Computers

En el proximo articulo hablaremos de pentesting de aplicaciones moviles, ese desconocido para muchos, con la intencion de acercar al público este tipo de auditorias que por distintas que parezcan, pueden llegar a ser muy interesantes si se logra entender como se llevan a cabo.

Primero de todo, necesitaríamos un dispositivo móvil rooteado. El proceso de root/jailbreak se deja a libertad de cada uno, hay varias formas en función de la versión de Android/iOS que dispongáis. Para serie de artículos que vamos a ir publicando, nos apoyaremos en Genymotion, que para quien no lo conozca es un emulador de Android que monta las imágenes ya rooteadas, lo que nos ahorra mucho tiempo. Para la comunicación con nuestro dispositivo Android, necesitaremos una herramienta conocida como Android Debug Bridge (ADB), nos permitirá comunicarnos con el dispositivo mediante comandos. El comando ADB facilita una variedad de acciones en dispositivos, como instalar y depurar apps. ADB proporciona acceso a un shell Unix que puedes usar para ejecutar una variedad de comandos en un dispositivo. ADB no es compatible con iOS, por lo que, en este caso, para levantar una Shell lo haremos por medio de SSH.

En el laboratorio que os presentamos, dispondremos de dos terminales: una máquina atacante (Kali) y una víctima, un dispositivo móvil (emulado). Para simular la víctima, se va a hacer el uso de Genymotion, un emulador de Android multiplataforma. Esta aplicación simplificará considerablemente la tarea, especialmente si no se cuenta con un dispositivo móvil rooteado.