5 Tools Pentest Mobile

Prévia do material em texto

FERRAMENTAS 
USADAS EM PENTEST
MOBILE
COM FOCO EM AP L I CA T I VOS ANDRO ID
5
INTRODUÇÃO
Muito se fala em testes de segurança em aplicativos mobile (Pentest Mobile)
 
Nós resolvemos enumerar cinco ferramentas que consideramos essenciais no
dia a dia de um Pentester que realiza testes de segurança em aplicativos
Android.
 
02
01
03
O Android Studio é um kit de desenvolvimento de software
para Android no qual oferece as ferramentas mais rápidas
para criar aplicativos em todos os tipos de dispositivos
Android.
 
Apesar de ser uma ferramenta usada para desenvolvimento
Android, o pacote do Android Studio ainda conta com o SDK
Tools que tem dezenas de ferramentas úteis na comunicação
com os devices, e o Android Virtual Device que nos permite
emular devices.
 
ANDROID
STUDIO
01
04
ANDROID STUDIO
01
05
Em pentest mobile é muito interessante manter um ambiente
de desenvolvimento não apenas para entender o processo de
criação de um aplicativo, mas também para ter acesso a
emuladores e utilitários que nos possibilitam ter um controle
maior no ambiente para testes de segurança em aplicativos. 
 
ANDROID
STUDIO
02
06
APKTOOL é uma ferramenta para engenharia reversa de
aplicativos Android, podendo decodificar recursos para um
formato próximo ao original e também reconstruí-los após
fazer modificações.
 
APKTOOL
02
07
APKTOOL
Exemplo de uso:
apktool d nomedoapp.apk
02
08
Essa ferramenta é muito útil em Pentest Mobile pois
nos permite analisar arquivos do aplicativo, código
smali e também realizar alterações no código e
reconstruir o aplicativo com modificações, assim é
possível efetuar testes de adulteração de código.
APKTOOL
03
09
O dex2jar realiza a conversão de códigos dex para o formato
jar (Java Archive), o qual permite visualizar os arquivos .class
de forma organizada.
DEX2JAR
03
10
DEX2JAR
Na imagem acima o app está sendo convertido para o formato jar
Como podemos notar após o uso do dex2jar temos acesso aos arquivos
.class.
03
11
Além da funcionalidade principal de conversão o pacote "dj2"
possúi algumas outras ferramentas inclusas, estas permitem 
 ao pentester adicionar ou remover, montar ou desmontar,
classes, metodos, campos... E também a d2j-apk-sign permite
verificar e adicionar certificados no aplicativo.
DEX2JAR
04
12
JD-GUI é um utilitário gráfico que permite uma
visualização de código fonte java de arquivos .class. 
 
Com posse de um arquivo .jar podemos abri-lo com
JD-GUI e ter uma visualização legível de toda estrutura
com um código fonte bastante similar ao original. 
JD-GUI
04
13
JD-GUI
04
14
Em Pentest Mobile o JD-GUI permite uma fácil visualização
do código fonte em forma gráfica, tornando mais simples o
processo de descoberta de vulnerabilidades e informações
sensíveis.
JD-GUI
05
15
O burp suite é um proxy muito conhecido no mundo
do Pentest Web e sem dúvidas não pode faltar na
caixa de ferramentas de um Pentester! 
 
Ele permite interceptar, analizar e modificar a
comunicação entre cliente e servidor.
BURP SUITE
05
16
BURP SUITE
05
17
Em Pentest Mobile o burp se torna muito interessante pois
podemos analisar a comunicação entre o aplicativo e o
backend (servidor remoto), e em muitos casos burlar
controles de segurança, acessar informações sensíveis ou
fraudar o aplicativo.
BURP SUITE
CONCLUSÃO
Talvez as ferramentas já fossem conhecidas, mas o que importa é que agora
você sabe que elas são muito úteis (e essênciais) no processo de Pentest
Mobile.
 
Conhecer ferramentas como essas é importante, mas mais importante do que
isso é entender a base e os fundamentos do sistema operacional e do
processo envolvido. Se você se sentiu um pouco perdido não se preocupe, nós
estamos gerando mais conteúdos como este para te ajudar e facilitar o
caminho das pedras! 
 
Caso esteja buscando um treinamento a respeito do assunto a Desec Security
foi a primeira empresa do Brasil a criar um treinamento completo sobre
Pentest Mobile com foco em Android. Vale a pena ao menos conferir!
 
 
18
19
KEEP LEARNING
Obrigado!
 
Quer aprender mais sobre Pentest e segurança da informação?
 
ACESSE:
www.desecsecurity.com
 
Fale conosco:
contato@desecsecurity.com