Forense Smarthpone
Forense Smarthpone
Forense Smarthpone
Actividad 2
CLAUDIA FERNÁNDEZ GUTIÉRREZ
ÍNDICE DE CONTENIDOS
OBJETIVOS 2
SELECCIÓN DE APKS 2
HERRAMIENTAS USADAS 2
MASTG ANDROID 4
- ALCALCE 4
- RECOLECCIÓN DE INFORMACIÓN 5
- ANÁLISIS ESTÁTICO 6
- ANÁLISIS DINÁMICO 15
LUCKY PATCHER 21
- ALCALCE 21
- RECOLECCIÓN DE INFORMACIÓN 22
- ANÁLISIS DINÁMICO 29
UPTODOWN 31
- ALCALCE 31
- RECOLECCIÓN DE INFORMACIÓN 33
- ANÁLISIS DINÁMICO 40
OBJETIVOS
Para el análisis se han de utilizar tanto herramientas stand-alone como online, de manera
que produzcan resultados complementarios y completen un análisis exhaustivo de las
aplicaciones. Una vez seleccionadas las herramientas se puede organizar el trabajo de
análisis siguiendo las siguientes tareas:
1. Definir el alcance.
2. Recolección de información, como especificaciones técnicas,
3. Análisis estático (observar recursos de la app, código fuente, ficheros de
configuración…)
4. Análisis dinámico (ejecutar la app y monitorizar la actividad)
SELECCIÓN DE APKS
HERRAMIENTAS USADAS
Las herramientas que han sido usadas para realizar el análisis completo de la aplicación
son las siguientes:
ALCALCE
OBJETIVO
ASPECTOS A EVALUAR
ENTREGABLES
ESPECIFICACIONES TÉCNICAS
MÁS INFORMACIÓN
Puesto que se trata de una aplicación orientada a fines educativos su wiki cuenta con
información acerca de los diferentes casos de pruebas existentes:
VIRUS TOTAL
MOBSF
Severida
Nº Vulnerabilidad
d
1 Versión vulnerable de Android Alta
La aplicación puede ser instalada en una versión vulnerable de Android (Android 5.0-
5.0.2, [minSDK=21]
Una APK de producción no debería serlo, ya que implica poder adjuntar un depurador de
Java a la aplicación en ejecución, inspeccionarla en tiempo real, establecer puntos de
interrupción, avanzar paso a paso, recompilar valores de variables e incluso cambiarlos:
Severida
Nº Vulnerabilidad Descripción
d
ANÁLISIS DE ARCHIVOS
Clase: BuildConfig
Clase: OMTG_DATAST_002_Logging
OWASP Top 10: M5: Insufficient
3 Encriptación débil Alta
Cryptography
Clase: OMTG_DATAST_002_Logging
Clase: OMTG_CODING_003_SQL_Injection
Clase: OMTG_CODING_003_SQL_Injection_Content_Provider
Clase: OMTG_DATAST_001_SharedPreferences
Clase: OMTG_ENV_005_WebView_Remote
Canal de comunicación
7 OWASP: Insecure Communication Alta
inseguro
Clase: OMTG_NETW_001_Secure_Channel
Clase: OMTG_DATAST_001_InternalStorage
Clase: OMTG_DATAST_001_ExternalStorage
Clase: OMTG_DATAST_001_SQLite_Not_Encrypted
Clase : MyApplication.java
EJECUCIÓN DE LA APLICACIÓN
1. Aplicación Debugeable
2. Backup
Para poder acceder a la carpeta donde se encuentra los archivos del almacenamiento
interno debemos acceder al shell del dispositivo. Una vez ahí nos dirigimos a la
siguiente ruta data/data/{nombre_paquete}/files:
5. External Storage
6. Shared Preferences,
7. SqLite
Se crea una base de datos SQLite sin ningún tipo de encriptación, por lo que se
puede acceder a ella y ver sus contenidos. Para acceder a las bases de datos debemos
ir a la siguiente ruta data/data/{nombre_paquete}/databases:
8. Logging
Pero como podemos ver ha saltado una excepción por lo que no se ha completado:
LUCKY PATCHER
ALCALCE
OBJETIVO
ASPECTOS A EVALUAR
ENTREGABLES
El activo a analizar es Lucky Patcher es una herramienta para modificar apps y obtener
acceso sin límites a aplicaciones y juegos Android.
ESPECIFICACIONES TÉCNICAS
MÁS INFORMACIÓN
En su sitio web podemos ver más información sobre ella. Se trata de una aplicación que
esta desactivada en el Play Store, por lo que la única forma de instalarla es mediante
webs no oficiales. Según la web, se trata de una app completamente segura a pesar de
que el dispositivo la detecte como virus o malware. Su funcionamiento se basa en
acceder a diferentes aplicaciones y modificarlas según las necesidades del usuario.
VIRUS TOTAL
Si nos fijamos en el resultado de Detección de VirusTotal podemos ver que uno de los
proveedores de seguridad la ha calificado como Malware:
La activación de ambas reglas no tiene por qué estar relacionado con un problema
graves simplemente han sido identificadas como sospechosas.
MOBSF
Los resultados del análisis estático realizado por MobSF la califica con un riesgo alto
(37/100) y un grado C.
