Method Swizzling en una aplicación iOS imagen de la charla de Miguel Ángel Arroyo en HoneyCON

Un poquito de OWASP: Method Swizzling en una aplicación iOS

Una introducción práctica al Method Swizzling en una aplicación iOS o cómo modificar métodos en tiempos de ejecución de una aplicación móvil. Con este propósito se presentó Miguel Ángel Arroyo en las Jornadas de Seguridad HoneyCON organizadas por la asociación HoneySEC que tuve el gusto de grabar para Palabra de hacker (puedes consultar desde aquí la lista de reproducción con los vídeos de las Jornadas HoneyCON).

Con un dispositivo iOS con jailbreak hecho para saltarse las medidas de seguridad establecidas por Apple en sus dispositivos para de esta forma poder instalar, modificar y cambiar cosas, haciendo uso de la herramienta Cycript para realizar ingeniería inversa, Miguel Ángel explica en esta charla que tienes a continuación disponible tanto en vídeo como en podcast, su prueba de concepto sobre un análisis en tiempo de ejecución de una aplicación para cambiar el comportamiento de los métodos que incorpora. Además en su ponencia también insiste en explicar en qué consiste el proyecto OWASP y porqué es tan importante seguirlo a la hora de auditar una aplicación móvil tal y como ya hizo en su momento en la charla que ofreció en las Jornadas de seguridad informática PaellaCON "Auditar una app iOS desde la perspectiva OWASP" y que puedes repasar desde este enlace así como también seria conveniente echar un vistazo a las guías de seguridad publicadas en el proyecto OWASP que recomendó el especialista en seguridad y miembro de OWASP Madrid Rafael Sánchez.

 

Method Swizzling en una aplicación iOS

OWASP no es más que un Proyecto Abierto de Seguridad de Aplicaciones Web (Open Web Application Security Project) que vela por la seguridad del software y las aplicaciones web y que puedes consultar en la web oficial del proyecto disponible en español owasp.org y descubrir en el ciberdebate dedicado a conocer de cerca ¿Qué es OWASP? que realicé en Palabra de hacker.

En el caso de las aplicaciones iOS, OWASP distingue entre cuatro tipos de herramientas para auditarlas y comprobar su seguridad tal y como se ve en este gráfico extraído de la propia presentación usada en la charla:

  • Herramientas de análisis dinámico.
  • Herramientas de ingeniería inversa o reversing.
  • Herramientas forenses, algunas de las cuales salieron a relucir en la charla "Como hacer una forense y no morir en el intento" que también está disponible.
  • Desensambladores.

OWASP MSP iOS Tools

 

Y tantas herramientas son necesarias tener presentes en este arsenal iOS porque como señala Miguel Ángel en su charla a la hora de auditar una aplicación siempre hay que hacerlo teniendo en cuenta cuatro partes: el mapeo o uso lógico que tiene la aplicación, los ataques del lado del cliente, los ataques a través de la red y por último los ataques del lado del servidor.

El caso de estudio que presenta en esta charla sobre el Method Swizzling en una aplicación iOS, está basado en los ataques del lado cliente, para ello analizó los ficheros realizando un análisis en tiempo de ejecución de una aplicación iOS en este caso un juego SoccerStars y usó la herramienta Clutch para sacar el listado de aplicaciones instaladas en el dispositivo a analizar y ver qué métodos podía utilizar.

Miguel Ángel Arroyo (@Miguel_Arroyo76) es auditor de seguridad y trabaja como responsable del área de negocio de seguridad en la empresa SVT Cloud&Security Services. Presidente de la Asociación Nacional de Profesionales del Hacking Ético (ANPhacket), co-organizador del congreso de seguridad Qurtuba y fundador de la comunidad Hack&Beers (esta es la lista de reproducción con todas las charlas Hack&Beers que están disponibles en Palabra de hacker) además de autor del blog Hacking ético en el que comparte sus experiencias sobre el mundo del hacking desde hace más de siete años. En este enlace puedes ver su entrevista en el canal Palabra de hacker.

 

¿Te ha gustado? Déjame abajo tu comentario y comparte la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

Vídeo

Podcast

¿Te unes al conocimiento innovador para recibir mis novedades por newsletter?

Nombre

Correo electrónico

He leído la Política de Privacidad de la web. Acepto expresamente los términos y condiciones y consiento el tratamiento de mis datos personales.

Información básica sobre Protección de datos.

Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar las suscripciones a la web para estar informados de nuevas publicaciones y novedades. Legitimación: Contar con tu consentimiento expreso. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Los datos que me facilites estarán ubicados en los servidores de Raiola Networks, ubicados en la UE cuyo nivel de protección son adecuados según la Comisión de la UE. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y cancelar tus datos tal y como puedes ver detalladamente en la política de privacidad de esta web así como en el aviso legal.

AVISO LEGAL - PRIVACIDAD - COOKIES

¿Te gustaría seguir el blog por correo electrónico?

Si deseas recibir notificaciones al instante de las nuevas entradas en tu correo, aquí puedes hacerlo. Al hacer clic en el botón "Seguir" declaras expresamente que has leído y aceptas la Política de Privacidad y el Aviso legal de mi web.

Yolanda Corral
Soy licenciada en Periodismo especializada en TICs, ciberseguridad, YouTube, redes sociales y contenidos online. Cuento con un máster en Community Management y siempre estoy en continuo aprendizaje. Fundadora de las jornadas de Seguridad Informática PaellaCON y dinamizadora de Hack&Beers Valencia. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker.

Curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación, la transformación digital y la seguridad digital, amante del social media y coleccionista de momentos. Como formadora imparto talleres y doy charlas sobre seguridad digital, TICs, redes sociales, YouTube, LinkedIn, marca personal, empleo 2.0, alfabetización digital, marketing de contenidos... Dime qué necesitas y lo doy todo. ¡Conectemos en las redes!
Yolanda Corral on GoogleYolanda Corral on InstagramYolanda Corral on LinkedinYolanda Corral on TwitterYolanda Corral on Youtube

Déjame un comentario pero antes debes atender a esta información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar y moderar los comentarios realizados en la web. Legitimación: Contar con tu consentimiento expreso. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y suprimir tus datos tal y como puedes ver detalladamente en la Política de privacidad de esta web así como en el aviso legal. ¡Gracias!

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.