Alejandro Ramos - @aramosf
www.securitybydefault.com
Oct/2013
 Datos en la propia

aplicación móvil.

 Ficheros de configuración, pj








plist
Ficheros de bases de datos, ...
 Emuladores
 SDK Android
 IOS SDK (Sim ulador)

 Móviles con máximos privilegios
 Jailbreak iPhone
 root en Android
...
 Cinesa, aplicación para

consultar cartelera en la red
de cines.

 Incluye tarjeta de

fidelización virtual.

 Permite...
 Runkeeper, aplicación para

registrar actividades deportivas.

 Permite interactuar y publicar

en Twitter y Facebook l...
 Dark Nebula es un juego de

iPhone

 Una navecita que debe

superar niveles en el menor
tiempo posible

 Los niveles s...
 Las sesiones se pueden utilizar

para autenticarse desde otros
dispositivos.

 Ataque idéntico al robo de una

cookie e...
 MobiSafe, aplicación para

almacenar fotos, videos y
documentos de forma segura
en el móvil.

 Los cifra, tanto en el m...
Ejemplos de seguridad en aplicaciones moviles (IOS)
Ejemplos de seguridad en aplicaciones moviles (IOS)
Ejemplos de seguridad en aplicaciones moviles (IOS)
Ejemplos de seguridad en aplicaciones moviles (IOS)
Ejemplos de seguridad en aplicaciones moviles (IOS)
Ejemplos de seguridad en aplicaciones moviles (IOS)
Ejemplos de seguridad en aplicaciones moviles (IOS)
Ejemplos de seguridad en aplicaciones moviles (IOS)
Ejemplos de seguridad en aplicaciones moviles (IOS)
Upcoming SlideShare
Loading in...5
×

Ejemplos de seguridad en aplicaciones moviles (IOS)

7,290

Published on

Ejemplos prácticos de vulnerabilidades en aplicaciones móviles en IOS

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
7,290
On Slideshare
0
From Embeds
0
Number of Embeds
52
Actions
Shares
0
Downloads
54
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Ejemplos de seguridad en aplicaciones moviles (IOS) "

  1. 1. Alejandro Ramos - @aramosf www.securitybydefault.com Oct/2013
  2. 2.  Datos en la propia aplicación móvil.  Ficheros de configuración, pj        plist Ficheros de bases de datos, pj SQLite Ficheros de diccionarios predictivos Capturas de pantalla Copiar y pegar Ficheros cacheados/temporales Ficheros de log/excepciones Esquemas de URL  Comunicación con servidores externos  DLC  Peticiones web  Peticiones DNS  Otros protocolos  Copia de la información en otros sistemas  iCloud  Backup en el PC
  3. 3.  Emuladores  SDK Android  IOS SDK (Sim ulador)  Móviles con máximos privilegios  Jailbreak iPhone  root en Android  Sistemas intermedios:  Capturar y modificar peticiones HTTP  Capturar peticiones DNS  Capturar otro tráfico, por ejemplo XMPP, RTSP, etc.
  4. 4.  Cinesa, aplicación para consultar cartelera en la red de cines.  Incluye tarjeta de fidelización virtual.  Permite consultar los puntos acumulados.  Requiere autenticarse con usuario y contraseña.  Escenario de riesgo: en una red wireless, el tráfico puede ser capturado.
  5. 5.  Runkeeper, aplicación para registrar actividades deportivas.  Permite interactuar y publicar en Twitter y Facebook los resultados de las actividades.  Manda a la consola de registros información de la configuración, incluido tokens de autenticación en otros servicios.  El registro puede ser accedido por otras aplicaciones.
  6. 6.  Dark Nebula es un juego de iPhone  Una navecita que debe superar niveles en el menor tiempo posible  Los niveles superados y la puntuación se almacenan en un archivo sin protección.  Riesgo bajo, ya que tan solo se modifican puntos y los niveles en este caso no son de pago
  7. 7.  Dropbox, conocida aplicación de almacenamiento en la nube  En su aplicación móvil permite proteger los datos con PIN.  El PIN se guarda en texto plano en un fichero de configuración.  El fichero puede ser accedido desde un PC (que haya sido emparejado previamente)
  8. 8.  Las sesiones se pueden utilizar para autenticarse desde otros dispositivos.  Ataque idéntico al robo de una cookie en un ordenador.  Los ficheros binarycookies almacenan el token en IOS.  Se pueden obtener sus valores.  Por lo que desde un PC en el que se emparejó el móvil, se puede acceder a Facebook sin usuario y contraseña.
  9. 9.  MobiSafe, aplicación para almacenar fotos, videos y documentos de forma segura en el móvil.  Los cifra, tanto en el móvil como en las copias de iTunes.  Solicita un PIN de acceso de 4 números.  Protecciones simples para evitar ataques de fuerza bruta  PIN falso para acceder a un contenido falso
  10. 10. Alejandro Ramos - @aramosf www.securitybydefault.com Oct/2013

×