Aplicación vulnerable iOS del proyecto OWASP

iGoat es un proyecto perteneciente a la fundación OWASP inspirado en WebGoat. Dicho proyecto contiene vulnerabilidades de forma intencionada y no es sólo para el investigador de seguridad, sino también para desarrolladores. Esto es, porque parte del ejercicio no sólo consta de atacar y comprometer la aplicación, sino que también está diseñado para (con comentarios en el código) arreglar las vulnarabilidades, así que puedes atacar, arreglar o ambos. Este proyecto está diseñado en modo cliente/servidor.
Leer más

Hackeando aplicaciones iOS

Hacking iOS Applications (PDF) es un libro electrónico gratuito publicado por Security Innovation sobre, como su título indica, cómo hacker aplicaciones iOS, es decir, dispositivos móviles de Apple como iPhones o iPads. El libro comienza con la creación de tu propio laboratorio, extracción y generación de ficheros binarios, análisis, depuración y diferentes técnicas de ataques contra estos. El índice es el siguiente: Setting Up iOS Pentest Acquiring iOS Generating iOS Binary (.
Leer más

Librerías de criptografía de Apple

Apple ha liberado las libreríasque manejan toda la criptografía implementada en OS X e iOS, para que cualquier programador que así lo desee pueda usarlas en sus proyectos. Dichas librerías están separadas en tres componentes: Security Framework: éste provee interfaces para el manejo de claves privadas y públicas, certificados y políticas de confianza. También provee la generación de números pseudo aleatorios y el almacenamiento seguro de certificados y claves criptográficas.
Leer más

Libro gratuito sobre ingeniería inversa de aplicaciones iOS

iOS Apps Reverse Engineeringes un libro en formato PDF accesible de forma totalmente gratuita totalmente enfocado a la ingeniería inversa de aplicaciones iOS (iPhone/iPad). El libro está organizado en cuatro apartados:
Leer más

Material para enseñar a desarrollar aplicaciones iOS con Swift

Apple a través de iTunesfacilita una serie de diapositivas organizadas para la enseñanza del desarrollo de aplicaciones para iOS escritas en Swift. El curso está orientado al profesorado y no al estudiante. El programa está organizado en 99 lecciones, a través de las cuales el profesor educará a los estudiantes de forma práctica. A lo largo del curso se crearán varios proyectos, en otras palabras, se crearán aplicaciones escritas en Swift.
Leer más

iOS Reverse Engineering Toolkit

iOS Reverse Engineering Toolkito iRet es un conjunto de herramientas que ayudan al auditor de seguridad a llevar a cabo tareas comunes de forma automática. Dichas tareas se enfocan en análisis e ingeniería inversa de aplicaciones iOS, plataforma móvil de Apple (iPhone/iPad). Este conjunto de herramientas o toolkit tiene ciertas dependencias que podemos ver en la siguiente imagen (haz click en la misma para agrandarla): De entre las tareas que este toolkit es capaz de automatizar, tenemos:
Leer más

Aplicación iOS vulnerable para profesionales, estudiantes y entusiastas

DVIA (Damn Vulnerable iOS Application)de acuerdo son su webes una aplicación para iOS (iPhones/iPads) con las principales 10 vulnerabilidades en dispositivos móviles según OWASP. Las vulnerabilidades incluidas son: La puedes descargar desde este enlace. Si quieres iniciarte en este campo o ampliar tus conocimientos, puedes empezar por aquí.
Leer más

Fortificación de sistemas Android e iOS

Desde la wikide la Universidad de Texas, nos brindan con una lista de recomendacionesa tener en consideración para asegurar o fortificar sistemas Android y iOS. Ambas listas están basada en las recomendaciones ofrecidas por el Center Internet Security (CIS). Las listas se presentan en forma de tablas, donde la primera columna (Step) indica el orden a seguir, la segunda es dónde iremos marcando si hemos ejecutado dicha recomendación, la tercera nos indica el número de referencia asignado por el CIS en caso que éste exista, la siguiente columna UT Note, contiene un enlace a información adicional (esta información es específica al laboratorio de la universidad en sí, pero eso no quiere decir que te sea útil) y por último, las últimas dos columnas Cat I y Cat II/III, de nuevo, esta es una clasificación internade la universidad dónde definen la política de clasificación de la información.
Leer más

Ataques por fuerza bruta en iOS con Teensy

Teensyes un dispositivo USB programable, que entre otras cosas se puede usar para emular un teclado. Con un dispositivo Teensy 3.0, han conseguido poder hacer un ataque por fuerza bruta a la pantalla de restricción en iOS, concretamente en un iPad (parece ser que no se puede conectar un teclado externo a un iPhone). En dicha pantalla de restricción, cuando introduces el código PIN incorrectamente varias veces, el sistema inhabilita el teclado virtual, 1 minuto, 5 minutos, 15 minutos, etc por cada intento fallido, pero el problema o más bien vulnerabilidad surge cuando la entrada se hace por un teclado externo.
Leer más

Cydia Substrate, plataforma de modificación de código de aplicaciones

Según la wikipedia: Cydiaes una aplicación de software para iOSque permite la gestión de paquetes dpkgmediante una interfaz gráfica como “saurik”). Cydia fue lanzado originalmente como una alternativa de código abierto para Installer.app en iOS 1.1.x, pero rápidamente se convirtió en el gestor de paquetes más popular desde la liberación del iOS 2.0 Su nombre se basa en el gusano común de la manzana, Cydia pomonellapara hacer referencia de que es un programa tipo “gusano” que se mete dentro de los dispositivos de Apple, o sea, la manzana.
Leer más