Testing de seguridad en aplicaciones de #iOS

Idb es una herramienta para simplificar algunas tareas comunes para realizar test de penetración de aplicaciones para iOS y aprender a familiarizarse en la investigación de vulnerabilidades de dicho entorno. Está escrito en Ruby y posee una interfaz gráfica de usuario de Qt, puede ejecutarse en OS X y Linux (con algunas restricciones). El código de esta herramienta está disponible bajo la licencia del MIT.
Principales características de idb:

  • Configuración simplificada de pruebas de test de penetración: Permite configurar el reenvío de puertos  y la gestión de certificados.
  • Visor de registro de iOS. Se puede utilizar para ver el syslog del iDevice. Además de los mensajes del sistema, también incluye cualquier declaración de registro que las aplicaciones producen utilizando “NSLog” que a menudo divulga datos sensibles. Internamente, la vista del registro utiliza “idevicesyslog”
  • Utilidad de captura de pantalla: Simplifica las pruebas para la creación de capturas de pantalla. La utilidad de captura de pantalla es un asistente sencillo que se puede utilizar para probar si una aplicación está divulgando datos confidenciales en las capturas de pantalla automáticas tomadas por iOS.
  • Funciones relacionadas con la aplicación a analizar: descargar binarios de la aplicación, muestra lista de bibliotecas importadas, comprobar encriptación, ASLR y ver detalles de aplicaciones  tales como: nombre, BundleID, y archivo “Info.plist”.
  • Fuzzing de comunicaciones interprocesos.
  • Analiza el almacenamiento de archivos locales: buscar, descargar y ver archivos: plist, bases de datos sqlite y cachés locales (Cache.db).

La mejor forma de iniciarse en este tipos de aplicaciones como Idb es usar como ejemplo Damn Vulnerable iOS Application(DVIA), una aplicación vulnerable para probar las habilidades de prueba de penetración de aplicaciones iOS. Su objetivo principal es proporcionar una plataforma para: entusiastas de la seguridad de aplicaciones para móviles, profesionales y estudiantes, para probar sus habilidades de prueba de penetración de aplicaciones iOS en un entorno legal. Esta aplicación cubre todas las vulnerabilidades comunes que se encuentran en las aplicaciones iOS (siguiendo los 10 principales riesgos en aplicaciones móviles según OWASP) y contiene varios desafíos que el usuario puede intentar. Esta aplicación también contiene una sección donde un usuario puede leer varios artículos sobre la seguridad de aplicaciones de iOS. Las vulnerabilidades y soluciones cubiertos en esta aplicación esta probadas hasta iOS 10. DVIA es libre y de código abierto.

Más información y descarga de Idb:
http://www.idbtool.com/

Más información y descarga de Damn Vulnerable iOS Application(DVIA):
http://damnvulnerableiosapp.com/

Fuente: Gurú de la Informática

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s