Un poquito de OWASP: Method Swizzling en una aplicación iOS
Enero 22, 2017
0

Una introducción práctica al Method Swizzling en una aplicación iOS o cómo modificar métodos en tiempos de ejecución de una aplicación móvil. Con este propósito se presentó Miguel Ángel Arroyo en las Jornadas de Seguridad HoneyCON organizadas por la asociación HoneySEC que tuve el gusto de grabar para Palabra de hacker (puedes consultar desde aquí la lista de reproducción con los vídeos de las Jornadas HoneyCON).

Con un dispositivo iOS con jailbreak hecho para saltarse las medidas de seguridad establecidas por Apple en sus dispositivos para de esta forma poder instalar, modificar y cambiar cosas, haciendo uso de la herramienta Cycript para realizar ingeniería inversa, Miguel Ángel explica en esta charla que tienes a continuación disponible tanto en vídeo como en podcast, su prueba de concepto sobre un análisis en tiempo de ejecución de una aplicación para cambiar el comportamiento de los métodos que incorpora. Además en su ponencia también insiste en explicar en qué consiste el proyecto OWASP y porqué es tan importante seguirlo a la hora de auditar una aplicación móvil tal y como ya hizo en su momento en la charla que ofreció en las Jornadas de seguridad informática PaellaCON "Auditar una app iOS desde la perspectiva OWASP" y que puedes repasar desde este enlace.

 

Method Swizzling en una aplicación iOS

OWASP no es más que un Proyecto Abierto de Seguridad de Aplicaciones Web (Open Web Application Security Project) que vela por la seguridad del software y las aplicaciones web y que puedes consultar en la web oficial del proyecto disponible en español owasp.org. 

En el caso de las aplicaciones iOS, OWASP distingue entre cuatro tipos de herramientas para auditarlas y comprobar su seguridad tal y como se ve en este gráfico extraído de la propia presentación usada en la charla:

  • Herramientas de análisis dinámico.
  • Herramientas de ingeniería inversa o reversing.
  • Herramientas forenses, algunas de las cuales salieron a relucir en la charla "Como hacer una forense y no morir en el intento" que también está disponible.
  • Desensambladores.

OWASP MSP iOS Tools

 

Y tantas herramientas son necesarias tener presentes en este arsenal iOS porque como señala Miguel Ángel en su charla a la hora de auditar una aplicación siempre hay que hacerlo teniendo en cuenta cuatro partes: el mapeo o uso lógico que tiene la aplicación, los ataques del lado del cliente, los ataques a través de la red y por último los ataques del lado del servidor.

El caso de estudio que presenta en esta charla sobre el Method Swizzling en una aplicación iOS, está basado en los ataques del lado cliente, para ello analizó los ficheros realizando un análisis en tiempo de ejecución de una aplicación iOS en este caso un juego SoccerStars y usó la herramienta Clutch para sacar el listado de aplicaciones instaladas en el dispositivo a analizar y ver qué métodos podía utilizar.

Miguel Ángel Arroyo (@Miguel_Arroyo76) es auditor de seguridad y trabaja como responsable del área de negocio de seguridad en la empresa SVT Cloud&Security Services. Presidente de la Asociación Nacional de Profesionales del Hacking Ético (ANPhacket), co-organizador del congreso de seguridad Qurtuba y fundador de la comunidad Hack&Beers (esta es la lista de reproducción con todas las charlas Hack&Beers que están disponibles en Palabra de hacker) además de autor del blog Hacking ético en el que comparte sus experiencias sobre el mundo del hacking desde hace más de siete años. En este enlace puedes ver su entrevista en el canal Palabra de hacker.

 

¿Te ha gustado? Déjame abajo tu comentario y comparte la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

Vídeo

Podcast

Recibe por RSS las últimas publicaciones

¿Te unes al conocimiento innovador para recibir mis novedades por newsletter?

Nombre

Correo electrónico

He leído la Política de Privacidad y acepto expresamente los términos y condiciones.

AVISO LEGAL - PRIVACIDAD - COOKIES

¿Te gustaría seguir el blog por correo electrónico?

Si deseas recibir notificaciones al instante de las nuevas entradas en tu correo, aquí puedes hacerlo. Al hacer clic en el botón "Seguir" declaras expresamente que has leído y aceptas la Política de Privacidad y el Aviso legal de mi web.

Yolanda Corral
Licenciada en Periodismo, especializada en televisión, YouTube, redes sociales y contenidos online con un ojo puesto en la seguridad digital. Máster en Community Management y redes sociales en la empresa. Fundadora de las jornadas de Seguridad Informática PaellaCON y dinamizadora de Hack&Beers Valencia. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker.

Curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación, la transformación digital y la seguridad digital, amante del social media y coleccionista de momentos. Puedo ayudarte a conectarte a ti o a tu negocio con el mundo a través de la combinación YouTube y los medios sociales = YoComunico/Comunicamos y trabajar contigo como formadora y presentadora de eventos presenciales y online. Mi nick digital es yocomu. ¡Búscame en las redes!
Yolanda Corral on GoogleYolanda Corral on InstagramYolanda Corral on LinkedinYolanda Corral on TwitterYolanda Corral on Youtube

Déjame un comentario. ¡Gracias!