En los tiempos que vivimos, hay veces en las que se nos da una situación en la que necesitamos saber si una aplicación es segura.

No existen herramientas de botonazo, es decir, una herramienta con un botón al que pulsas y nos resuelve la vida. Pero, a pesar de no existir, podemos encontrar una herramienta lo más parecida al gran botón, MOBSF.

MOBSF o Mobile Security Framework es una herramienta open source fácil de instalar y con poco que envidiar a herramientas de pago. Nosotros, desde Derecho de la Red queremos comenzar una serie de artículos hablando de este tipo de herramientas poco a poco. Digamos que vuelven los #DomingosdeCacharreo.

Para ello, hemos cogido una máquina antigua, hemos instalado Linux sobre ella y la hemos convertido en nuestro servidor. Ahora, será nuestra máquina de análisis, reconocimiento y operaciones de cacharreo máximo.

Disclaimer: Sí, es una herramienta muy usada y que seguro que muchos la conocéis, pero queremos ponerla igual 😜, sinceramente, nos encanta 😎.

Instalación

Para poder instalar nuestra querida herramienta debemos contar con estos enlaces:

https://github.com/MobSF/Mobile-Security-Framework-MobSF https://mobsf.github.io/docs/

Si estás en Linux (existe para el resto de SO os recomendamos mirar la documentación oficial), primero deberás instalar los requerimientos, en este caso:

sudo apt install python3-dev python3-venv python3-pip build-essential libffi-dev libssl-dev libxml2-dev libxslt1-dev libjpeg8-dev zlib1g-dev wkhtmltopdf

Además deberemos tener instalado en nuestro equipo:

  • Install Git sudo apt get install git
  • Install Python 3.7/3.8 sudo apt-get install python3.7
  • Install JDK 8+ sudo apt-get install openjdk-8-jdk

Esto para el análisis estático, para el dinámico (siempre que estéis en un servidor como nosotros, en lugar de en una máquina virtual) deberéis instalar Genymotion o Genymotion Cloud VM or Android Studio Emulator.

Una vez tenemos esto, pasamos a la instalación:

git clone https://github.com/MobSF/Mobile-Security-Framework-MobSF.git
cd Mobile-Security-Framework-MobSF
./setup.sh

Listo, ya lo tenemos, ahora solo falta arrancarlo. La documentación nos da como ejemplo:

./run.sh 127.0.0.1:8000

Pero nosotros lo tenemos en nuestro servidor, así que lo pondremos visible de puertas pa fuera en nuestra red:

Y ahora lo tenemos para nosotros disponible y activo en nuestra red, aquí podéis ver un par de análisis estáticos que hemos podido hacer en un rato libre (11:04pm 😂 ) para enseñaros el funcionamiento de la herramienta:

Para el análisis dinámico solo hay que seguir igualmente las instrucciones: https://mobsf.github.io/docs/#/dynamic_analyzer

Modo de uso

Una vez accedemos a la IP (por ejemplo en mi caso 192.168.1.37:8000) lo primero que veremos será lo siguiente:

Para realizar el análisis bastará con subir el fichero y analizarlo. Bien, en nuestro caso hemos subido una apk random. Veamos a ver qué pasa.

Nota: el análisis puede durar un poco más si la máquina en la que está funcionando tiene pocos recursos.

Resultados

Una vez se termina el proceso la herramienta nos devuelve los siguientes resultados, ya podemos ir viendo mucha información sobre la misma.

A la derecha, como se puede ver en la imagen anterior, diversas categorizaciones de los datos recolectados. Me gustaría destacar diversos datos de los mismos.

Los permisos de Android, un punto clave para saber si realmente la aplicación que vamos a utilizar necesita los permisos que aparentemente necesitaría una app de su clase o por el contrario abusa de éstos.

El análisis de seguridad, en el cual podemos ver todas las vulnerabilidades que se detectan en la aplicación.

El análisis de malware, que detecta todas las conexiones que realiza y comprueba la reputación de las mismas, para detectar así IOCs.

Y, dentro de la parte de reconocimiento la parte de los de los «Harcoded Secrets«:

En el cual podremos ver por ejemplo claves de APIs si las hay, así como otras posibles credenciales.

Informes

La propia herramienta, nos posibilita un apartado en el cual podremos exportar estos datos a un informe en PDF. Os dejamos con unas imágenes para que podáis ver un ejemplo de los mismos:

Esperemos que os haya gustado, que os sea de utilidad y que, por favor, si tenéis alguna cuestión al respecto no dudéis en dejarlas en los comentarios y os responderemos lo antes posible.

¡Nos vemos en el próximo 👋!

___________________________________

Recordaros que podéis seguirnos en nuestro Twitter, Instagram y Telegram.

Si te gusta la labor que realizamos a diario…

Autor.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Acerca de Luis Diago de Aguilar

Senior Security Consultant, Cyber Security & IT Governance | Derecho de la Red & t.me/cti_espana | Programador | Cibercooperante

Categoría

CiberInteligencia, Cyber, Guias, Noticia, Recursos

Etiquetas