Vídeo.- Reverse Engineering Android Applications

Hoy es viernes y toca relajarnos un poco viendo algún que otro vídeo. Ya sabéis que el Reversing es algo que llevo muy flojo y que por eso siempre que veo un vídeo que lo explique para cazurros como yo. Así que, hoy aprenderé con una palomitas como empezar con el Reversing de aplicaciones en Android.

Sed Buenos ;) 

Fallible.- Destripa las APPs de Android

¿Confiáis en todas las aplicaciones que instaláis en vuestros smartphones desde Google Play? Pues muy mal echo. Hoy os voy a recomendar Android Fallible una herramienta que nos permite buscar o subir una App y la destripa para que sepamos que dependencias tiene que strings raros en XML utiliza, etc.  Todos esos datos curiosos que nos pueden hacer sospechar de la actividad de una APP

Pongamos por ejemplo que nos gusta mucho el Clash Royale y queremos hacernos con una guía. Así que buscamos una cualquiera la instalamos y funciona, no pasa nada raro solo un poco de publi pero podemos consultar cartas y mazos. Ahora la pasamos por Fallible y vemos lo siguiente: 

¿Una API Key para el servicio Baidu Maps? ¿Para un servicio Chino de geolocalizacion y planificación de rutas? ¿En una guía de un videojuego? Aquí tenéis mas info:

• https://en.wikipedia.org/wiki/Baidu_Maps

Como veis a veces hay muchos secretos dentro de las App de Google Play. Aquí tenéis el enlace a la herramienta y espero que la uséis un montón: 

• https://android.fallible.co/

Sed Buenos ;) 

Cybrary.- Cursos de seguridad online

Formarse siempre esta bien y cuando empezamos en este mundo se nos aparecen un montón de certificaciones con muchas siglas raras y la verdad es que al principio estas bastante perdido  y no sabes que probar ya que todo cuesta dinero. 

Pues Cybrary nos ofrece bastantes cursos gratis y la posibilidad de hacerlos desde su App, lo cual mola mucho.

Aquí tenéis algunos ejemplos:

• Comptia Security+
• Security Awareness
• Curso de criptografía
• Curso de Ethical hacking y pentesting
• Curso de hacking e informática forense
• Comptia Advanced Security Practitioner
• ISACA Certified Information Systems Auditor (CISA)
• Certified Information Systems Security Professional (CISSP)
• Curso de post Explotación
• Social Engineering and Manipulation
• Python para profesionales de ciberseguridad
• Curso de Metasploit
• Curso de ingeniería inversa y Análisis de Malware
• Advanced Penetration Testing por Georgia Weidman

Fuente:

• https://protegermipc.net/2017/01/12/cursos-de-seguridad-informatica-gratuitos-cybrary/ 

Yo ya tengo un par o tres de cursos que quiero empezar este año y si he conseguido que os pique la curiosidad de formaros, este es el enlace a Cybrary: 

• https://www.cybrary.it/

Sed Buenos ;) 

Estafar Con El CiberCrimen Es Muy Fácil.

Google puede ser nuestro mejor amigo y el peor al mismo tiempo dependiendo de lo que busquemos, en una era donde creemos que todo se puede encontrar en Google nuestro sentido común puede ser nuestro mejor aliado.

¿A que viene esto? Bueno, solo hace falta ver la cantidad de gente quiere aprender a hackear la cuenta de Facebook o la de correo electrónico de su novio/a por que ha oído a cierto hacker con gorro hablando de la recuperación de cuentas  y quieren lograrlo con una simple App o búsqueda en su buscador favorito. 

Pues bueno espero que el mismo hacker con gorro os quite esas oscuras tentaciones y al menos, os empuje a estudiar seguridad informática aun que sea para saber que tipo de app estamos instalando en nuestros sistemas.

Sed Buenos ;) 

Slide.- Reversing Android Apps

Llega el verano y como hace ya un par de años vamos a voy a volver a recomendaros material para que le echemos un ojo y que a la vez sea didáctico para todos nosotros.

Hoy, para aquellos que llevéis el tema del Reversing de Android un poco cojo como yo, os recomiendo las siguientes diapositivas que llevan el subtitulo de Hacking and cracking Android apps is easy

Os dejo el enlace a las Slides: 

• http://www.floyd.ch/download/Android_0sec.pdf

Sed Buenos ;) 

Exploit Para CVE-2015-1574 DoS Para La App De Gmail En Android

La vulnerabilidad CVE-2015.1574 es bastante curiosa ya que afecta a la versión 4.2.2.0200 App de Gmail para Android. Aunque solo ha sido probada sobre un Samsung Galaxy 4 mini totalmente actualizado, esta vulnerabilidad provoca una denegación de servicio utilizando un correo especialmente creado. Ademas, es obra de [Hector Marco] y [Ismael Ripoll] de la Universitat Politècnica de València y el exploit esta escrito en Python, que mas puedo pedir.

