Generalidades

Guía de configuración de la herramienta básica de pruebas de penetración de Android | Parte 1 | Autor: Sargam Dhaliwal | Julio de 2021

Sagem Dalivar

Desde hace unos meses, quería escribir un artículo sobre las pruebas de penetración de Android. Pero se pospuso debido a la apretada agenda. Aprendamos más sobre cómo configurar un entorno de evaluación de seguridad móvil.

En esta guía, analizaremos algunas de las herramientas necesarias para la evaluación de la seguridad móvil y su configuración en la computadora local y el simulador / dispositivo. Como todos sabemos, para la evaluación de la seguridad móvil, se requiere un dispositivo con privilegios de root. Podemos utilizar dispositivos físicos o simuladores. Entonces, en este blog, usaremos Gennymotion como nuestro emulador.

Para evitar cualquier tipo de problema técnico, utilice la última versión de Gennymotion.

Dispositivo virtual / emulador Gennymotion-Android

Para movilelectrónico Evaluación de seguridad, podemos clasificar herramientas basadas en diferentes tecnologías como evaluaciones de seguridad estáticas y dinámicas. La siguiente tabla muestra una lista de estas herramientas. Discutiremos algunas herramientas importantes en un blog de seguimiento (Parte 1).

Lista de herramientas

Antes de continuar, tenga en cuenta los siguientes requisitos previos:

Es un kit de herramientas de detección dinámico gratuito. Con esta función, podemos ejecutar algunos scripts en el software firmado por el propietario, es decir, software propietario. Con frida, podemos inyectar algunos scripts maliciosos en el proceso en tiempo real de las aplicaciones de Android para explotar vulnerabilidades conocidas.

Se requieren los siguientes comandos para instalar frida:

pip install frida
pip install frida-tools
Instalar frida en la máquina local / virtual

Servidor Frida

Para esta configuración, uso frida-server-12.10.4-android-x86.xz para el dispositivo virtual, pero si está utilizando un dispositivo físico, debe instalar la versión ARM. Ahora descomprima este archivo y realice los siguientes pasos de instalación:

Puedes usar la herramienta apk para instalar el servidor frida, o seguir mi camino 🙂 → arrastrar y soltar.De esta forma, su archivo se guardará en Tarjeta SD / descarga

  • Use la herramienta adb para obtener el shell y mueva el archivo del servidor frida a data / local / tmp
mv frida-server-12.10.4-android-x86 data/local/tmp
  • Use el siguiente comando para cambiar el nombre del archivo a frida-server
mv frida-server-12.10.4-android-x86 frida-server
  • Cambiar los permisos de frida-server
chmod +x frida
Directorio del servidor Frida
  • Use el siguiente comando para ejecutar el servidor frida
El servidor de Frida se está ejecutando

Si encuentra el siguiente error al ejecutar el servidor frida, finalice su proceso y ejecútelo nuevamente. Después de iniciar el servidor frida, puede ver todas las aplicaciones que se ejecutan en el emulador y sus ID de proceso y nombres de paquetes.

Error de frida
Reiniciar el servidor frida
Ver la lista de aplicaciones / procesos en ejecución

La objeción es un kit de desarrollo en tiempo de ejecución basado en Frida que puede ayudarlo a realizar evaluaciones de seguridad móvil.

Los siguientes comandos se utilizan para instalar y ejecutar contra

pip3 install objection 
Objeción de instalación
objection -g <process_id>/<package_name> explore

Discutiremos otras herramientas en la segunda parte. Tarde o temprano…

LEER  Componentes de navegación de Android Jetpack: URL del teléfono y la web

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba