5 FERRAMENTAS

PARA PENTEST
MOBILE QUE TODO
PENTESTER DEVE
CONHECER


5 ferramentas para Pentest

Mobile que todo Pentester deve
conhecer


O mercado de aplicativos mobile emergiu e tem crescido absurdamente rápido nos últimos anos com o
crescimento e popularização dos smartphones.


Estamos na maior curva de crescimento já vista na história

Com esse alto crescimento na tecnologia temos um alto crescimento e impacto de vulnerabilidades e problemas
de segurança e é justamente nesse ponto que entramos, os Testes de Segurança em Aplicativos Mobile mais
conhecidos como Pentest Mobile.

Atualmente a segunda maior demanda que temos em serviços de Pentest aqui na empresa é para testes em
aplicativos mobile, por isso decidi listar abaixo as 5 principais ferramentas que todo Pentester (Profissional que
realiza testes de segurança) deve conhecer para realizar Pentest em Aplicativos Android.


Android Studio / Android Virtual Device / SDK Tools

O Android Studio é um Kit de Desenvolvimento de Software para Android no qual oferece as ferramentas mais
rápidas para criar aplicativos em todos os tipos de dispositivos Android.

Mas porque colocamos ele na lista para Pentest Mobile? O fato é que ter um ambiente de desenvolvimento é
muito interessante não só para entender o processo de desenvolvimento de um aplicativo, mas também por
conta de ter acesso a um emulador e alguns utilitários essenciais durante a comunicação com o device durante
os testes de segurança.

APKTOOL
É uma ferramenta para engenharia reversa de aplicativos Android, ela pode decodificar recursos para um
formato próximo ao original e reconstruí-lo após fazer modificações.

Essa ferramenta é muito útil em Pentest Mobile pois podemos analisar arquivos do aplicativo, código smali e
podemos fazer alterações no código e reconstruir o app para burlar problemas lógicos por exemplo.

DEX2JAR
O dex2jar permite converter códigos dex no formato jar (Java Archive) no qual permite visualizar os arquivos
.class de forma organizada.

Em Pentest Mobile é muito interessante pois permite analisarmos o código do aplicativo afim de entender a
lógica e assim descobrir vulnerabilidades de segurança.

JD-GUI
JD-GUI é um utilitário gráfico que permite uma visualização de código fonte java de arquivos .class. Podemos
abrir um .jar utilizando ele e teremos uma visualização legível de toda estrutura e do código fonte.

Em Pentest Mobile o JD-GUI torna muito fácil a visualização do código fonte de forma gráfica tornando mais
simples o entendimento do código assim como descoberta de vulnerabilidades e informações sensíveis.

BURP SUITE
Essa sem dúvidas não pode faltar na caixa de ferramentas de um Pentester, o Burp Suite é um proxy muito
conhecido para Pentest WEB. Ele permite interceptar, analisar e modificar a comunicação entre cliente e
servidor.

Em Pentest Mobile isso é muito interessante pois podemos analisar a comunicação entre o aplicativo e o
servidor remoto (backend) e em muitos casos burlar controles de segurança, acessar informações sensíveis ou
fraudar o aplicativo.