INFORME TAREA 2

Asignatura: Seguridad en Redes

Integrantes: Villarreal Rosales Jorge Luis

Fecha de informe: 29-10-2021

A. TÍTULO

Prueba de seguridad de aplicaciones móviles con MobSF.

B. INTRODUCCIÓN

En el siguiente informe se plantea conocer herramientas que permiten analizar

aplicaciones móviles, a tal punto de conocer que accesos y permisos solicitan a
nuestro dispositivo móvil, así como verificar el potencial riesgo que conlleva su
instalación. Para ello se ha implementado un software capaz de analizar
aplicaciones de Android (apk) como lo es MobSF, en ella encontraremos un
sinnúmero de funciones de gran utilidad para verificar si una apk es segura o a su
vez no si es una fuente de posibles ataques a las vulnerabilidades latentes de
dispositivos móviles. Es importante disponer de los comandos necesarios para la
instalación del software, así como una máquina basada en sistema Linux, en este
caso Kali.

C. OBJETIVO DEL PROYECTO

Objetivo General.

• Ejecutar un análisis de vulnerabilidades y amenazas presentes en

aplicaciones móviles (apk) mediante la herramienta de MobSF en Kali
Linux.

Objetivos Específicos.

• Descargar e instalar Kali Linux en su última versión.

• Descargar y ejecutar el programa MobSF en Kali Linux.
• Seleccionar una apk para ser analizada en MobSF.
• Determinar los permisos que requiere la aplicación móvil seleccionada.
D. METODOLOGÍA

Figura 1. Metodología

E. MARCO TEÓRICO

MobSF

Es una herramienta de código abierto para realizar test de penetración

automatizado en aplicaciones Android y iOS, capaz de realizar análisis estático y
dinámico. Esta herramienta pretende minimizar el tiempo, que con un conjunto de
herramientas llevaría realizar: la decodificación, la depuración, revisión de código y
la prueba de penetración. Mobile Security Framework se puede utilizar para el
análisis de seguridad rápido y eficaz, siendo compatible con los binarios (APK y
IPA) y el código fuente comprimido. (ElHacker.net, 2021)

TeleLatino

Es una aplicación gratuita que nos permite ver canales de televisión latinos y
españoles gratis. Por si fuera poco, también nos da películas y series con
temporadas completas de manera gratuita, sin tener que pagar. (Tele Latino, s.f.)

Vulnerabilidad

Es una debilidad o fallo en un sistema de información que pone en riesgo la

seguridad de la información pudiendo permitir que un atacante pueda
comprometer la integridad, disponibilidad o confidencialidad de esta, por lo que es
necesario encontrarlas y eliminarlas lo antes posible. (INCIBE, 2020)

Vulnerabilidad de Janus

Un archivo APK es un archivo zip, que puede contener bytes arbitrarios al

principio, antes de sus entradas zip (en realidad, de manera más general, entre
sus entradas zip). Por otro lado, un archivo DEX puede contener bytes arbitrarios
al final, después de las secciones regulares de cadenas, clases, definiciones de
métodos, etc. Un archivo puede, por lo tanto, ser un archivo APK válido y un
archivo DEX válido al mismo tiempo. (Guardsquare, 2017)

F. RECURSOS MATERIALES Y EQUIPO

Entre los principales materiales y equipos empleados están:

• Laptop.
• SO de Kali Linux.
• Software de MobSF.
• Apk de Tele Latino.

G. DESCRIPCIÓN DEL DESARROLLO DE LA PRÁCTICA

Mediante la herramienta de VirtualBox, se procede a crear una máquina virtual la

cual permitirá el desarrollo de la práctica. Para ello descargamos un archivo ISO
de Kali Linux2021.3a y lo montamos en la máquina virtual para proceder a la
instalación.

Figura 2. Instalación de Kali Linux 2021.3a

Una vez culminado el proceso de instalación, se procede a ejecutar el terminal, y
procederemos a realizar la instalación y configuración respectiva del MobSF. Para
ello debemos ingresar con permisos de usuario root.

Figura 3. Ejecución de Kali Linux.

Una vez ejecutado el terminal es muy importante realizar las siguientes

configuraciones para poder realizar con éxito la instalación de MobSF.

• Primeramente, lo que hacemos es instalar Python en versión 3.9 para ello

empleamos el comando: sudo apt install python3-pip python3-venv python3-
pip python3-dev build-essential libffi-dev libssl-dev libxml2-dev libxslt1-dev
libjpeg8-dev zlib1g-dev
• Posteriormente, se procede a clonar MobSF en versión GUI desde su
repositorio de GitHub empleando el siguiente comando: git clone
https://github.com/MobSF/Mobile-Security-Framework-MobSF --depth=1
• Posteriormente ingresamos al directorio mediante el comando: cd Mobile-
Security Framework-MobSF
• Mediante comando ls observamos el archivo setup.sh.
• Después lo ejecutamos mediante: ./setup.sh
• Para ejecutarlo en nuestro localhost usamos el siguiente comando: ./run.sh
127.0.0.1:8000
Posteriormente observaremos como Mobile Security Framework se iniciará en la
dirección local de 127.0.0.1:8080

Figura 4. Instalación y ejecución de MobSF V.3.4.

