Obtendo Informações Pessoais do seu Android com uma Calculadora

Rafael Tosetto

Tecnólogo em Redes

MBA em Segurança da Informação

rafaeltosettosec@gmail.com

Drozer Framework

• Client/Servidor

• Client no Windows via MS-DOS

• Servidor no Android

• Permissões– Acesso total a rede– Leitura do dispositivo de armazenamento externo

Engenharia Reversa

• APKTool– AndroidManifest.XML

Link: http://youtu.be/6UyaJe9IsBk

Demonstração

• Utilizando cabo USB com modo de depuração USB ativado– Também funciona apenas com Wi-fi

• Galaxy S5 - Android Kitkat 4.4.2

Etapas

1. Realizar a conexão do Drozer com o Android

2. Explorar os diretórios do cartão de memória

3. Fazer download de uma foto

Link: http://youtu.be/EhcDDmBPf-Y

Como se proteger

Como se proteger

• Suspeite de permissões não condizentes com o aplicativo

• Usar criptografia

• Não fazer root

• Dar preferência para aplicativos com boa reputação

• Instalar aplicativos apenas do Google Play

Scan de APK

• Sites de análise de APK

– Virus Total: https://www.virustotal.com/

– Andrubis: http://anubis.iseclab.org/

– Copper Droid: http://copperdroid.isg.rhul.ac.uk/copperdroid/

E com acesso 3G?

• Chips da Claro e Oi não responderam a requisição

• Drozer estabelece conexão no chip da TIM e faz a exploração via 3G (Testado no Gingerbread)

OBRIGADO!

E-mail: rafaeltosettosec@gmail.com

www.slideshare.net/rafaeltosettoyoutube.com/rafaeltosettosec