Friday, October 14, 2016

Dorking and Pentesting en Apps de AppStore

Dorking and Pentesting en Apps de AppStore


Ya son muchos los artículos que he escrito y las charlas que he dado sobre el uso de Tacyt para hacer dorking y pentesting a empresas usando la información de las apps que tienen publicadas. Durante todo este tiempo lo he estado haciendo con apps de Android, pero desde hace un tiempo estamos alimentando el Big Data de Tacyt con apps de iOS, lo que nos permite realizar búsquedas "similares" con las aplicaciones de iPhone, iPad y Apple Watch.

Figura 1: Dorking & Pentesting en Apps de AppStore

Estamos alimentando la base de datos, y actualmente solo tenemos algo más de 300.000 apps lo que ya permite que se empiecen a buscar cosas allí dentro. Por si quieres ver qué cosas se pueden hacer con Tacyt, te dejo la charla que di en Segurinfo Argentina en 2015, que muestra algunos ejemplos.


Figura 2: Conferencia sobre Dorking, Pentesting and Discovering with Tacty

No quiero desvelaros cosas aún, pues será en el mes de Junio cuando presentemos en detalle todas las cosas que se pueden hacer con la conjunción de los mundos de Android & iOS en una sola plataforma, pero sí quería enseñaros una muestra de la primera cosa que probé.

Figura 3: Más de 300.000 apps de AppStore analizadas con Tacyt

Una de las características que tenemos en Tacyt es la de poder buscar por ficheros dentro del paquete de la app, así que para comprobar si la calidad de las apps de iOS es tan superior a las de Android como muchos dicen, hice la primera búsqueda que me vino a la cabeza: "¿Habrá apps con un fichero password.txt que guarde la contraseña de algún servicio?".

Figura 4: Aparecen 3 apps gratuitas con un fichero password.txt

Por supuesto, la respuesta es que sí, y con este nombre tan significativo aparecen varias apps gratuitas, con lo que podemos disponer de los contenidos y revisar qué hay dentro de ese fichero en concreto.

Figura 5: El fichero password.txt de la app

Para desempaquetar y explorar el contenido una app de iOS en un sistema OS X solo tienes que cambiar la extensión de .ipa a .zip, descomprimir y, cuando salga la aplicación con extensión .app seleccionar la opción de "Mostrar el contenido del paquete". El resultado es que OS X te permite ver toda la estructura de archivos y directorios de la app.

Figura 6: Explorando el contenido de la app después de descomprimirla

Ahora solo hay que buscar el fichero password.txt et voilà, aquí está la contraseña que guarda esta app tan celosamente dentro de su contenido.

Figura 7: El fichero con la password

Al final, la revisión de AppStore es mucho más exhaustiva que la que realiza Google Play, pero no está buscando los fallos de seguridad de las apps, por lo que antes de publicar una app de tu compañía sigue siendo necesario que hagas los deberes y audites correctamente todo lo que vas a hacer público.

Saludos Malignos!

Available link for download