Una vez tengamos realizado hasta el paso anterior, se procede a ejecutar el

navegador e ingresar a la dirección local host, posteriormente observaremos la
interfaz gráfica de MobSF y la versión que disponemos.

Figura 5. Ejecución de la dirección de local host para la interfaz de MobSF.

Posteriormente descargamos una apk, en este caso se ha optado por la aplicación
de TeleLatino.apk, la cual se almacenará en nuestra máquina en la carpeta de
Descargas.

Figura 6. Descarga de la apk TeleLatino.

En la opción de “Upload & Analyze” seleccionamos la ubicación de la apk que

vamos a analizar y posteriormente damos en “Aceptar”, de esta manera se
empezará con el proceso de análisis.

Figura 7. Subir la apk al software de MobSF.

Debemos tener un poco de paciencia mientras MobSF analiza las diferentes

características y vulnerabilidades que presenta nuestra apk.
 Figura 8. En espera de que MobSF analice la apk.

Figura 9. Opciones que brinda MobSF para el análisis de la apk.

Una vez seleccionado un parámetro que nos brinda MobSF, podemos ir analizando parte por
parte, pero sería muy extenso, de tal forma que vamos a especificar las características principales
del análisis de la .apk y posteriormente las vulnerabilidades que presenta dicha aplicación.

Figura 10. Información de TeleLatino.apk

 Figura 11. Información de TeleLatino.apk

Figura 12. Opciones de código descompilado de TeleLatino.apk

Vulnerabilidades.

Entre las principales vulnerabilidades que encontramos lo podemos reflejar en el

informe adjunto.

Figura 13. Vulnerabilidad de Janus.

Figura 14. Trackers.

H. RESULTADOS Y CONCLUSIONES

I. Resultados
 • Observamos que en si los riesgos altos reflejados en el reporte se deben
más a que son permisos que no son muy empleados o relacionados con el
normal funcionamiento de la apk, por ende es necesario no brindar acceso
a dichos permisos en nuestro dispositivo.
• Al observar que el parámetro de Average CVSS o conocido como Common
Vulnerability Scoring System es igual a 0, nos representa que la apk de
Tele Latino mantiene un numero de vulnerabilidades muy por debajo de la
media, puesto a que se maneja un promedio de 6.5 en esta escala para ser
considerado de alto riesgo.
• En Security Score se obtiene el valor de 100/100, lo cual reflejado en el
reporte se debe a que las vulnerabilidades son mínimas y a su vez los
riesgos altos que pueden existir son por mala práctica del usuario.
• En Trackers Detection se obtuvo 0/407, lo cual refleja que no existe riesgo
de que la información sea detectada por otro peer.
• La vulnerabilidad de Janus que se observa en los inicios del reporte se
debe a que Tele Latino tiene la posibilidad de agregar bytes adicionales a
los archivos apk de la misma.

J. Conclusiones

• Las aplicaciones de sitios seguros como las tiendas oficiales de Android e

iOS, cumplen con estrictas normas de calidad en lo que respecta a
detención de vulnerabilidades y es por ello que son muy difíciles de hacker
o a su vez vulnerar información valiosa de los usuarios.
• MobSF es un software de gran utilidad debido a que permite tener un
análisis enfocado en características y permisos que las apk´s manejan al
momento de ser instaladas y poder verificar si estos tienen carácter seguro
o a su vez sirven como mecanismos donde los atacantes ven brechas para
el ingreso.
• MobSF permite obtener un reporte detallado, el cual lo podemos encontrar
en el siguiente enlace: ReporteTeleLatino_J_Villarreal.

K. Recomendaciones

• Verificar la correcta instalación de Python en versiones superiores a las

requeridas por el software.
• Se puede generar un reporte en formato .pdf, el cual permite tener un
mayor detalle de las aplicaciones analizadas.
• Es necesario disponer de Kali Linux en su versión más actual, de tal
forma que se permita la adecuada instalación de MobSF. En este caso
Kali Linux 2021.3a
L. BIBLIOGRAFÍA

ElHacker.net. (3 de Febrero de 2021). Mobile Security Framework (MobSF): Herramienta

análisis aplicaciones para móviles para Android - iOS. Obtenido de
ElHacker.net: https://blog.elhacker.net/2021/01/herramienta-analisis-app-
apk-android-malware-automatizada-mobsf-mobile-security-framework.html

Guardsquare. (13 de Noviembre de 2017). New Android vulnerability allows

attackers to modify apps without affecting their signatures. Obtenido de
Guardsquare: https://www.guardsquare.com/blog/new-android-vulnerability-
allows-attackers-to-modify-apps-without-affecting-their-signatures-
guardsquare

INCIBE. (20 de Marzo de 2020). Amenaza vs Vulnerabilidad, ¿sabes en qué se

diferencian? Obtenido de INCIBE: https://www.incibe.es/protege-tu-
empresa/blog/amenaza-vs-vulnerabilidad-sabes-se-diferencian

Tele Latino. (s.f.). QUÉ ES TELE LATINO Y PARA QUÉ SIRVE ? Recuperado el
28 de Octubre de 2021, de Tele Latino: https://telelatinoapk.com/