Post on 07-Jul-2015
description
Obtendo Informações Pessoais do seu Android com uma Calculadora
Rafael Tosetto
Tecnólogo em Redes
MBA em Segurança da Informação
rafaeltosettosec@gmail.com
Drozer Framework
• Client/Servidor
• Client no Windows via MS-DOS
• Servidor no Android
• Permissões– Acesso total a rede– Leitura do dispositivo de armazenamento externo
Engenharia Reversa
• APKTool– AndroidManifest.XML
Link: http://youtu.be/6UyaJe9IsBk
Demonstração
• Utilizando cabo USB com modo de depuração USB ativado– Também funciona apenas com Wi-fi
• Galaxy S5 - Android Kitkat 4.4.2
Etapas
1. Realizar a conexão do Drozer com o Android
2. Explorar os diretórios do cartão de memória
3. Fazer download de uma foto
Link: http://youtu.be/EhcDDmBPf-Y
Como se proteger
Como se proteger
• Suspeite de permissões não condizentes com o aplicativo
• Usar criptografia
• Não fazer root
• Dar preferência para aplicativos com boa reputação
• Instalar aplicativos apenas do Google Play
Scan de APK
• Sites de análise de APK
– Virus Total: https://www.virustotal.com/
– Andrubis: http://anubis.iseclab.org/
– Copper Droid: http://copperdroid.isg.rhul.ac.uk/copperdroid/
E com acesso 3G?
• Chips da Claro e Oi não responderam a requisição
• Drozer estabelece conexão no chip da TIM e faz a exploração via 3G (Testado no Gingerbread)
OBRIGADO!
E-mail: rafaeltosettosec@gmail.com
www.slideshare.net/rafaeltosettoyoutube.com/rafaeltosettosec