MANIFEST
En el manifest podemos ver que hay un total de 20 permisos de los cuales 11 son
considerados como peligrosos:
La aplicación puede ser instalada en una versión anterior de Android con múltiples
vulnerabilidades no corregidas.
(com.facebook.CustomTabActivity/ cm.aptoide.pt.DeepLinkIntentReceive)
[android:name=cm.aptoide.pt.DeepLinkIntentReceiver]
[android:host=http://webservices.aptoide.com]
[android:host=http://become-a-power-gamer.aptoide.com]
cm.aptoide.pt.wallet.WalletInstallActivity, cm.aptoide.pt.view.MainActivity
7 Component not Protected Warning
Se han encontrado componentes que comparte con otras aplicaciones en el dispositivo, por
lo que lo deja accesible para cualquier otra aplicación en esta. La presencia de intent-filter
indica que el servicio se exporta explícitamente. (Service, Content Provider, Activity,
Broadcast Receiver)
cm.aptoide.pt.toolbox.ToolboxContentProvider, cm.aptoide.pt.account.AccountAuthenticatorService
com.facebook.CustomTabActivity, cm.aptoide.pt.DeepLinkIntentReceiver,
cm.aptoide.pt.notification.NotificationReceiver, cm.aptoide.pt.install.CheckRootOnBoot,
m.aptoide.pt.widget.SearchWidgetProvider, cm.aptoide.pt.DeepLinkIntentREceiverr
cm.aptoide.pt.install.InstalledBroadcastReceiver
Al establecer una prioridad de intención más alta que otra, la aplicación anula de manera
efectiva otras solicitudes
ANÁLISIS DE CERTFICADO
Severida
Nº Vulnerabilidad Descripción
d
ANÁLISIS DE ARCHIVOS
Severida
N Vulnerabilidad Standard
d
La aplicación usa raw SQL query, por lo que puede ser vulnerable a SQL Injection.
CWE: CWE-312: Cleartext Storage of Sensitive
Information
5 Sensitive information OWASP Top 10: M9: Reverse Engineering
Warning
OWASP MASVS: MSTG-STORAGE-14
Nombre Categoría
ANÁLISIS DINÁMICO
EJECUCIÓN DE LA APLICACIÓN
Algunas capturas dentro de la aplicación, podemos ver que aparecen todas las
aplicaciones instaladas en el dispositivo con diversas opciones que pueden realizarse
sobre ellas.
También puede modificarse el archivo APK:
Desde la propia aplicación podemos acceder a la carpeta de almacenamiento del
dispositivo:
UPTODOWN
ALCALCE
OBJETIVO
ASPECTOS A EVALUAR
ENTREGABLES
ESPECIFICACIONES TÉCNICAS
MÁS INFORMACIÓN
VIRUS TOTAL
Ninguno de los proveedores de seguridad de la web Virus Total ha considerado esta aplicación como
maliciosa:
MOBSF
En el manifest podemos ver observar que hay un total de 7 permisos, sobre los cuales no
hay mucho que destacar.
Severida
Nº Vulnerabilidad
d
1 Versión vulnerable de Android Alta
La aplicación puede ser instalada en una versión anterior de Android con múltiples
vulnerabilidades no corregidas (Android 5.0-5.0.2, [minSDK =21]).
3 BackUp Warning
Esto permite que cualquiera pueda hacer una copia de seguridad de los datos de la
aplicación a través de adb. Permite a los usuarios que han habilitado la depuración USB
copiar datos de la aplicación fuera del dispositivo.
cm.aptoide.pt.wallet.WalletInstallActivity, cm.aptoide.pt.view.MainActivity
com.uptodown.tv.ui.activity.TvMainActivity, com.uptodown.core.activities.InstallerActivity,
com.uptodown.activities.SearchActivity, com.uptodown.receivers.BootDeviceReceive,
com.uptodown.receivers.MyAppUpdatedReceiver,
com.google.android.gms.auth.api.signin.RevocationBoundService,
com.google.firebase.iid.FirebaseInstanceIdReceiver,
androidx.work.impl.background.systemjob.SystemJobService,
androidx.work.impl.diagnostics.DiagnosticsReceiver, androidx.profileinstaller.ProfileInstallReceiver,
com.google.firebase.iid.FirebaseInstanceIdReceiver,
com.google.android.gms.auth.api.signin.RevocationBoundService,
ndroidx.profileinstaller.ProfileInstallReceiver, androidx.work.impl.diagnostics.DiagnosticsReceiver,
androidx.work.impl.background.systemjob.SystemJobService
Al establecer una prioridad de intención más alta que otra, la aplicación anula de manera
efectiva otras solicitudes
ANÁLISIS DE CERTIFICADO
Severida
Nº Vulnerabilidad Descripción
d
La aplicación usa raw SQL query, por lo que puede ser vulnerable a SQL Injection.
TRACKERS
Nombre Categoría
EJECUCIÓN DE LA APLICACIÓN
Podemos ver que se trata de una aplicación similar al Google Play de Android, donde
poder descargar aplicaciones (apks)
Contiene incluso una opción donde muestra aplicaciones potencialmente peligrosas: