Penseu en una aplicació mòbil com una volta digital , que conté tot, des de contrasenyes d'usuari fins a detalls de pagament. Com a provador de penetració, la vostra feina és assegurar - vos que la caixa forta està tancada, molt abans que cap atacant real intenti entrar. anàlisi de codi i trànsit. Anem-hi!

Introducció

Vivim en un món on els dispositius mòbils són gairebé una extensió de nosaltres mateixos. Com que la gent fa les seves activitats bancàries , compres i socialitza al telèfon, és primordial garantir la seguretat de les aplicacions . I és per això que el pentesting mòbil és important: simulem atacs contra aplicacions per exposar les debilitats i ajudar els desenvolupadors a arreglar-les.

Aquí teniu el que hi ha per a vosaltres:

• Tranquil·litat : no perdreu el son per filtracions de dades o credencials robades.
• Compliment : els reguladors (i els vostres usuaris) requereixen estàndards de protecció estrictes.
• Augment de la reputació : les aplicacions segures signifiquen clients més feliços i menys risc de titulars negatius.

Què és Mobile Pentesting?

Bàsicament, el pentesting per a mòbils consisteix a trobar maneres creatives d'entrar en una aplicació, com ho faria un atacant real, perquè primer puguis solucionar els punts febles. És diferent del pentesting web estàndard perquè les aplicacions mòbils:

• Executar en plataformes úniques : Android i iOS tenen les seves pròpies regles, models de seguretat i peculiaritats.

• Emmagatzema les dades als dispositius : la informació sensible es pot desar localment, per la qual cosa és crucial examinar l'emmagatzematge específic del dispositiu.

• Confieu molt en les API : les aplicacions mòbils sovint parlen amb els servidors de fons mitjançant API, que poden estar mal configurades o vulnerables si no es proveen correctament.

  
  

Els reptes habituals inclouen tractar amb la detecció d'arrel/jailbreak , eludir la fixació SSL i analitzar la lògica tant del costat del client com del servidor .

Amenaces habituals a les aplicacions mòbils

Imagineu-vos una fortalesa medieval: aquests són els típics "punts febles" als quals es dirigeixen els atacants:

1. Emmagatzematge insegur de dades
   • Els testimonis sensibles o les credencials d'usuari es deixen sense xifrar al dispositiu.
2. Controls febles del costat del servidor
   • Falta la validació d'entrada o la lògica de l'API defectuosa que els pirates informàtics poden explotar.
3. Protecció insuficient de la capa de transport
   • L'ús d'HTTP o HTTPS defectuós permet als atacants interceptar o modificar el trànsit de la xarxa.
4. Autenticació i autorització insegures
   • Sistemes d'inici de sessió, gestió de sessions o comprovacions de permisos mal implementats.
5. Vulnerabilitats del costat del client

   • Codi que es pot fer enginyeria inversa per revelar secrets o lògica que es pot manipular en temps d'execució.

     
     

Consulteu l' OWASP Mobile Top 10 i la Guia de proves de seguretat d'aplicacions mòbils (MASTG) per obtenir més informació sobre aquests riscos. Són com mapes que destaquen totes les possibles trampes.

Prepareu-vos per a les proves mòbils

Abans d'assaltar el castell, necessiteu l' armadura i les armes adequades . En termes de pentesting, això significa configurar un entorn on podeu experimentar de manera segura sense danyar les dades del món real. Cobrim els conceptes bàsics tant per a Android com per a iOS.

Android

Quan proveu aplicacions d'Android, podeu fer girar dispositius virtuals amb eines com Android Emulator o Genymotion . Aquests emuladors us permeten instal·lar i provar aplicacions ràpidament sense necessitat d'un dispositiu físic. Podeu trobar els passos detallats per configurar-ne un en aquesta guia .

Emulador d'Android

Tanmateix, l'ús d'un dispositiu físic sovint dóna resultats més precisos, sobretot quan necessiteu provar les condicions de la xarxa, els sensors o l'autenticació biomètrica del món real. Si teniu previst fer proves més avançades, com ara comprovacions d'arrel o anàlisi forense de dades en profunditat, tenir maquinari real és un gran avantatge.

