Herramientas de prueba de seguridad de aplicaciones móviles

Tomar la perspectiva de un atacante e intentar explotar las aplicaciones móviles ofrece información valiosa sobre las vulnerabilidades de seguridad y privacidad de las aplicaciones. De hecho, los programas de gestión de riesgos de muchas organizaciones requieren evaluaciones manuales de prueba de lápiz de aplicaciones móviles para garantizar que sean seguras.

Los analistas de seguridad y los pentesters tienen un arsenal de herramientas de prueba de seguridad de aplicaciones móviles examinar en profundidad una solicitud. Según el nivel de experiencia y conocimiento del usuario, la combinación generalmente incluye herramientas comerciales y de código abierto para las pruebas de seguridad de aplicaciones iOS y Android.

En NowSecure, proporcionamos la NowSecure Workstation Pen Test Toolkit, Plataforma NowSecure para pruebas totalmente automatizadas y herramientas de código abierto como Frida y Radar desarrollado por nuestro equipo de investigación. Siga leyendo para descubrir nuestras recomendaciones de herramientas que facilitan el proceso de prueba de seguridad de aplicaciones móviles.

Herramientas de prueba de seguridad de aplicaciones móviles de código abierto

Los investigadores de NowSecure han creado dos de las herramientas de prueba de seguridad de aplicaciones móviles de código abierto más populares, Frida y radar. Como parte de su dedicación a la comunidad de código abierto, NowSecure continúa brindando soporte a estas herramientas y más. Aquí hay varias herramientas de prueba de seguridad de aplicaciones móviles de código abierto que nuestro experto servicios de pruebas de penetración llamadas de equipo mientras hacen su trabajo.

• Frida: este kit de herramientas de instrumentación dinámica permite a los analistas inyectar fragmentos de JavaScript en aplicaciones nativas de Windows, Mac, Linux, iOS y Android.

• ghidra: Desarrollado por la Agencia de Seguridad Nacional de EE. UU., este conjunto de herramientas de ingeniería inversa de código abierto incluye un desensamblador, descompilación y un motor de secuencias de comandos integrado.
• mitmproxy: Este proxy HTTP se utiliza para identificar vulnerabilidades de intermediarios en aplicaciones móviles al interceptar y modificar solicitudes y respuestas intercambiadas entre una aplicación y los servicios de back-end.
• Objeción: Frida desarrolla este marco de evaluación de seguridad móvil en tiempo de ejecución.
• Proxy de ataque Zed OWASP (BORRAR): Si bien es principalmente una herramienta para probar aplicaciones web y servicios web, ZAP tiene un componente de proxy que se puede usar para analizar aplicaciones móviles.
• Radar: El marco de ingeniería inversa se utiliza para analizar e inspeccionar binarios de iOS y Android.
• R2frida: El proyecto de integración r2project combina lo mejor de las capacidades de ingeniería inversa de Radar con el conjunto de herramientas de instrumentación dinámica de Frida para hacer que cada una de las herramientas sea de código abierto. mas poderoso.

Cómo crear un programa exitoso de pruebas de penetración de aplicaciones móviles

 

Saber mas

Herramientas de prueba de seguridad de aplicaciones de Android

Los profesionales de pruebas de penetración móviles pueden encontrar varias herramientas dedicadas a la plataforma Android. Las ofertas de herramientas de prueba de seguridad de aplicaciones de Android incluyen:

• Puente de depuración de Android (adb): esta versátil herramienta de línea de comandos es un descompilador de Dex a Java útil para producir código fuente Java a partir de archivos Android DEX y APK.