Aquí tenéis el exploit por si le queréis echar un ojo: 

• http://hmarco.org/cyber-security/exploits/crash_Android_Google_email_4.2.2.0200.py
• Solo hace falta configurar el servidor SMPT y el exploit hace su magia. 

Si teneis mas curiosidad sobre la vulnerabilidad, el exploit y el bug que hace esto posible aquí os dejo el enlace a la web de los creadores: 

• http://hmarco.org/bugs/google_email_app_4.2.2_denial_of_service.html

Sed Buenos con esto 0;) 

La Info de Runtastic Indexada y PoC Html en Python

Hoy en el blog del Maligno hemos aprendido como [extraer las rutas y datos de bastantes usuarios de la app Runstastic] gracias a Google, a su araña y al Dork: 

•  site:runtastic.com/es/usuarios/ rutas

Yo he estado haciendo mis pruebas gracias a la herramienta que cree para el blog de [estación informática] para hacer una búsqueda en 3 buscadores al mismo tiempo.  el cual tengo un poco abandonado pero espero que esta PoC que voy a presentar ahora sirva para una buena entrada. 

Búsqueda en Google: 

Búsqueda en Bing:

Búsqueda en Duck Duck Go: 

No sale el numero de resultados pero hay muchos

Después de jugar un rato con esto se me ha iluminado la bombilla ya que, tenia [una idea clara hace mucho] pero no sabia como aplicarla. La verdad es que hacer muchas búsquedas en diferentes buscadores y cada uno en una pestaña diferente es muy molesto. Así que, es mucho mas fácil crear una tabla en html, especificar que buscador es y meterle un enlace en la columna de al lado para que se le pued hacer clic y acceder a la búsqueda deseada. 

Como veis la PoC está limitada a 3 buscadores que mañana intentaré que sean mas. Pero, es un buen sistema para probar un mismo Dork con diferentes buscadores/arañas a ver que resultados nos dan. 

Os dejo el código del script de la PoC aaquí: 

#!/usr/bin/env python

# -*- coding: utf-8 -*-

import webbrowser

def webinput():

while True:

busqueda = raw_input("Copia tu Dork favorito: ")

search(busqueda)

def search(peticion):

google =  "https://www.google.com/?#q="+ peticion

bing = "https://www.bing.com/search?q="+ peticion

duckgo = "https://duckduckgo.com/?q="+ peticion

list = [google,bing,duckgo]

html ="""

<html>

<head>

<meta charset="UTF-8">

<title>StateX Results</title>

</head>

<body>

<h1>

Resultados

</h1>

<table>

<tr>

  <td><strong>Buscador</strong></td>

  <td><strong>Url Busqueda</strong></td>

</tr>

<tr>

  <td>Google</td>

  <td><a href="%s">Ver Resultados</a></td>

</tr>

<tr>

  <td>Bing</td>

  <td><a href="%s">Ver Resultados</a></td>

</tr>

<tr>

  <td>DuckDuckGo</td>

  <td><a href="%s">Ver Resultados</a></td>

</tr>

</table>

</body>

</html>

""" %(google,bing,duckgo)

d1 = open("resutados.html", "w")

d1.write(html)

d1.close

print "Resutados guardados como resultados.txt"

if __name__ == "__main__":

print """ 

|-----| Bing, Google & DuckDuckGo |-----|

                          Hacking   

""" 

webinput()

De momento no lo he subido a Github por que me parece un poco tontería y quiero afinarlo un poco mas pero aquí tenéis una idea para todos lo que quieran hacer algo con un html. 

Sed Buenos ;) 

Wickr.- Top-Secret Messenger

Todo el mundo que este medio metido en este mundo sabe que muchos de nosotros vivimos en una constante paranoia y no nos fiamos ni de [Telegram] por razones obvias. La CiberSeguridad es una diciplinar en constante actualización y crecimiento. Sobretodo ahora que la gente esta empezando a ver lo importante que es la seguridad en su cibervida o al menos para que no le roben el Wifi. Por eso, me encanta encontrarme con sistemas de mensajería cada vez mas seguros. 

Wickr es una aplicación de mensajería como lo son Watssap o Telegram desarrollada por la hacker [Nico Sell], fundadora de [r00tz] y una de las organizadoras de la popular conferencia [DEFCON]. Así que de segurida, esta mujer sabe. Ademas esta desarrollada para Android e IOS. 