Si decidiu comprar o agafar en préstec un dispositiu dedicat, tingueu en compte que alguns telèfons Android són més fàcils d'arrelar . L'arrelament us ofereix un accés més profund al sistema operatiu, la qual cosa us permet analitzar fitxers ocults, evitar les restriccions de les aplicacions i executar eines potents que requereixen permisos elevats.

Arrelament

L'arrelament d'Android és com trobar una clau d'esquelet per al sistema operatiu del vostre telèfon. Normalment, faràs:

1. Desbloquegeu el carregador d'arrencada.
2. Flasheu una recuperació personalitzada (p. ex., TWRP).
3. Instal·leu una eina de gestió d'arrel com Magisk o SuperSU .

Cada versió de telèfon i sistema operatiu té les seves peculiaritats, així que estigueu preparats per fer-hi uns quants intents. La bona notícia és que un cop arrelat un dispositiu, generalment es manté així tret que restableixis de fàbrica o actualitzes el microprogramari. Tingueu en compte que els jailbreaks d'iOS es poden perdre després d'un reinici, de manera que Android de vegades ofereix una plataforma més persistent per fer proves.

Seguiu sempre les guies de confiança per al vostre telèfon específic: l'arrelament inadequat pot corrompre el programari o introduir forats de seguretat. I, per descomptat, fes una còpia de seguretat de les teves dades abans de submergir-te! Exemple d'arrelament d'un Pixel 3a

Proxy

Penseu en un proxy com Burp Suite com el vostre "espia". Us permet veure i modificar tot el trànsit que entra i surt de l'aplicació. Captaràs una comunicació insegura, una autenticació defectuosa o sol·licituds obscures. La configuració d'un servidor intermediari per a mòbils és similar a iOS i Android. Podeu trobar les instruccions oficials per a cada plataforma aquí .

Les coses es tornen complicades amb determinats marcs:

• Xamarin de vegades ignora la configuració del servidor intermediari de tot el sistema a causa de les biblioteques de xarxa personalitzades.

• Pot ser que Flutter respecti els servidors intermediaris, però podria fer complir la fixació del certificat , impedint-vos de veure el trànsit.

  
  

Per superar aquests obstacles, podeu modificar el codi, utilitzar eines com Frida o Objection per desactivar la fixació o configurar servidors intermediaris inversos (per exemple, mitmproxy ) per capturar trànsit. Adaptar el teu enfocament forma part de la diversió!

Instal·lació d'aplicacions

Si l'aplicació encara no es troba a Google Play Store (comú per als pentests), probablement tindreu un fitxer APK per carregar. Podeu compartir l'APK mitjançant Google Drive o un enllaç de descàrrega directa. Una altra opció convenient és utilitzar Firebase App Distribution , que organitza les proves enviant invitacions a les parts interessades.

iOS

A iOS, un dispositiu físic també ofereix l'experiència de prova més genuïna. Podeu submergir-vos en funcions específiques del maquinari, com ara Face ID , Touch ID i sensors, alhora que captureu interaccions de xarxa realistes. Si esteu comprant o utilitzant un dispositiu personal, tingueu en compte els models que se sap que són més senzills de fer jailbreak (ja que no tots els iPhones són igualment compatibles amb aquest procés). Si necessiteu dispositius iOS virtuals, Corellium ofereix proves potents basades en núvol, tot i que no són gratuïtes. La majoria dels verificadors encara confien en un dispositiu físic per a comprovacions exhaustives.

Jailbreaking

El jailbreaking d'iOS s'assembla molt a eliminar els cadenats que Apple posa als seus dispositius. Aconseguiu privilegis d'arrel, que us permeten instal·lar retocs, explorar directoris de fitxers ocults o executar scripts de pentesting avançats. Les eines populars inclouen unc0ver i Checkra1n . La millor opció depèn de la versió d'iOS i del model de dispositiu.

