Guía para el análisis de vulnerabilidades en aplicaciones ...a para... · Sistema Operativo...
Transcript of Guía para el análisis de vulnerabilidades en aplicaciones ...a para... · Sistema Operativo...
![Page 1: Guía para el análisis de vulnerabilidades en aplicaciones ...a para... · Sistema Operativo Windows Phone. Guía de análisis de vulnerabilidades El ciclo de vida de una aplicación](https://reader034.fdocuments.co/reader034/viewer/2022050316/5f7808a707c1c8215437d469/html5/thumbnails/1.jpg)
Guía para el análisis de vulnerabilidades en aplicaciones
móviles
Juan Alberto Camacho Bolaños Félix Alejandro Hernández Fuentes
![Page 2: Guía para el análisis de vulnerabilidades en aplicaciones ...a para... · Sistema Operativo Windows Phone. Guía de análisis de vulnerabilidades El ciclo de vida de una aplicación](https://reader034.fdocuments.co/reader034/viewer/2022050316/5f7808a707c1c8215437d469/html5/thumbnails/2.jpg)
Objetivo
![Page 3: Guía para el análisis de vulnerabilidades en aplicaciones ...a para... · Sistema Operativo Windows Phone. Guía de análisis de vulnerabilidades El ciclo de vida de una aplicación](https://reader034.fdocuments.co/reader034/viewer/2022050316/5f7808a707c1c8215437d469/html5/thumbnails/3.jpg)
1. Controles insuficientes del lado del servidor
2. Almacenamiento inseguro de datos
3. Protección insuficiente en la
capa de transporte
4. Fuga de datos no intencional
5. Mecanismos de autenticación y
autorización deficientes
6. Uso de algoritmos de
cifrado que han sido comprometidos
7. Inyecciones del lado del cliente
8. Decisiones de seguridad a través
de entradas no confiables
9. Mal manejo de sesiones
10. Falta de protección en
binarios
Top 10 de vulnerabilidades en aplicaciones móviles
OWASP, 2014
![Page 4: Guía para el análisis de vulnerabilidades en aplicaciones ...a para... · Sistema Operativo Windows Phone. Guía de análisis de vulnerabilidades El ciclo de vida de una aplicación](https://reader034.fdocuments.co/reader034/viewer/2022050316/5f7808a707c1c8215437d469/html5/thumbnails/4.jpg)
Sistema Operativo Android
![Page 5: Guía para el análisis de vulnerabilidades en aplicaciones ...a para... · Sistema Operativo Windows Phone. Guía de análisis de vulnerabilidades El ciclo de vida de una aplicación](https://reader034.fdocuments.co/reader034/viewer/2022050316/5f7808a707c1c8215437d469/html5/thumbnails/5.jpg)
Sistema Operativo iOS
![Page 6: Guía para el análisis de vulnerabilidades en aplicaciones ...a para... · Sistema Operativo Windows Phone. Guía de análisis de vulnerabilidades El ciclo de vida de una aplicación](https://reader034.fdocuments.co/reader034/viewer/2022050316/5f7808a707c1c8215437d469/html5/thumbnails/6.jpg)
Sistema Operativo Windows Phone
![Page 7: Guía para el análisis de vulnerabilidades en aplicaciones ...a para... · Sistema Operativo Windows Phone. Guía de análisis de vulnerabilidades El ciclo de vida de una aplicación](https://reader034.fdocuments.co/reader034/viewer/2022050316/5f7808a707c1c8215437d469/html5/thumbnails/7.jpg)
Guía de análisis de vulnerabilidades
El ciclo de vida de una aplicación móvil depende principalmente de:
Servidor donde se almacenará la información de la aplicación
Canal de comunicación
Aplicación móvil
![Page 8: Guía para el análisis de vulnerabilidades en aplicaciones ...a para... · Sistema Operativo Windows Phone. Guía de análisis de vulnerabilidades El ciclo de vida de una aplicación](https://reader034.fdocuments.co/reader034/viewer/2022050316/5f7808a707c1c8215437d469/html5/thumbnails/8.jpg)
Las aplicaciones utilizan una arquitectura cliente servidor
![Page 9: Guía para el análisis de vulnerabilidades en aplicaciones ...a para... · Sistema Operativo Windows Phone. Guía de análisis de vulnerabilidades El ciclo de vida de una aplicación](https://reader034.fdocuments.co/reader034/viewer/2022050316/5f7808a707c1c8215437d469/html5/thumbnails/9.jpg)
Guía para el análisis de vulnerabilidades
Creación de un laboratorio de pruebas con
todas las herramientas necesarias
Análisis estático
Análisis dinámico
![Page 10: Guía para el análisis de vulnerabilidades en aplicaciones ...a para... · Sistema Operativo Windows Phone. Guía de análisis de vulnerabilidades El ciclo de vida de una aplicación](https://reader034.fdocuments.co/reader034/viewer/2022050316/5f7808a707c1c8215437d469/html5/thumbnails/10.jpg)
Guía para el análisis de vulnerabilidades
•Análisis estático
Descifrado de la aplicación
(si se requiere)
Desempaquetado de la aplicación
(si es posible)
Identificación de archivos de configuración
de la aplicación
Buscar información potencialmente
sensible en archivos de
configuración
Decompilar/ desensamblar la aplicación
Realizar auditoria sobre el código
generado
![Page 11: Guía para el análisis de vulnerabilidades en aplicaciones ...a para... · Sistema Operativo Windows Phone. Guía de análisis de vulnerabilidades El ciclo de vida de una aplicación](https://reader034.fdocuments.co/reader034/viewer/2022050316/5f7808a707c1c8215437d469/html5/thumbnails/11.jpg)
Guía para el análisis de vulnerabilidades
•Análisis dinámico
Recopilación de información
Interacción con el sist. de archivos Inspeccionar objetos en memoria Llamadas a funciones y métodos Reemplazar variables y métodos Buffer overflow
Inyecciones del lado del cliente (XML, XSS, SQL)
Análisis de tráfico generado por la aplicación
Análisis de almacenamiento
de datos
Análisis en tiempo de ejecución
![Page 12: Guía para el análisis de vulnerabilidades en aplicaciones ...a para... · Sistema Operativo Windows Phone. Guía de análisis de vulnerabilidades El ciclo de vida de una aplicación](https://reader034.fdocuments.co/reader034/viewer/2022050316/5f7808a707c1c8215437d469/html5/thumbnails/12.jpg)
Demostración
• Android security bug 8219321, “Master key”
• CVE-2013-4787
• Las firmas criptográficas de las aplicaciones no son debidamente comprobadas, lo que permite a un atacante ejecutar código arbitrario a través de un APK modificado de tal forma que no se viola la firma criptográfica.
• Versiones afectadas: desde Android 1.6 (Donut) hasta 4.2 (Jelly Bean)
![Page 13: Guía para el análisis de vulnerabilidades en aplicaciones ...a para... · Sistema Operativo Windows Phone. Guía de análisis de vulnerabilidades El ciclo de vida de una aplicación](https://reader034.fdocuments.co/reader034/viewer/2022050316/5f7808a707c1c8215437d469/html5/thumbnails/13.jpg)
Estructura del APK como archivo ZIP
Análisis Estático
Desempaquetar
aplicación
Identificar
Archivos de
configuración
![Page 14: Guía para el análisis de vulnerabilidades en aplicaciones ...a para... · Sistema Operativo Windows Phone. Guía de análisis de vulnerabilidades El ciclo de vida de una aplicación](https://reader034.fdocuments.co/reader034/viewer/2022050316/5f7808a707c1c8215437d469/html5/thumbnails/14.jpg)
Estructura del APK como archivo ZIP
Análisis Estático
Mapa de la
Arquitectura
De la aplicación
![Page 15: Guía para el análisis de vulnerabilidades en aplicaciones ...a para... · Sistema Operativo Windows Phone. Guía de análisis de vulnerabilidades El ciclo de vida de una aplicación](https://reader034.fdocuments.co/reader034/viewer/2022050316/5f7808a707c1c8215437d469/html5/thumbnails/15.jpg)
Verificación de firmas de la aplicación
![Page 16: Guía para el análisis de vulnerabilidades en aplicaciones ...a para... · Sistema Operativo Windows Phone. Guía de análisis de vulnerabilidades El ciclo de vida de una aplicación](https://reader034.fdocuments.co/reader034/viewer/2022050316/5f7808a707c1c8215437d469/html5/thumbnails/16.jpg)
Verificación fallida
Análisis
Dinámico
Almacenamiento
Inseguro de datos
![Page 17: Guía para el análisis de vulnerabilidades en aplicaciones ...a para... · Sistema Operativo Windows Phone. Guía de análisis de vulnerabilidades El ciclo de vida de una aplicación](https://reader034.fdocuments.co/reader034/viewer/2022050316/5f7808a707c1c8215437d469/html5/thumbnails/17.jpg)
Duplicación de entradas
Almacenamiento
Inseguro de datos
![Page 18: Guía para el análisis de vulnerabilidades en aplicaciones ...a para... · Sistema Operativo Windows Phone. Guía de análisis de vulnerabilidades El ciclo de vida de una aplicación](https://reader034.fdocuments.co/reader034/viewer/2022050316/5f7808a707c1c8215437d469/html5/thumbnails/18.jpg)
Duplicación de entradas
Almacenamiento
Inseguro de datos
Auditar
Protección
En las entradas
![Page 19: Guía para el análisis de vulnerabilidades en aplicaciones ...a para... · Sistema Operativo Windows Phone. Guía de análisis de vulnerabilidades El ciclo de vida de una aplicación](https://reader034.fdocuments.co/reader034/viewer/2022050316/5f7808a707c1c8215437d469/html5/thumbnails/19.jpg)
Almacenamiento
Inseguro de datos
![Page 20: Guía para el análisis de vulnerabilidades en aplicaciones ...a para... · Sistema Operativo Windows Phone. Guía de análisis de vulnerabilidades El ciclo de vida de una aplicación](https://reader034.fdocuments.co/reader034/viewer/2022050316/5f7808a707c1c8215437d469/html5/thumbnails/20.jpg)
Almacenamiento
inseguro de datos
Auditar
protección
en las entradas
![Page 21: Guía para el análisis de vulnerabilidades en aplicaciones ...a para... · Sistema Operativo Windows Phone. Guía de análisis de vulnerabilidades El ciclo de vida de una aplicación](https://reader034.fdocuments.co/reader034/viewer/2022050316/5f7808a707c1c8215437d469/html5/thumbnails/21.jpg)
Almacenamiento
inseguro de datos
![Page 22: Guía para el análisis de vulnerabilidades en aplicaciones ...a para... · Sistema Operativo Windows Phone. Guía de análisis de vulnerabilidades El ciclo de vida de una aplicación](https://reader034.fdocuments.co/reader034/viewer/2022050316/5f7808a707c1c8215437d469/html5/thumbnails/22.jpg)
Almacenamiento
inseguro de datos
Listado inseguro
de datos