5

FERRAMENTAS
USADAS EM PENTEST
MOBILE
COM FOCO EM APLICATIVOS ANDROID
INTRODUÇÃO
Muito se fala em testes de segurança em aplicativos mobile (Pentest Mobile)

Nós resolvemos enumerar cinco ferramentas que consideramos essenciais no

dia a dia de um Pentester que realiza testes de segurança em aplicativos
Android.

02
01 ANDROID
STUDIO
O Android Studio é um kit de desenvolvimento de software
para Android no qual oferece as ferramentas mais rápidas
para criar aplicativos em todos os tipos de dispositivos
Android.

Apesar de ser uma ferramenta usada para desenvolvimento

Android, o pacote do Android Studio ainda conta com o SDK
Tools que tem dezenas de ferramentas úteis na comunicação
com os devices, e o Android Virtual Device que nos permite
emular devices.

03
01 ANDROID STUDIO

04
01 ANDROID
STUDIO
Em pentest mobile é muito interessante manter um ambiente
de desenvolvimento não apenas para entender o processo de
criação de um aplicativo, mas também para ter acesso a
emuladores e utilitários que nos possibilitam ter um controle
maior no ambiente para testes de segurança em aplicativos.

05
02 APKTOOL

APKTOOL é uma ferramenta para engenharia reversa de

aplicativos Android, podendo decodificar recursos para um
formato próximo ao original e também reconstruí-los após
fazer modificações.

06
02 APKTOOL

Exemplo de uso:
apktool d nomedoapp.apk

07
02 APKTOOL

Essa ferramenta é muito útil em Pentest Mobile pois

nos permite analisar arquivos do aplicativo, código
smali e também realizar alterações no código e
reconstruir o aplicativo com modificações, assim é
possível efetuar testes de adulteração de código.

08
03 DEX2JAR

O dex2jar realiza a conversão de códigos dex para o formato

jar (Java Archive), o qual permite visualizar os arquivos .class
de forma organizada.

09
03 DEX2JAR

Na imagem acima o app está sendo convertido para o formato jar

Como podemos notar após o uso do dex2jar temos acesso aos arquivos
.class.

10
03 DEX2JAR

Além da funcionalidade principal de conversão o pacote "dj2"

possúi algumas outras ferramentas inclusas, estas permitem
ao pentester adicionar ou remover, montar ou desmontar,
classes, metodos, campos... E também a d2j-apk-sign permite
verificar e adicionar certificados no aplicativo.

11
04 JD-GUI

JD-GUI é um utilitário gráfico que permite uma

visualização de código fonte java de arquivos .class.

Com posse de um arquivo .jar podemos abri-lo com

JD-GUI e ter uma visualização legível de toda estrutura
com um código fonte bastante similar ao original.

12
04 JD-GUI

13
04 JD-GUI

Em Pentest Mobile o JD-GUI permite uma fácil visualização

do código fonte em forma gráfica, tornando mais simples o
processo de descoberta de vulnerabilidades e informações
sensíveis.

14
05 BURP SUITE

O burp suite é um proxy muito conhecido no mundo

do Pentest Web e sem dúvidas não pode faltar na
caixa de ferramentas de um Pentester!

Ele permite interceptar, analizar e modificar a

comunicação entre cliente e servidor.

15
05 BURP SUITE

16
05 BURP SUITE

Em Pentest Mobile o burp se torna muito interessante pois

podemos analisar a comunicação entre o aplicativo e o
backend (servidor remoto), e em muitos casos burlar
controles de segurança, acessar informações sensíveis ou
fraudar o aplicativo.

17
 CONCLUSÃO
Talvez as ferramentas já fossem conhecidas, mas o que importa é que agora
você sabe que elas são muito úteis (e essênciais) no processo de Pentest
Mobile.

Conhecer ferramentas como essas é importante, mas mais importante do que

isso é entender a base e os fundamentos do sistema operacional e do
processo envolvido. Se você se sentiu um pouco perdido não se preocupe, nós
estamos gerando mais conteúdos como este para te ajudar e facilitar o
caminho das pedras!

Caso esteja buscando um treinamento a respeito do assunto a Desec Security

foi a primeira empresa do Brasil a criar um treinamento completo sobre
Pentest Mobile com foco em Android. Vale a pena ao menos conferir!

18
 KEEP LEARNING
Obrigado!

Quer aprender mais sobre Pentest e segurança da informação?

ACESSE:
www.desecsecurity.com

Fale conosco:
contato@desecsecurity.com

19