Recordeu:

• Els dispositius més nous poden ser més difícils de fer jailbreak.
• Alguns jailbreaks no sobreviuen a un reinici ("semi-sense connectar").
• Feu sempre una còpia de seguretat del vostre iPhone abans de jugar amb els fitxers del sistema.

Tingueu en compte també que determinades capes de seguretat es reactiven automàticament quan es reinicia el dispositiu, de manera que és possible que hàgiu de tornar a fer jailbreak cada vegada que engegueu.

Instal·lació d'aplicacions

Les aplicacions d'iOS vénen en fitxers IPA , semblants als APK d'Android. En un telèfon sense jailbreak, podeu instal·lar IPA mitjançant gestors de fitxers com Filza o aplicacions com Sideloadly . Per a una ruta més oficial, els desenvolupadors sovint confien en TestFlight , que els permet convidar provadors per correu electrònic; només cal que toqueu l'enllaç i iOS s'encarrega de la resta.

Configurar el vostre entorn correctament, escollir els dispositius adequats (virtuals o físics), configurar servidors intermediaris i entendre com carregar aplicacions, us garanteix que estareu preparat per aprofundir en el funcionament intern d'una aplicació. Pot ser que calgui una mica de retoc, però un cop tingueu aquesta configuració perfecta, pot començar el veritable pentesting!

Anàlisi estàtica (SAST)

Ara passem a examinar l'aplicació en si, sense executar-la completament. Això és com llegir el plànol d'un castell abans d'entrar. Busquem secrets codificats , configuracions insegures i altres problemes al codi o als fitxers de configuració.

Àrees clau per centrar-se

1. Secrets codificats

   Les claus de l'API, els testimonis, les credencials i les claus de xifratge de vegades acaben directament al codi font. Si els atacants fan enginyeria inversa de l'aplicació, poden esbrinar aquests secrets amb el mínim esforç i suplantar la identitat dels usuaris o serveis.

2. Configuracions insegures

   Els permisos massa permissius, els senyals de depuració que es queden activats o la signatura inadequada poden fer forats a l'armadura de la vostra aplicació. Una única configuració, com NSAllowsArbitraryLoads en un iOS Info.plist o android:debuggable="true", pot obrir la porta als atacs de l'home del mig (MITM) o a la depuració sense protecció.

3. Exposició de dades sensibles

   Emmagatzemar fitxes de sessió o informació personal en text sense format al dispositiu (registres, preferències compartides, fitxers locals) és una recepta per al desastre. Qualsevol persona amb accés físic o un telèfon arrelat/jailbreakat podria mirar i robar dades valuoses, sense necessitat de força bruta.

4. Lògica i defectes de l'aplicació

   Sovint, els problemes d'arrel provenen de com s'implementen les funcions. Quan falten comprovacions essencials, com ara l'autenticació, o no s'apliquen estrictament, els atacants poden evitar fàcilment les vostres defenses. De la mateixa manera, les funcions criptogràfiques febles o els components de l'aplicació no assegurats també poden facilitar la vida a qualsevol persona que investiga la vostra aplicació.

Llista de verificació MSTG

La Guia de proves de seguretat mòbil (MSTG) ofereix una llista de verificació completa per ajudar-vos a abordar l'anàlisi estàtica de manera metòdica:

• [ ] MSTG-STORAGE-1 : les dades sensibles no s'emmagatzemen sense xifrar al dispositiu.
• [ ] MSTG-STORAGE-2 : no s'emmagatzema cap dada sensible a l'emmagatzematge compartit.
• [ ] MSTG-CRYPTO-1 : Ús adequat d'algorismes i biblioteques criptogràfics.
• [ ] MSTG-NETWORK-1 : canals de comunicació segurs (p. ex., HTTPS/TLS).
• [ ] MSTG-CODE-1 : Absència de secrets codificats en el codi font.
• [ ] MSTG-CODE-3 : l'ofuscament del codi s'aplica adequadament.
• [ ] MSTG-RESILIÈNCIA-1 : protecció contra l'enginyeria inversa.
• [ ] MSTG-RESILIENCE-2 : les capacitats de depuració estan desactivades en producció.
• [ ] MSTG-PRIVACY-1 : Tractament adequat dels permisos dels usuaris i de les dades privades.

Eines SAST

Diverses eines us poden ajudar a disseccionar el vostre codi, configuracions i binaris sense executar l'aplicació:

MobSF (Marc de seguretat mòbil)

Ús : connecteu un APK/IPA i MobSF generarà un informe detallat: enumerarà possibles configuracions incorrectes, permisos sospitosos o secrets codificats.

Bonificació : també té algunes característiques dinàmiques, la qual cosa la converteix en una solució tot en un.

APKTool (Android)

Ús : descompileu i torneu a compilar un APK per veure què hi ha dins. Això és perfecte per llegir AndroidManifest.xml, examinar recursos o ajustar l'aplicació.

apktool d app.apk -o output_director

JADX (Android)

Ús : Converteix el codi de bytes de Dalvik (.dex) en Java llegible. Ideal per detectar línies de codi amb vulnerabilitats potencials, com ara les claus de l'API.

jadx app.apk -d output_directory

Class-Dump, Hopper, Ghidra (iOS)

Ús : extreu les capçaleres de classe Objective-C (Class-Dump) o desmunteu els binaris iOS (Hopper/Ghidra). Si l'aplicació ha estat Swiftified, també veureu les metadades de Swift.

Exemples

Android

• Divulgació d'informació

• Les aplicacions d'Android es poden descompilar dels seus fitxers APK mitjançant eines com APKTool , JADX o MobSF .

  Aquest procés revela el codi font, l'estructura de l'aplicació i components sensibles com els fitxers AndroidManifest.xml o .smali, que poden exposar la lògica i els permisos de l'aplicació.

  
  

• Permet el trànsit de text clar

<application android:usesCleartextTraffic="true" />

Els atacants poden explotar la comunicació no xifrada (HTTP) per a escoltar o manipular.

• Aplicació depurable

<application android:debuggable="true" />

Qualsevol persona amb un dispositiu (o emulador) pot connectar un depurador i recórrer dades o lògica sensibles.

• Claus API codificades

public class ApiClient { private static final String API_KEY = "12345-abcdef-67890"; private static final String API_SECRET = "superSecretPassword123!"; }

Una descompilació ràpida amb APKTool o JADX revela aquestes claus, permetent als atacants suplantar la identitat de l'aplicació o accedir als serveis de fons sense autorització.

• Dades sensibles en text pla

<map> <string name="session_token">abc123XYZ987</string> <string name="user_email">user@example.com</string> </map>

Si les fitxes o les dades de l'usuari s'emmagatzemen en text sense format, un dispositiu arrelat els pot extreure fàcilment.

iOS

• Info.plist mal configurat

<key>NSAppTransportSecurity</key> <dict>

<key>NSAllowsArbitraryLoads</key> <true/> </dict>

Apple imposa connexions segures de manera predeterminada, de manera que anul·lar-ho obre l'aplicació als riscos MITM o al trànsit no xifrat.

Les eines de descompilació com Class-Dump , Hopper Disassembler i Ghidra extreuen el contingut del fitxer IPA de l'aplicació, incloses les classes Objective-C, els noms de mètodes i els fitxers binaris.

Anàlisi dinàmica (DAST)

Si l'anàlisi estàtica està estudiant el plànol d'un castell, l'anàlisi dinàmica és caminar per dins del castell mentre revisa totes les portes i finestres. Executem l'aplicació, observem com es comporta i veiem si podem explotar alguna debilitat en temps real.

Àrees clau per centrar-se

1. Comunicació en xarxa

   Assegura't que les dades de la teva aplicació no es filtren durant el trànsit. Si la vostra aplicació es basa en HTTP o en HTTPS mal configurat, un atacant pot intervenir, interceptar o fins i tot modificar les dades. El mateix passa amb la fixació de certificats SSL/TLS mancats o febles, exposant la vostra aplicació a atacs d'home-in-the-middle (MITM).

