Embed Size (px)
DESCRIPTION
Apresentação realizada no evento BSides SP 2014 Ed 10 - Lightning Talks em 23/11/14. Adicionado o suporte ao Kitkat através de engenharia reversa. Mais informações: youtube.com/rafaeltosettosec
Citation preview
Obtendo Informações Pessoais do seu Android com uma Calculadora
Rafael Tosetto
Tecnólogo em Redes
MBA em Segurança da Informação
Drozer Framework
• Client/Servidor
• Client no Windows via MS-DOS
• Servidor no Android
• Permissões– Acesso total a rede– Leitura do dispositivo de armazenamento externo
Engenharia Reversa
• APKTool– AndroidManifest.XML
Link: http://youtu.be/6UyaJe9IsBk
Demonstração
• Utilizando cabo USB com modo de depuração USB ativado– Também funciona apenas com Wi-fi
• Galaxy S5 - Android Kitkat 4.4.2
Etapas
1. Realizar a conexão do Drozer com o Android
2. Explorar os diretórios do cartão de memória
3. Fazer download de uma foto
Link: http://youtu.be/EhcDDmBPf-Y
Como se proteger
Como se proteger
• Suspeite de permissões não condizentes com o aplicativo
• Usar criptografia
• Não fazer root
• Dar preferência para aplicativos com boa reputação
• Instalar aplicativos apenas do Google Play
Scan de APK
• Sites de análise de APK
– Virus Total: https://www.virustotal.com/
– Andrubis: http://anubis.iseclab.org/
– Copper Droid: http://copperdroid.isg.rhul.ac.uk/copperdroid/
E com acesso 3G?
• Chips da Claro e Oi não responderam a requisição
• Drozer estabelece conexão no chip da TIM e faz a exploração via 3G (Testado no Gingerbread)
