlaces específicos a aplicaciones móviles vulnerables para Android: OWASP GoatDroid Damn Vulnerable Android App Hacme Bank - Android v1.0 ExploitMe Mobile Android Labs Colección de aplicaciones aparecidas en conferencias y CTFs DEFENDIO InsecureBankv2 Sieve DIVA (Damn insecure and vulnerable App) Otra colección de aplicaciones aparecidas en CTFs (carnal0wnage - un poco más antigua) Aquí hay bastantes aplicaciones para jugar y aprender a hacer ingeniería inversa a aplicaciones móviles para Android.
Leer más

Decompilador de Dex a Java

Como la mayoría ya sabréis, .dex es el formato de fichero ejecutable que la máquina virtual Dalvik. Y cómo muchos ya también sabéis, aunque las aplicaciones Android las escribamos en Java (a menos que uses NDK, o algún framework de terceros que te permita codificar en algún otro lenguaje), pero no es el código Java o más bien el bytecode de Java lo que se ejecuta en el sistema, sino que hay un paso intermedio que convierte el bytecode de Java (.
Leer más

Curso sobre ingeniería inversa de aplicaciones Android impartido en Defcon 23

Como de costumbre, en la mayoría de las conferencias sobre seguridad, además de las charlas, siempre se ofrecen talleres y cursos. En la pasada Defcon 23, miembros Red Naga (@jcase, CalebFenton y @timstrazz), impartieron un curso sobre ingeniería inversa en aplicaciones Android, cuyo contenido han publicado en Github. En dicho repositorio podemos encontrar un PDF bastante extenso (214 diapositivas), además algunos de los retos/talleres que se usaron en dicho curso.
Leer más

AIMSICD, un detector de StingRays

Antes de hablar de AIMSICD y StingRays, tenemos que hablar de IMSI-Catcher. IMSI (International Mobile Subscriber Identity) Catcher es una tecnología de escucha o monitorización del tráfico generado por teléfonos móviles. Es básicamente una torre false de telefonía móvil que se sitúa entre un teléfono y una torre legítima. Lo que se conoce como un man in the middle. Este tipo de dispositivos es conocido que los usan las fuerzas del orden y agencias de inteligencia en los EEUU, aunque parece que también se usan afuera de las fronteras del país estadounidense.
Leer más

Más integración entre Google y tu dispositivo Android

Hace varios días os hablábamos sobre cómo compartir una ruta desde tu navegador, directamente a tu dispositivo Android. Hoy os hablamos de 2 nuevas funcionalidades de integración entre Google y tu Android. Una es el envío de notas y la otra el establecer una alarma. Para el envío de notas al igual que explicamos en la entrada anterior, todo lo que tienes que escribir es: send a note (o alguna forma similar que Google sea capaz de adivinar, por ejemplo send note sin la “a”).
Leer más

Monitorizando la actividad de tu aplicación Android

HP ha liberado una aplicación gratuita para ayudar a los equipos de seguridad y calidad encontrar vulnerabilidades. ShadowOS, así se llama, está basado en una versión modificada de Android Kitkat, la cual intercepta la actividad generada en el sistema en general, en las siguientes áreas: Acceso al sistema de ficheros. Muestra todo los accesos de lectura y escritura (path + nombre de fichero) HTTP/HTTPS. Muestra todas la llamadas HTTP/HTTPS realizadas por la aplicación, incluyendo las realizadas por Webkit.
Leer más

Herramientas de seguridad para Android

Como todos ya sabemos el mercado móvil está dominado por dispositivos que corren Android. Esto lo hace objetivo prioritario para los creadores de malware. Prácticamente la misma historia por la que Windows es el más atacado, no por que sea menos seguro que el resto, sino porque es el que más cuota de mercado abarca. Por lo tanto no es de estrañar que los investigadores sobre seguridad también se vuelquen en él.
Leer más