2. Autenticació i autorització

   Fins i tot si les pantalles d'inici de sessió i els rols d'usuari semblen sòlids al paper, la veritable prova és si algú pot evitar-los en temps d'execució. Per exemple, pot un atacant reutilitzar fitxes de sessió o endevinar-los? L'aplicació s'espera correctament o manté les sessions obertes per sempre?

3. Comprovacions d'integritat i seguretat en temps d'execució

   Moltes aplicacions intenten detectar si un dispositiu està arrelat (Android) o jailbreak (iOS) i després es neguen a executar o bloquejar determinades funcions. Durant l'anàlisi dinàmica, voleu veure si podeu passar per davant d'aquestes comprovacions connectant-vos al codi de l'aplicació, de manera que podeu seguir fent proves de totes maneres. Si podeu evitar aquestes mesures fàcilment, els atacants també ho poden fer.

4. Fuga de dades durant l'execució

   L'aplicació registra informació sensible (com ara contrasenyes o testimonis) en text sense format? Quan canvieu d'aplicació o de fons del dispositiu, la pantalla capturada amb dades confidencials encara es mostren? Aquest tipus de rastre no intencionat pot portar els atacants directament al tresor.

5. API i verificació del costat del servidor

   L'aplicació pot semblar segura des de la perspectiva del client, però si l'API de fons no valida els permisos o les entrades de l'usuari, un atacant podria modificar les sol·licituds sobre la marxa per obtenir accés no autoritzat o trencar el sistema. És crucial provar tant el comportament del client com el del servidor en tàndem.

Llista de verificació MSTG

La Guia de proves de seguretat mòbil (MSTG) també cobreix l'anàlisi dinàmica. Aquí teniu algunes comprovacions a tenir en compte:

• [ ] MSTG-RESILIENCE-1 : l'aplicació detecta i evita els intents de manipulació o enginyeria inversa.

• [ ] MSTG-RESILIENCE-2 : l'aplicació detecta dispositius arrelats o amb jailbreak.

• [ ] MSTG-RESILIENCE-3 : l'aplicació valida la integritat del seu codi i recursos en temps d'execució.

• [ ] MSTG-NETWORK-1 : l'aplicació xifra tot el trànsit de la xarxa mitjançant una criptografia forta.

• [ ] MSTG-NETWORK-3 : l'aplicació fa complir la fixació del certificat si escau.

• [ ] MSTG-PLATFORM-1 : l'aplicació no es basa només en els mecanismes de seguretat de la plataforma i fa complir les mesures de seguretat de manera independent.

• [ ] MSTG-AUTH-2 : l'aplicació aplica correctament els temps d'espera de la sessió i els requisits de re-autenticació de l'usuari.

• [ ] MSTG-STORAGE-4 : l'aplicació no registra dades sensibles als registres del sistema.

• [ ] MSTG-STORAGE-5 : l'aplicació no emmagatzema dades sensibles en una ubicació insegura.

• [ ] MSTG-CRYPTO-1 : l'aplicació utilitza algorismes criptogràfics actualitzats per a les operacions en temps d'execució.

  
  

Penseu en aquests com un full de ruta per a les vostres proves del món real. T'ajuden a colpejar sistemàticament cada porta i finestra per confirmar que està tancada.

Eines DAST

A diferència de SAST, que se centra en la inspecció del codi, DAST gira al voltant de l'execució de l'aplicació i la comprovació. A continuació es mostren les eines populars per fer que aquest procés sigui més suau:

Burp Suite / OWASP ZAP

Ús : tots dos estan interceptant servidors intermediaris que us permeten capturar i modificar el trànsit entre l'aplicació i els servidors de fons. Ideal per detectar punts finals insegurs, errors de sessió o filtracions de dades.

Frida

Ús : un conjunt d'eines d'instrumentació dinàmica que s'enganxa als processos en execució, ajudant-vos a evitar la fixació SSL, la detecció d'arrel/jailbreak o altres restriccions del costat del client.

Comandes comuns de Frida

Drozer (Android)

Ús : se centra a escanejar components d'Android com ara activitats, serveis, receptors de difusió i proveïdors de contingut per detectar debilitats de seguretat.

