Aplicación vulnerable iOS del proyecto OWASP

iGoat iGoat es un proyecto perteneciente a la fundación OWASP inspirado en WebGoat. Dicho proyecto contiene vulnerabilidades de forma intencionada y no es sólo para el investigador de seguridad, sino también para desarrolladores. Esto es, porque parte del ejercicio no sólo consta de atacar y comprometer la aplicación, sino que también está diseñado para (con comentarios en el código) arreglar las vulnarabilidades, así que puedes atacar, arreglar o ambos. Este proyecto está diseñado en modo cliente/servidor.
Leer más

Hackeando aplicaciones iOS

Hacking iOS Applications Hacking iOS Applications (PDF) es un libro electrónico gratuito publicado por Security Innovation sobre, como su título indica, cómo hacker aplicaciones iOS, es decir, dispositivos móviles de Apple como iPhones o iPads. El libro comienza con la creación de tu propio laboratorio, extracción y generación de ficheros binarios, análisis, depuración y diferentes técnicas de ataques contra estos. El índice es el siguiente: Setting Up iOS Pentest Acquiring iOS Generating iOS Binary (.
Leer más

Librerías de criptografía de Apple

Apple ha liberado las librerías que manejan toda la criptografía implementada en OS X e iOS, para que cualquier programador que así lo desee pueda usarlas en sus proyectos. Dichas librerías están separadas en tres componentes: Security Framework: éste provee interfaces para el manejo de claves privadas y públicas, certificados y políticas de confianza. También provee la generación de números pseudo aleatorios y el almacenamiento seguro de certificados y claves criptográficas.
Leer más

Libro gratuito sobre ingeniería inversa de aplicaciones iOS

iOS Apps Reverse Engineering es un libro en formato PDF accesible de forma totalmente gratuita totalmente enfocado a la ingeniería inversa de aplicaciones iOS (iPhone/iPad). El libro está organizado en cuatro apartados: Conceptos Herramientas Teoría Práctica Éste apunta también a cuatro grupos distintos de lectores: Apasionados sobre el sistema operativo iOS. Desarrolladores de iOS ya experimentados, que buscan entender mejor el sistema. Arquitectos de software, que buscan aprender sobre la arquitectura de otras aplicaciones.
Leer más

Material para enseñar a desarrollar aplicaciones iOS con Swift

Apple a través de iTunes facilita una serie de diapositivas organizadas para la enseñanza del desarrollo de aplicaciones para iOS escritas en Swift. El curso está orientado al profesorado y no al estudiante. El programa está organizado en 99 lecciones, a través de las cuales el profesor educará a los estudiantes de forma práctica. A lo largo del curso se crearán varios proyectos, en otras palabras, se crearán aplicaciones escritas en Swift.
Leer más

iOS Reverse Engineering Toolkit

iOS Reverse Engineering Toolkit o iRet es un conjunto de herramientas que ayudan al auditor de seguridad a llevar a cabo tareas comunes de forma automática. Dichas tareas se enfocan en análisis e ingeniería inversa de aplicaciones iOS, plataforma móvil de Apple (iPhone/iPad). Este conjunto de herramientas o toolkit tiene ciertas dependencias que podemos ver en la siguiente imagen (haz click en la misma para agrandarla): De entre las tareas que este toolkit es capaz de automatizar, tenemos: Binary Analysis (basado en otool) Keychain Analysis (keychain_dumper) Database Analysis (sqlite3) Log Viewer Plist Viewer Header Files Create, edit, save and build theos tweaks Display cached screenshots Además de las herramientas requeridas que podemos ver en la imagen anterior, para el funcionamiento correcto de este toolkit también necesitas: Python (2.
Leer más

Aplicación iOS vulnerable para profesionales, estudiantes y entusiastas

DVIA (Damn Vulnerable iOS Application) de acuerdo son su web es una aplicación para iOS (iPhones/iPads) con las principales 10 vulnerabilidades en dispositivos móviles según OWASP. Las vulnerabilidades incluidas son: Insecure Data Storage Jailbreak Detection Runtime Manipulation Transport Layer Security Client Side Injection Information Disclosure Broken Cryptography Application Patching El objetivo de esta aplicación es el proveer una plataforma de “entrenamiento” para entusiastas, profesionales y estudiantes de la seguridad móvil (iOS).
Leer más

Fortificación de sistemas Android e iOS

Desde la wiki de la Universidad de Texas, nos brindan con una lista de recomendaciones a tener en consideración para asegurar o fortificar sistemas Android y iOS. Ambas listas están basada en las recomendaciones ofrecidas por el Center Internet Security (CIS). Las listas se presentan en forma de tablas, donde la primera columna (Step) indica el orden a seguir, la segunda es dónde iremos marcando si hemos ejecutado dicha recomendación, la tercera nos indica el número de referencia asignado por el CIS en caso que éste exista, la siguiente columna UT Note, contiene un enlace a información adicional (esta información es específica al laboratorio de la universidad en sí, pero eso no quiere decir que te sea útil) y por último, las últimas dos columnas Cat I y Cat II/III, de nuevo, esta es una clasificación interna de la universidad dónde definen la política de clasificación de la información.
Leer más

Ataques por fuerza bruta en iOS con Teensy

Teensy es un dispositivo USB programable, que entre otras cosas se puede usar para emular un teclado. Con un dispositivo Teensy 3.0, han conseguido poder hacer un ataque por fuerza bruta a la pantalla de restricción en iOS, concretamente en un iPad (parece ser que no se puede conectar un teclado externo a un iPhone). En dicha pantalla de restricción, cuando introduces el código PIN incorrectamente varias veces, el sistema inhabilita el teclado virtual, 1 minuto, 5 minutos, 15 minutos, etc por cada intento fallido, pero el problema o más bien vulnerabilidad surge cuando la entrada se hace por un teclado externo.
Leer más

Cydia Substrate, plataforma de modificación de código de aplicaciones

Según la wikipedia: Cydia es una aplicación de software para iOS que permite la gestión de paquetes dpkg mediante una interfaz gráfica como “saurik”). Cydia fue lanzado originalmente como una alternativa de código abierto para Installer.app en iOS 1.1.x, pero rápidamente se convirtió en el gestor de paquetes más popular desde la liberación del iOS 2.0 Su nombre se basa en el gusano común de la manzana, Cydia pomonella para hacer referencia de que es un programa tipo “gusano” que se mete dentro de los dispositivos de Apple, o sea, la manzana.
Leer más