5 Herramientas que te ayudarán mucho en un Pentest a iOS

A la hora de realizar un pentest, es necesario disponer de herramientas potentes con las que nos sentamos cómodos trabajando para así agilizar nuestro trabajo y tener mejores resultados. No es algo diferente en el mundo del hacking iOS, por ello, es necesario que nos actualicemos y probemos las herramientas existentes para escoger la que mejor se adapte a nuestras necesidades. Por ese motivo, hoy queremos dejar aquí este artículo facilitando unas herramientas disponibles en la red.

Queremos dejar las 5 que consideramos imprescindibles, no es el objetivo poner todas las herramientas existentes, es posible que consideres que falta tu favorita, puedes aportarla en un comentario. Comencemos  con nuestro listado:

  • Frida: no podía ser de otra forma, empezamos por una de las más conocidas. Esta herramienta va a permitir acoplarnos a la aplicación en tiempo de ejecución, inyectar nuestro script, ver o modificar la solicitud y la respuesta en tiempo de ejecución. 
  • Objection: se trata de una herramienta construida por Frida con el objetivo de ayudar a evaluar las aplicaciones móviles y su seguridad sin la necesidad de que el dispositivo tenga jailbreak  (ver Figura 1).
[Figura 1: iOS SSL pinning bypass – Objection]

  • Bfinject: es una herramienta de inyección de dylib para iOS, que nos permite cargar dylibs arbitrarios en las aplicaciones que se están ejecutando. Cuenta con soporte para descifrar aplicaciones que se encuentran en la App Store
  • Libimobiledevice: librería para comunicarse a través de protocolos nativos con los servicios de iOS. No necesita jailbreak, y permitirá ver información del dispositivo, los syslogs, capturar la pantalla, etc. 
  • MobSF: es una aplicación automatizada válida para Android, iOS y Windows, que es capaz de realizar análisis estáticos, análisis dinámicos, análisis de malware y pruebas de API (ver Figura 2). 
[Figura 2: Análisis estático a un archivo IPA – MobSF]

Para terminar, si deseas disponer de una herramienta que te permita instalar un IPA en tu dispositivo (o APK en Android), puedes usar Cydia Impactor. Son aplicaciones fáciles de utilizar y de las cuales encontraras documentación en la red. No dejes sin probar tus aplicaciones y mantente lo más seguro posible. Realizar las pruebas de seguridad es esencial, pero desde luego que a la hora de desarrollar las aplicaciones es fundamental hacerlo de manera segura

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.