Saltar a contenido

Requisitos previos del análisis móvil

Visión general

Ostorlab realiza análisis estáticos, dinámicos y de comportamiento de aplicaciones móviles. Estas capacidades utilizan un amplio espectro de motores, herramientas y técnicas para eludir las restricciones de las aplicaciones de producción y evaluar su seguridad.

Generalmente recomendamos probar las aplicaciones con todo el espectro de protecciones habilitado para validar el impacto de dichas protecciones, así como deshabilitarlas para comparar si se reportaron hallazgos adicionales o si se pasaron por alto debido a estas protecciones.

Mecanismos de protección que afectan las pruebas

1. Ofuscación

La ofuscación de código (Obfuscation) transforma el código fuente legible en una versión funcionalmente equivalente pero difícil de entender, lo que dificulta la ingeniería inversa (reverse engineering).

Impacto en las pruebas: La ofuscación de código hace que los desarrolladores tengan dificultades para leer los seguimientos de pila (stack traces) y saber dónde aplicar las correcciones.

2. TLS Pinning

El anclaje de certificados (TLS Pinning) valida que la aplicación solo se comunique con servidores legítimos codificando de forma rígida (hardcoding) el certificado del servidor esperado o la clave pública.

Impacto en las pruebas: Puede impedir la interceptación del tráfico en casos muy raros. Ostorlab cuenta con evasiones sólidas para el TLS pinning.

3. Protección en tiempo de ejecución

Los mecanismos de protección en tiempo de ejecución (Runtime protection) detectan y previenen los intentos de manipulación, depuración o instrumentación mientras la aplicación está en ejecución.

Impacto en las pruebas: Impide la instrumentación o parcheo de la aplicación para el análisis dinámico.

4. Prevención del modo de desarrollador

Detección y bloqueo de configuraciones de desarrollador, depuración USB y conexiones de depuración que podrían utilizarse para el análisis de la aplicación.

Impacto en las pruebas: Impide el uso de protocolos de depuración para la instrumentación de la aplicación.

5. Deshabilitar capturas de pantalla

Función de seguridad que impide realizar capturas de pantalla de la aplicación.

Impacto en las pruebas: Impide la toma de capturas de pantalla y podría dificultar ligeramente la exploración y el rastreo (crawling) automatizados de la aplicación.

Enfoque de prueba recomendado

  1. Ejecutar con todas las protecciones habilitadas
  2. Ejecutar con la detección del modo de desarrollador deshabilitada (si corresponde)
  3. Ejecutar con todas las protecciones deshabilitadas

Este enfoque de tres fases garantiza una evaluación de seguridad integral al validar la efectividad de la protección y, al mismo tiempo, identificar todas las posibles vulnerabilidades.