Ordres comuns de Drozer

objecció

Ús : construït a Frida, però amb ordres més senzilles per a tasques com desactivar la fixació SSL o explorar el sistema de fitxers de l'aplicació. Perfecte si no ets un guru dels scripts.

Ordres comuns d'objecció

Exemples

Android

• Interceptació i modificació de la xarxa

Mitjançant l'encaminament del trànsit d'Android mitjançant una eina com Burp Suite , els provadors poden interceptar i modificar les sol·licituds. Per exemple, si l'aplicació envia credencials a través d'HTTP o no valida correctament els certificats TLS, un atacant podria dur a terme atacs d'home-in-the-middle (MITM) .

POST /login HTTP/1.1 Host: api.example.com Content-Type: application/json { "username": "test_user", "password": "secret_password" }

Els testimonis de sessió, les dades personals o la informació de pagament es podrien exposar o manipular.

• Registres de depuració que revelen dades sensibles

03-09 12:34:56.789 1234 5678 I MyAppLogger: User token = "abc123XYZ987" 03-09 12:34:56.789 1234 5678 I MyAppLogger: Payment info: "card_number=4111111111111111"

Qualsevol persona amb ADB (o una aplicació maliciosa) podria llegir aquests registres i explotar-los.

• Activitats insegures/Proveïdors de contingut

  
  

Amb Drozer , els provadors poden descobrir activitats exportades o proveïdors de contingut que no requereixen autenticació.

drozer console connect run app.provider.query

content://com.example.app.provider/users

Si les dades es retornen sense els permisos adequats, els atacants poden llegir o modificar la informació d'un usuari.

• Evitant la detecció d'arrel

Eines com Frida o Objection us permeten evitar la detecció d'arrel o les comprovacions de fixació SSL en temps d'execució:

frida -U -n com.example.app --eval "..." objection -g com.example.app explore android sslpinning disable android root disable ios sslpinning disable ios root disable

Els atacants de telèfons arrelats poden continuar provant o connectant-se a funcions sensibles, revelant secrets o manipulant la lògica de l'aplicació.

iOS

• Bypass de detecció de jailbreak

Moltes aplicacions d'iOS no s'executaran si detecten un telèfon jailbreak . Amb Frida , podeu connectar i anul·lar el mètode de detecció:

Interceptor.attach(Module.findExportByName(null, "jailbreakDetectionFunction"), { onEnter: function (args) { console.log("Bypassed jailbreak check!"); // Force return a 'clean' status } });

Els atacants poden executar l'aplicació en dispositius compromesos i remenar dades o ganxos.

• Dades sensibles als registres del sistema

2023-03-09 12:34:56.789 MyApp[1234:5678] Payment info: card_number=4111111111111111 2023-03-09 12:34:56.789 MyApp[1234:5678] session_token=abc123XYZ987

En dispositius jailbreaks (o mitjançant la recollida de registres externs), els atacants recullen dades sensibles directament.

Reptes comuns en Pentesting mòbil

• Fragmentació de la plataforma : els dispositius Android varien àmpliament en versions del sistema operatiu, ROM personalitzades i modificacions del fabricant, cosa que fa que les proves siguin complexes.
• Mesures de seguretat de l'aplicació : funcions com la fixació SSL, la detecció d'arrel/jailbreak i l'ofuscament poden dificultar el pentesting.
• Accés limitat al codi font : les proves de caixa negra sovint requereixen enginyeria inversa amb eines com APKTool o JADX, que poden consumir molt de temps.
• Restriccions d'anàlisi dinàmica : la zona de sorra, la protecció de la memòria i la necessitat de dispositius arrelats/jailbreaks compliquen les proves de flux de treball del món real.
• Seguretat de la xarxa i inspecció de trànsit : la fixació SSL, la validació de certificats o les VPN poden impedir els servidors intermediaris MITM estàndard. Eines com Frida , Burp Suite i mitmproxy esdevenen essencials per al bypass.

Preguntes freqüents (FAQ)

• Què és el pentesting mòbil?

  Està provant la seguretat d'una aplicació mòbil simulant atacs del món real, buscant qualsevol esquerda abans que ho facin els atacants.

