Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Hacking Exposed Mobile Security Secrets & Solutions

  • 0 Respuestas
  • 2548 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado ZanGetsu

  • *
  • Underc0der
  • Mensajes: 325
  • Actividad:
    0%
  • Reputación 0
  • I ZanGetsu
    • Ver Perfil
  • Skype: thenicox
  • Twitter: black_zangetsu
« en: Julio 24, 2017, 09:27:06 pm »

Código: [Seleccionar]
▼ 1 The Mobile Risk Ecosystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
The Mobile Ecosystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Scale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Perceived Insecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
The Mobile Risk Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Physical Risks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Service Risks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
App Risks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Our Agenda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
▼ 2 Hacking the Cellular Network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Basic Cellular Network Functionality . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Interoperability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Voice Calls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
The Control Channels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Voice Mailboxes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Short Message Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Attacks and Countermeasures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
The Brave New World of IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
▼ 3 iOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Know Your iPhone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
How Secure Is iOS? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Jailbreaking: Unleash the Fury! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Boot-based Jailbreak . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
00_FM.indd xiii 6/19/2013 12:33:23 AM
xiv Hacking Exposed: Mobile Security Secrets & Solutions
Hacking Other iPhones: Fury, Unleashed! . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
▼ 4 Android . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Security Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Application Components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Data Storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Near Field Communication (NFC) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Android Development . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Android Emulator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Android Debug Bridge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Rooting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Decompiling and Disassembly . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Decompiling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Intercepting Network Traffi c . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Adding Trusted CA Certifi cates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Confi guring a Proxy Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Intent-Based Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
NFC-Based Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Information Leakage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Leakage via Internal Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Leakage via External Storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Information Leakage via Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Information Leakage via Insecure Components . . . . . . . . . . . . . . . . . 113
General Mitigation Strategies to Prevent Information Leakage . . . . 117
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
▼ 5 Mobile Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Android Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
iOS Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Malware Security: Android vs. iOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
▼ 6 Mobile Services and Mobile Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
General Web Service Security Guidelines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Attacks Against XML-based Web Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Common Authentication and Authorization Frameworks . . . . . . . . . . . . . . 155
OAuth 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
SAML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Mobile Web Browser and WebView Security . . . . . . . . . . . . . . . . . . . . . . . . . . 169
Exploiting Custom URI Schemes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
Exploiting JavaScript Bridges . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
00_FM.indd xiv 6/19/2013 12:33:23 AM
Contents xv
▼ 7 Mobile Device Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
MDM Frameworks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Device Provisioning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
Bypassing MDM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
Decompiling and Debugging Apps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Detecting Jailbreaks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Remote Wipe and Lock . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
▼ 8 Mobile Development Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Mobile App Threat Modeling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
Threats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
Assets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
Finishing and Using the Threat Model . . . . . . . . . . . . . . . . . . . . . . . . . 218
Secure Mobile Development Guidance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
Preparation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
Secure Mobile Application Guidelines . . . . . . . . . . . . . . . . . . . . . . . . . 221
Testing to Make Sure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
For Further Reading . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
▼ 9 Mobile Payments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
Current Generation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
Contactless Smartcard Payments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
Secure Element . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
Secure Element API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
Mobile Application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
Google Wallet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
Square . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
▼ A Consumer Security Checklist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
Security Checklist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
▼ B Mobile Application Penetration Testing Toolkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
iOS Pen Test Toolkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
Android Pen Test Toolkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
Enlace de descarga:
Código: [Seleccionar]
https://jumpshare.com/v/f92aUO9UkSXbhSnHyo5f
« Última modificación: Julio 25, 2017, 04:18:25 pm por xyz »

 

¿Te gustó el post? COMPARTILO!



Libro Certificacion de Seguridad Ofensiva nivel 1 "La biblia del hacking"

Iniciado por AlexTT

Respuestas: 2
Vistas: 7781
Último mensaje Junio 12, 2018, 06:29:56 pm
por zenna
[Video Tutoriales] Nuevo Curso de Hacking Ético desde Cero

Iniciado por Xc0d3's

Respuestas: 2
Vistas: 5610
Último mensaje Septiembre 04, 2017, 03:13:41 am
por wirelees
[LIBRO] HACKING ÉTICO: cómo hackear profesionalmente en 21 días

Iniciado por graphixx

Respuestas: 0
Vistas: 3022
Último mensaje Septiembre 21, 2015, 10:59:32 pm
por graphixx
[PDF] Web Hacking 101 en Español - Cómo hacer dinero hackeando éticamente

Iniciado por graphixx

Respuestas: 0
Vistas: 6714
Último mensaje Abril 29, 2017, 12:14:35 am
por graphixx
Mega Pack - Recopilación PDF (Manuales Hacking - Informática) [ZIP-PDF] Español

Iniciado por larson32

Respuestas: 0
Vistas: 4854
Último mensaje Septiembre 16, 2018, 09:38:02 pm
por larson32