Opciones de seguridad que nos ofrece esta app: 

• La comunicación se realiza utilizando redes Peer-to-Peer cifradas y no hay servidores centralizados.
• El ID y la la información del dispositivo son hasheadas criptográficamente con múltiples rondas de SHA256 + SALT
• Los datos en reposo y en tránsito se cifran con AES256
• La contraseña y los hashes de la contraseña no se dejan en el dispositivo
• Los mensajes son eliminados de forma forense (wipping) después de que caducan
• Las claves se utilizan una única vez y se regeneran en cada mensaje
• Los mensajes son cifrados y descifrados en origen y destino
• El contacto entre usuarios y los servidores de Wickr, se realiza sólo utilizando canales cifrados
• Wickr nunca entra en contacto con las contraseñas de cifrado
• Wickr borra los mensajes despues de la entrega

La verdad es que ahora mismo voy a probarla a ver si le puedo sacar alguna pega. Pero, se ve genial desde mi punto de vista y el wipping de los mensajes me ha enamorado. 

Para descargar esta app os direcciono a la fuente de esta entrada. Así le dais una visita ya que merece la pena que todos la conozcáis: 

• http://blog.segu-info.com.ar/2014/07/wickr-mensajero-super-privado-para.html

Sed Buenos ;) 

Twitter.- Permisos, El Sistema De PIN Con Tweepy y Algunas Opiniones.

Los que me seguís un poco mas por el Twitter que estos días he estado jugando un poco con las apis de Twitter en especial con tweepy. He estado jugando hasta crearme un micro cliente para poder enviar tweet desde la consola fácil, rápido y liviano que creo que son 3 sinónimos que encajan muy bien con Twitter. Ademas, que para [TONTO] me va a ir genial. 

Lista de APIS: 

• https://dev.twitter.com/docs/twitter-libraries

Pero bueno, no he venido ha hablar de otros proyectos. Así que vamos a lo que vamos. Os voy a explicar el funcionamiento del proceso de "logueo" para nuestra aplicación. 

Primero de todo nos iremos al siguiente enlace y entraremos utilizando nuestra cuenta de Twitter. 

• https://dev.twitter.com/

Nos dirigimos arriba a la derecha donde debería estar nuestra foto de Twitter, clicamos en ella y nos vamos a My Aplications. "Registramos" nuestra primera aplicación (ya sabéis, le damos un nombre una descripción y una foto si queremos)

• https://apps.twitter.com/

Una vez creada o definida (como queráis) nuestra app podremos configurarla haciendo clic en el nombre y dirigiéndonos al apartado Application settings. Pensad que esto es necesario para que nuestra app se pueda autenticar e utilizar el servicio. Pero, aquí hay una parte que no me gusta nada y es que si tratamos de cambiar los permisos, no podremos restringirlo solo a escritura que era lo que yo quería en un principio y no tiene porque tener derecho a leer tweets si no quiero. 

Una vez las opciones este como nosotros queramos iremos a Api Keys veremos que nos han creado dos ristras de numeros llamadas API key y API secret y mas abajo también hay otras dos llamadas Access token y Access token secret en las que no entrare ya que solo me serviría para loguearme yo y no es mi objetivo. 

Así que nos apuntamos la API key y la API secret y abrimos nuestro editor favorito y le damos caña.

import webbrowser

import tweepy

if __name__ == "__main__":

consumer_key = "Copia Aquí tu API key "

consumer_secret = "Copia Aquí tu API secret"

auth = tweepy.OAuthHandler(consumer_key, consumer_secret)

        

Ahora, y por razones de seguridad prefiero no gestionar contraseñas yo en el código así que le quiero enviar todo ese curro a Twitter que ellos saben mas que yo seguro así que nada. Haré que esta aplicación tenga que ser aprobada por el usuario y que una vez sea aprobada para descartar que sea una máquina que el usuario solo tenga que copiar pegar un pin (esto ya lo de Twitter así que no nos preocupamos solo tendremos que verificarlo)

webbrowser.open(auth.get_authorization_url())

pin = raw_input('escrive el pin de twitter.com: ').strip()

token = auth.get_access_token(verifier=pin)

Perfectisimo, solo que otra vez ... Para que necesito tantos permisos si solo quiero escribir un tweet. No tiene sentido. Para quien solo quiera jugar vale, pero imaginaros que tu app es vulnerada o le han cambiado el código... podrían estar automatizando diregido spam con mi API key y mi API secret solo por no capar la opción de leer tweets. 

Así es como funcionaria la implementación de permisos y Pin en App con Tweepy espero que os haya gustado y para enviar un tweet solo haría falta lo siguiente. 

        api = tweepy.API(auth)

api.update_status(raw_input('Dame tu Tweet: '))

Ya veis le pasamos la confirmación de la autorización a la Tweepy.Apy y utilizamos el modulo update_status para publicar lo que nos de la gana. Lo bueno es que si pones hashtags o enlaces ya aparecerán en Twitter bien puestos. Bueno, solo faltaría mejorarlo para que no tuvieras que autorizar a la aplicación cada vez que quieres enviar un tweet y ese tipo de cosas. Pero así es como funciona. 

Sed Buenos y jugad con esto que es divertido xD