lunes, 4 de julio de 2011

Auditing Mobile Apps (Sin Demo)

Como ya comentamos en un anterior post, la semana pasada tuve la oportunidad de dar una charla dentro del IV Curso de Verano de Seguridad y Auditoría Informática que organizaron en la Universidad Europea de Madrid.

El tema de la publicación de las slides es algo que me he pensado bastante si hacer o no, porque durante la charla, como demostración de qué tipo de cosas se pueden encontrar auditando aplicaciones para móviles, enseñé una vulnerabilidad en la conocida aplicación WhatsApp que permitía el robo de cuentas de usuario, y por lo tanto la suplantación de identidad de cualquier usuario del servicio.

La vulnerabilidad fue descubierta durante una tarea de investigación sobre este tipo de aplicaciones, y en el momento de escribir estas lineas se trata de un 0-Day del que no existe una versión no vulnerable por parte del fabricante.

Al final, aunque el Full-Disclosure resulta mucho más divertido, tras consultarlo con el responsable del Departamento de Auditoría de S21sec, decidimos hacer un Responsable-Disclosure, por lo que hemos decidido eliminar de la presentación las slides que daban los detalles técnicos de la vulnerabilidad y notificar al equipo de desarrollo de WhatsApp para que la corrijan antes de sacar el advisory.

De cualquier modo, el resto de las slides las he subido a SlideShare para que los que asististeis (y los que no) las podáis ver, aunque la verdad es que sin las transiciones del KeyNote y los ácidos chistes sin gracia del ponente, no es lo mismo :P




ACTUALIZACIÓN! Parece ser que en la presentación SlideShare no se aprecian muy bien las transiciones y por tanto no se ven muy claras algunas cosas, sobretodo la parte del MitM HTTPS, así que he exportado la presentación a video y también la he subido.

1 comentario:

Sergio Arcos dijo...

Jajaja, la cosa cambia bastante con las animaciones!

Muy buena currada! Y gracias por la aclaración ;)