BSides 2014 Ed 10 - Obtendo informações pessoais do seu Android com uma calculadora. Agora no...
Click here to load reader
-
Upload
rafael-tosetto-pimentel -
Category
Mobile
-
view
62 -
download
1
description
Transcript of BSides 2014 Ed 10 - Obtendo informações pessoais do seu Android com uma calculadora. Agora no...
Obtendo Informações Pessoais do seu Android com uma Calculadora
Rafael Tosetto
Tecnólogo em Redes
MBA em Segurança da Informação
Drozer Framework
• Client/Servidor
• Client no Windows via MS-DOS
• Servidor no Android
• Permissões– Acesso total a rede– Leitura do dispositivo de armazenamento externo
Engenharia Reversa
• APKTool– AndroidManifest.XML
Link: http://youtu.be/6UyaJe9IsBk
Demonstração
• Utilizando cabo USB com modo de depuração USB ativado– Também funciona apenas com Wi-fi
• Galaxy S5 - Android Kitkat 4.4.2
Etapas
1. Realizar a conexão do Drozer com o Android
2. Explorar os diretórios do cartão de memória
3. Fazer download de uma foto
Link: http://youtu.be/EhcDDmBPf-Y
Como se proteger
Como se proteger
• Suspeite de permissões não condizentes com o aplicativo
• Usar criptografia
• Não fazer root
• Dar preferência para aplicativos com boa reputação
• Instalar aplicativos apenas do Google Play
Scan de APK
• Sites de análise de APK
– Virus Total: https://www.virustotal.com/
– Andrubis: http://anubis.iseclab.org/
– Copper Droid: http://copperdroid.isg.rhul.ac.uk/copperdroid/
E com acesso 3G?
• Chips da Claro e Oi não responderam a requisição
• Drozer estabelece conexão no chip da TIM e faz a exploração via 3G (Testado no Gingerbread)