• Per què és important el pentesting mòbil?

  Com que els telèfons intel·ligents contenen una gran quantitat de dades personals i financeres, són els principals objectius per als ciberdelinqüents.

• Quins són els passos principals?

  • Configureu un entorn controlat, feu anàlisi estàtica (SAST), feu anàlisi dinàmic (DAST), documenteu les troballes i torneu a provar després de les correccions.

• Quines eines necessito?

  Burp Suite o ZAP per a la intercepció del trànsit, MobSF per a les exploracions, APKTool/JADX (Android), Class-Dump/Hopper (iOS), a més d'eines de connexió com Frida o Objection.

• Amb quina freqüència hem de pentest?

  Després d'actualitzacions importants, noves funcions o canvis importants en la infraestructura. Idealment, integreu-lo a CI/CD per a comprovacions contínues.

• Quines són les vulnerabilitats comunes?

  Emmagatzematge de dades insegur, sense HTTPS, secrets codificats, mala gestió de sessions i API mal configurades.

• Es pot automatitzar tot?

  Realment no. Les eines poden automatitzar algunes exploracions, però les proves manuals descobreixen defectes lògics més complicats o regles empresarials complexes.

• Hem de provar tant Android com iOS?

  Sí, cadascun té models de seguretat i inconvenients únics.

• És legal pentest?

  Absolutament, si teniu permís explícit del propietari de l'aplicació. En cas contrari, és il·legal.

• Per on començo?

  Estudieu la Guia de proves de seguretat mòbil (MASTG) de l'OWASP , apreneu la marxa enrere bàsica i practiqueu amb aplicacions de codi obert o objectius de mostra.

Conclusió

El pentesting mòbil és com una gran recerca : comenceu recollint equip (eines i dispositius), després exploreu el terreny (SAST) i, finalment, feu una aproximació pràctica (DAST) per trobar tots els punts febles. Si ho feu amb regularitat i informeu de les vostres conclusions, mantindreu les vostres aplicacions sòlides i els vostres usuaris segurs.

Recordeu: el programari evoluciona cada dia, i les amenaces també. Feu que el pentesting sigui una part contínua del vostre cicle de vida de desenvolupament, perquè la millor manera d'assegurar un regne és no baixar mai la guàrdia.

Sobre l'autor

Aquest article va ser preparat per Anastasiia Tolkachova , enginyera de proves de seguretat a Sekurno , i revisat per Alex Rozhniatovsky , CTO de Sekurno . Anastasiia té més de cinc anys d'experiència pràctica en proves de penetració i avaluacions de seguretat. Està especialitzada en provar aplicacions web, infraestructures (tant on premises com al núvol) i plataformes mòbils (iOS i Android). La seva experiència abasta les metodologies Black Box, Grey Box i White Box, juntament amb la competència en avaluacions de vulnerabilitats i revisions de seguretat del codi font.

Alex té set anys d'experiència en desenvolupament i ciberseguretat. És un col·laborador de codi obert d'AWS dedicat a avançar en pràctiques de codificació segura. La seva experiència crea un pont entre el desenvolupament de programari i la seguretat, proporcionant informació valuosa sobre la protecció de les aplicacions web modernes.

Guia de Pentesting mòbil: referències

Eines i Recursos

1. Mobile-Security-Framework-MobSF
2. Apktool
3. jadx
4. Suite Burp
5. Frida
6. Drozer
7. objecció
8. Genymotion
9. Maquinari virtual Corellium
10. appledb.dev
11. reFlutter
12. plataforma-eines
13. Magisc
14. Verificador d'arrel
15. checkra1n
16. destapar
17. Filza

Guies i articles

1. OWASP Mobile Top 10
2. Seguretat d'aplicacions mòbils OWASP
3. OWASP MASTG
4. NIST SP 800-163
5. Baixeu i instal·leu Android Studio
6. Configuració d'un dispositiu Android perquè funcioni amb Burp Suite
7. Configuració d'un dispositiu iOS perquè funcioni amb Burp Suite Professional
8. Pirateria d'aplicacions Xamarin