Aprende ¡Muy fácil! a crear un entorno para las pruebas de penetración (pentesting) móvil para Android. Sólo necesitas Virtual Box junto con Santoku.
Para analizar y explotar vulnerabilidades en aplicaciones de Android, primero tenemos que configurar un entorno para las pruebas, a continuación crearemos un laboratorio de Pentesting móvil.
1. Requisitos para el entorno Pentesting Android
- Virtual Box o VMware
- Santoku OS (que viene con SDK preinstalados)
- GenyMotion (para crear un dispositivo virtual Android (AVD))
- Puedes realizar pruebas con una aplicación vulnerable para Android como InsecureBankv2
Así que primero descargas Santoku OS desde el enlace de abajo. Santoku OS está diseñado especialmente para pruebas de penetración móvil e investigación forense. Santoku viene con SDK preinstalados y otras utilidades.
También será necesario descargar Virtual Box, muy recomendable para que funcione GenyMotion. Les dejo el enlace de descarga:
2. Configuración de Laboratorio Pentesting para Android: VirtualBox
- Después de descargar Santoku, abre Virtual Box y crea una nueva máquina virtual para él.
- Luego, selecciona la cantidad de RAM para Santoku, se recomienda 786MB pero tomé 2GB, puedes seleccionar según tus propias necesidades y hacer clic en Next
- En la siguiente sección, selecciona el tipo de disco duro según su necesidad o seleccione VMDK (Disco de máquina virtual)
- Ahora, para instalar Santoku, haz clic derecho en Santoku VM e ir a la configuración de Almacenamiento luego selecciona y haz clic en el icono del disco justo delante de la unidad óptica en la sección de atributos. Posteriormente navega y selecciona el archivo ISO descargado y haz clic en Aceptar
- También puedes seleccionar el tamaño del disco duro que desee. (puedes ver más detalle en el tutorial de la sección final)
- Finalmente, inicia esa máquina virtual y, luego de algunos segundos, aparecerá el menú de arranque de Santoku, selecciona “Install- start th installer directly“
3. Configuración de Laboratorio Pentesting para Android: Santoku
- Ahora comenzará el proceso de instalación de Santoku, selecciona tu idioma preferido y luego haz clic en Continuar
- Selecciona tu idioma preferido para el teclado. En el Tipo de Instalación elige “Borrar disco e Instalar Santoku“
- ¿Quién es usted?, nombra tu máquina virtual y establece una contraseña segura para el acceso de inicio de sesión. También puedes seleccionar Iniciar sesión automáticamente, pero no es una buena opción.
- Ahora Santoku comenzará a copiar archivos e instalar. Siéntate y espera unos minutos después de que se reinicie.
- En la imagen de abajo está nuestro Santoku instalado, eso significa que nuestra primera parte está completa.
4. Configuración de Laboratorio Pentesting para Android: GenyMotion
Ahora puedes descargar Genymotion desde el siguiente enlace:
- También lo puedes descargar desde Filehorse: Descargar Genymotion
- ¿Recuerdas las mejores páginas de descargas?: 10 Sitios Web Seguros para Descargar Software Gratis (Freeware)
Básicamente, Genymotion es un emulador de Android relativamente rápido que viene con Android pre-configurado con aceleración de hardware OpenGL adecuada para la prueba de aplicaciones.
- Después de instalar Genymotion, ve a https://www.genymotion.com/account/create/ y crea una cuenta gratuita allí y verifica tu ID de correo electrónico. A continuación, regresa al software de escritorio genymotion e inicia sesión con las credenciales creadas.
- Ahora, para crear un AVD, haz clic en “Add“, aparecerá un nuevo menú donde podrás seleccionar dispositivos Android de acuerdo con las marcas de los dispositivos y los números de versión.
- Selecciona el dispositivo de acuerdo a su necesidad y haga clic en Next. Luego, en esta sección, revisa la configuración del dispositivo móvil Android y finalmente crea un dispositivo virtual.
- Ahora el dispositivo comenzará a descargar los datos y desplegar el dispositivo Android virtual. (Tendrás que esperar unos minutos de acuerdo a su velocidad de internet)
- Aquí puedes ver que creé 1 dispositivo virtual. Ahora selecciona el dispositivo y ejecútalo (Clic en Start).
- Finalmente, aquí está nuestro Dispositivo Virtual Android.
5. Creando un Laboratorio de Pentesting para Android
Para probar nuestra aplicación en busca de cualquier tipo de vulnerabilidad, necesitamos Android SDK porque en nuestra fase de prueba usaremos la línea de comando ADB (Android Debugger Bridge) casi siempre. Y Android SDK está preinstalado en Santoku OS. Entonces, ahora vamos a conectar Santoku a nuestro Dispositivo Virtual Android.
Dispositivo Virtual y tu IP
Puedes comprobar la IP del dispositivo virtual Android en la imagen anterior.
- Ahora abre la línea de comando en Santoku y escribe:
adb connect <IP del dispositivo virtual Android>- Puedes verificar si el dispositivo está conectado o no, escribe:
adb devicesEntonces, puedes ver que esa lista muestra que hay 1 dispositivo conectado.
Y aquí también puedes ejecutar shell para ingresar en el móvil Android escribiendo:
adb shellAsí que aquí se completa la creación de un laboratorio de pruebas de penetración para la aplicación de Android. Estén atentos ahora a los próximos artículos sobre penetration testing y hacking en aplicaciones de Android.
6. Tutorial: Lab Pentesting con VirtualBox, Santoku y GenyMotion
También te interesará saber como Hackear cualquier teléfono Android con DroidJack
