PDF de programación - Mobile Security

Mobile Security…

Jeffrey Borbón Sanabria

@eljeffto

Las 5 preguntas

!   ¿Por qué?
!   ¿Para qué?
!   ¿Quién?
!   ¿Dónde?
!   ¿Cómo?

Estadísticas

•  Total mobile cellular subscriptions reached almost 6 billion
by end 2011, corresponding to a global penetration of 86%.

Fuente: Wikipedia y http://www.itu.int/net/pressoffice/press_releases/2012/70.aspx#.UVLbAxn_AXw

Análisis de objetivos

Las aplicaciones

NATIVAS WEB(JS/HTML5) HIBRIDAS

Las aplicaciones

¿Cómo analizarlas y hacerles

pruebas de intrusión?

OWASP Mobile Security Project

•  Obtención de Información
•  Análisis Estático
•  Análisis Dinámico

Obtención de información
•  SO
•  Protocolos utilizados
•  Tipo de conexión de red empleada
•  Interacción de la aplicación con otras
•  Acceso a información del dispositivo
•  Lenguajes empleados
•  Comunicación con servidor y medios
•  Errores, fallos y comportamientos

Análisis Estático

•  Obtener y analizar el código
•  Identificar Frameworks empleados
•  Archivos de la aplicación
•  Autenticación
•  Autorización
•  Manejo de sesiones
•  Almacenamiento de datos
•  Publicación de información
•  Redes, seguridad en protocolos

Hibrida, WS)

Análisis Dinámico
•  Tipo de aplicación (Nativa, Web,
•  Depuración de la aplicación
•  Ataques Web
•  Análisis de memoria
•  Cifrado de información
•  Análisis de datos en tránsito
•  Ataque al servidor
•  Ataques más elaborados…

Fallos a tener en cuenta

Herramientas…

Herramientas…

Herramientas…

Herramientas…

Herramientas…

desarrollo de Android)

•  Android Develpment Tools (Herramientas de
•  Android SDK (Entorno de desarrollo de Android)
•  XCode (Ejecución de aplicaciones sobre iOS)
•  Yasca (Analizador de código JAVASCRIPT)
•  Understand (Analizador de código C++, JAVA y
•  OWASP-ZAP (Proxy para análisis de aplicaciones web)
•  Burp Suite (Proxy para análisis de aplicaciones web)
•  Wireshark (Analizador de tráfico)
•  Smartphone Pentest Framework (Android)
•  La imaginación…

JAVASCRIPT)

Conclusión

Hay mucho por hacer !