Ejemplos de seguridad en aplicaciones moviles (IOS)
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

Ejemplos de seguridad en aplicaciones moviles (IOS)

  • 7,245 views
Uploaded on

Ejemplos prácticos de vulnerabilidades en aplicaciones móviles en IOS

Ejemplos prácticos de vulnerabilidades en aplicaciones móviles en IOS

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
7,245
On Slideshare
4,722
From Embeds
2,523
Number of Embeds
28

Actions

Shares
Downloads
45
Comments
0
Likes
0

Embeds 2,523

http://www.seguridadapple.com 1,650
http://seguridad-informacion.blogspot.com.es 255
http://seguridad-informacion.blogspot.com 232
http://cloud.feedly.com 104
http://seguridad-informacion.blogspot.mx 88
http://seguridad-informacion.blogspot.com.ar 63
http://feeds.feedburner.com 31
http://www.securitybydefault.com 20
http://feedly.com 17
http://blogs.itpro.es 9
http://feedproxy.google.com 7
http://www.inoreader.com 6
http://www.seguridad-informacion.blogspot.com.es 6
http://digg.com 6
http://www.feedspot.com 5
http://seguridad-informacion.blogspot.co.uk 4
http://www.newsblur.com 3
http://seguridad-informacion.blogspot.nl 3
http://127.0.0.1 3
http://seguridad-informacion.blogspot.de 2
http://7727366960388490644_14ab5d9a3e0a5a584242d560585a96cdda10af2e.blogspot.com 2
http://inoreader.com 1
http://reader.aol.com 1
http://seguridad-informacion.blogspot.no 1
http://www.seguridad-informacion.blogspot.no 1
http://newsblur.com 1
http://seguridad-informacion.blogspot.in 1
http://translate.googleusercontent.com 1

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Alejandro Ramos - @aramosf www.securitybydefault.com Oct/2013
  • 2.  Datos en la propia aplicación móvil.  Ficheros de configuración, pj        plist Ficheros de bases de datos, pj SQLite Ficheros de diccionarios predictivos Capturas de pantalla Copiar y pegar Ficheros cacheados/temporales Ficheros de log/excepciones Esquemas de URL  Comunicación con servidores externos  DLC  Peticiones web  Peticiones DNS  Otros protocolos  Copia de la información en otros sistemas  iCloud  Backup en el PC
  • 3.  Emuladores  SDK Android  IOS SDK (Sim ulador)  Móviles con máximos privilegios  Jailbreak iPhone  root en Android  Sistemas intermedios:  Capturar y modificar peticiones HTTP  Capturar peticiones DNS  Capturar otro tráfico, por ejemplo XMPP, RTSP, etc.
  • 4.  Cinesa, aplicación para consultar cartelera en la red de cines.  Incluye tarjeta de fidelización virtual.  Permite consultar los puntos acumulados.  Requiere autenticarse con usuario y contraseña.  Escenario de riesgo: en una red wireless, el tráfico puede ser capturado.
  • 5.  Runkeeper, aplicación para registrar actividades deportivas.  Permite interactuar y publicar en Twitter y Facebook los resultados de las actividades.  Manda a la consola de registros información de la configuración, incluido tokens de autenticación en otros servicios.  El registro puede ser accedido por otras aplicaciones.
  • 6.  Dark Nebula es un juego de iPhone  Una navecita que debe superar niveles en el menor tiempo posible  Los niveles superados y la puntuación se almacenan en un archivo sin protección.  Riesgo bajo, ya que tan solo se modifican puntos y los niveles en este caso no son de pago
  • 7.  Dropbox, conocida aplicación de almacenamiento en la nube  En su aplicación móvil permite proteger los datos con PIN.  El PIN se guarda en texto plano en un fichero de configuración.  El fichero puede ser accedido desde un PC (que haya sido emparejado previamente)
  • 8.  Las sesiones se pueden utilizar para autenticarse desde otros dispositivos.  Ataque idéntico al robo de una cookie en un ordenador.  Los ficheros binarycookies almacenan el token en IOS.  Se pueden obtener sus valores.  Por lo que desde un PC en el que se emparejó el móvil, se puede acceder a Facebook sin usuario y contraseña.
  • 9.  MobiSafe, aplicación para almacenar fotos, videos y documentos de forma segura en el móvil.  Los cifra, tanto en el móvil como en las copias de iTunes.  Solicita un PIN de acceso de 4 números.  Protecciones simples para evitar ataques de fuerza bruta  PIN falso para acceder a un contenido falso
  • 10. Alejandro Ramos - @aramosf www.securitybydefault.com Oct/2013