Senior Security Consultant/Penetration Tester | CEO
Wenn man einen Penetrationtest auf Android Apps machen möchte, dann braucht man im Vergleich zu iOS nicht wirklich viel. Natürlich irgendeine Art von Computer, ist ja logisch, aber auch eine Hand voll Tools. Und die gute Nachricht, diese Tools sind kostenlos.
Hier findest du eine Auflistung von den Tools, die wir täglich im Android App Pentesting einsetzen:
Kommen wir nun zu den Details :)
MOBSF
MOBSF ist ein Opensource Tool, welches am besten über einen Docker-Container gestartet wird und für dich SAST (Static Application Security Testing) oder auch bekannt als statische Code Analyse bekannt ist. Sowohl für Android Apps, als auch iOS Apps ist es ein guter Start um Attack Surfaces und eine Analyse der Manifest/PList zu machen.
Mittels MOBSF kann man im Android App Penetration Test den Source Code extrahieren und sieht direkt Schwachstellen im Code gelb gehighlighted. (Z.b. ein SQL-Injection, weil im Code ein plaintext SQL-Statement genutzt wird und der Userinput ohne Validierung dort eingebaut wird.)
Auch hilft dir MOBSF die Permissions, Provider, Services, Actions und Activities zu analysieren und schon vorab einen Angriffsvektor zu bestimmen.
Drozer
Mit Drozer kann man viele Sachen, die man mit der ADB (Android Debug Bridge) händisch machen müsste, automatisieren. Dabei kannst du auch wie mit MOBSF eine Attack Surface Analyse machen, dir Permissions ausgelassen, Dateien hochladen/runterladen und vieles mehr. Drozer benötigt einen Agent (.apk) den du am Smartphone installieren musst und wird dann mittels Python auf deinem Computer installiert. Danach musst du die App starten, den Port der dort eingeblendet wird via ADB freigeben und dann mittels "drozer console connect" dich auf den Drozer-Agent verbinden.
Persönlich nutze ich die ADB und händische Exploitation lieber, aber in vielen Situationen als Penetration Tester muss man manchmal den Weg gehen und Dinge automatisieren, da Zeitdruck herrscht und das Ziel muss immer der maximale Mehrwert für den Kunden sein, daher helfen uns Tools wie Drozer effizienter zu sein.
Android Studio + ADB
Android Studio ist zwar eine Entwicklungsumgebung und bietet alles rund um das Development, aber dennoch ist es eine der besten Suites für uns Penetration Tester. Der große Vorteil im Vergleich zum iOS Penetration Testing ist, dass wir bei Android App Pentesting auch einen Simulator statt einem physischen Device/Smartphone nutzen können. Android Studio bietet aber noch mehr, wir können direkt das Device rooten, haben einen File-Browser für das Device, können Logs analysieren, Apps auf das Device einspielen, die ADB über Android Studio steuern und noch vieles mehr.
Frida + Objection
Frida ist ähnlich wie Drozer ein Analyse und Exploitation Tool, dass dir viele Möglichkeiten bietet. Objection ist sozusagen Frida 2.0, es erweitert Frida und die Frida-Tools (z.B. frida-ps und frida-trace) um ein Command-Line UI wie es ein Drozer hat. Mittels Frida kannst du Runtime Analyse/Runtime Reverse Engineering betreiben. Das heißt du kannst z.B. mittels frida-ps laufende Prozesse analysieren, mittels Frida-Trace während der Runtime Funktionen und Klassen analysieren und sogar eigene Frida-Scripts einschalten um dir Informationen von Klassen/Funktion oder Speicheradressen zu dumpen. (Wir nehmen hierfür meistens Javascript, da es am Besten funktioniert, auch wenn wir eigentlich auf der Python-Seite sind ;) )
Objection kann dann auch z.B. einen Root-Detection-Bypass, SSL-Pinning-Bypass, Byometrics-Bypass machen, das wir normal mühsam über Binary Patching und Reverse Engineering machen müssten.
Burp Suite (Pro)
Eine Burp Suite ist doch für Web Application Penetration Testing oder etwa nicht? Ja und nein :D Wir können uns den Burp Proxy genauso für die Analyse der Requests von mobile Applications und deren Response der End-Points(APIs) einrichten. Das schöne an der Burp Suite ist einfach die Vielfältigkeit und dass wir sie ohne große Zauberei in unser Android Device als Proxy einbinden können. Danach müssen wir nur mehr das Zertifikat der Burp Suite in unser Device importieren und akzeptieren. Dann können wir auch HTTPs Verbindungen intercepten. Vielleicht brauchen wir noch Objection für den SSL-Pinning-Bypass, aber dann sind wir ready to test. In den meisten Fällen brauchst du auch keine Pro-Version davon und kannst mit der kostenlosen Edition loslegen.
Wenn dich Android Penetration Testing Interessiert, dann sieh dir doch das 3,5 Stündige Video von unserem YouTube-Channel an, da sprechen wir sehr detailliert über das Android App Penetration Testing und zeigen einiges an Praxis.
Hat dir das Thema Spaß gemacht und du würdest gerne mehr davon haben? Dich zum professionellen Penetration Tester fortbilden? Dann bewirb dich bei uns im Mentoring und schon bald lebst du deinen Traum als Penetration Tester.
Home Seo Blog
Unsere Partner