• APKHerramienta: esta herramienta de ingeniería inversa desempaqueta las aplicaciones de Android para garantizar que los archivos sean legibles y puedan reconstruir las aplicaciones.
• drozer: Esta herramienta identifica vulnerabilidades de seguridad en aplicaciones y dispositivos de Android que usan comunicaciones entre procesos de Android y admite el uso y el intercambio de vulnerabilidades públicas.
• JADX: Esta herramienta facilita el proceso de descompilación de binarios para ingeniería inversa.
• Magisk: Esta herramienta para rootear dispositivos Android ha evolucionado a lo largo de los años hasta convertirse en una herramienta más poderosa que tiene una colección de docenas de módulos.
• Xpuesto: esta herramienta otorga acceso a muchos ajustes de terceros o de código abierto que se pueden usar para ciertos aspectos de las pruebas.

 

«NowSecure recomienda implementar una herramienta comercial automatizada de prueba de seguridad de aplicaciones móviles».

Herramientas de prueba de seguridad de iOS

Los analistas de seguridad de todo el mundo también tienen disponible una selección de herramientas de prueba de seguridad de iOS. Aquí hay algunas ofertas populares para ayudar a las aplicaciones móviles de iOS con pruebas de penetración:

• checkra1n: esta herramienta de desbloqueo de iOS ayuda a los analistas a obtener acceso de root a un dispositivo.
• Toronja: El sucesor de Passionfruit, es una herramienta de instrumentación de aplicaciones en tiempo de ejecución para iOS.
• Llavero-Dumper: esta herramienta de iOS ayuda a los analistas a determinar qué elementos clave están disponibles para un atacante después de que un dispositivo iOS haya sido liberado.
• código x: El entorno de desarrollo integrado para el conjunto de herramientas de macOS se puede utilizar para interactuar con un dispositivo iOS durante las pruebas de penetración y analizar los registros.

Herramientas de prueba de seguridad de aplicaciones móviles comerciales

Además de las herramientas OSS gratuitas, los pen testers móviles encuentran algunas herramientas de prueba de seguridad de aplicaciones móviles pagas indispensables para su trabajo.

• Suite de eructos: Publicado por Portswigger, esta herramienta de prueba de proxy web también se puede utilizar para probar aplicaciones móviles y API y analizar el tráfico de red.
• Tolva: Esta herramienta de ingeniería inversa es útil para desensamblar, descompilar y depurar aplicaciones.
• AIF Pro: Ofrecido por Hex-Rays, este desensamblador traduce el código ejecutable de la máquina al código fuente del lenguaje ensamblador para la depuración y la ingeniería inversa.
• Estación de trabajo NowSecure: Esta herramienta de prueba interactiva guiada por asistente para analistas de seguridad acelera la productividad al probar aplicaciones móviles complejas, de alto riesgo y conectadas a IoT.
• Ahora plataforma segura: Esta herramienta de prueba de seguridad de aplicaciones móviles puede automatizar alrededor del 80 % de las pruebas de seguridad manuales, lo que libera al personal para que se concentre en los aspectos desafiantes de las pruebas de penetración móvil.

Los evaluadores con menos experiencia pueden enfrentar una curva de aprendizaje pronunciada con las herramientas de prueba de código abierto. Para escalar las pruebas y mantenerse al día con la velocidad de lanzamiento del equipo de desarrollo de aplicaciones móviles, NowSecure recomienda implementar una herramienta comercial automatizada de pruebas de seguridad de aplicaciones móviles. Una herramienta de automatización de pruebas guiada por asistente como NowSecure Workstation brinda consistencia, reduce el tiempo de incorporación de nuevos analistas, facilita la configuración de las pruebas y ayuda a las organizaciones a abordar las brechas de habilidades, la escasez de mano de obra y los retrasos en las pruebas.

Él Estación de trabajo NowSecure El kit de herramientas con asistente aumenta la productividad y reduce las pruebas en un solo día. Ahora plataforma segura automatiza completamente el proceso de prueba continua de aplicaciones móviles. Para obtener más información sobre qué características y funciones buscar en una herramienta de prueba de seguridad de aplicaciones móviles automatizada, consulte nuestro Lista de verificación de prueba de Mobile AppSec para ayudar a guiar su evaluación.