Frida en +/- 45 minutos, se tituló la presentación, en la cual los autores tuvieron la oportunidad de demostrar el potencial de la aplicación Frida y retribuir parte de su conocimiento con la comunidad de hackers nacionales.
Frida es un framework de instrumentación dinámica, eso quiere decir que con distintas técnicas y herramientas permite realizar un análisis en tiempo real de un proceso que está en ejecución, lo que permite, entre otras cosas, interactuar con la memoria o modificar el comportamiento de la aplicación, y todo eso con una aplicación en alto nivel en java script.
Dado que la mayoría de los análisis son estáticos, los especialistas escogieron un contexto android (móvil) para demostrar el potencial de la herramienta, la cual permite realizar un análisis dinámico y estudiar el comportamiento de aplicación mientras se está utilizando.
Para la demostración, Diego y Mateo habilitaron un servidor de Frida en el teléfono y un cliente en el computador y luego procedieron a preparar el entorno, explicando por qué se escogió emular un sistema android para la prueba utilizando Genymotion y señalaron también los requisitos de programación, como python (pip), adb, Apktool, Decompilador Java (JADX) y una Burpsuite.
En la siguiente etapa de la muy bien cuidada exposición, los ponentes fueron paso por paso demostrando cómo atacar la aplicación simulada de redes sociales en el andorid emulado, utilizando Frida, partiendo desde el lugar y los tutoriales donde se puede encontrar y descargar, hasta la forma en que se puede evadir los permisos de la aplicación.
Una vez que lograron ingresar al ambiente de la red social simulada, los expositores analizaron la aplicación, vieron el tráfico cifrado, analizaron el código, la implementaron localmente, luego automatizaron el proceso llamando a la función nativamente desde Frida y finalmente pudieron llamar a la información de otros usuarios, mostrando así el potencial de la herramienta.
Pero Diego y Mateo fueron un paso más allá y, utilizando python, pudieron realizar una integración con Brida para usarla en la Burpsuite, lo que simplifica y automatiza parte del trabajo que implica el uso de Frida.
Finalmente, y como un incentivo para los asistentes -y los lectores de esta nota-, los expositores abrieron un pequeño CTF con dos desafíos, los que está disponible en:
Los primeros dos jugadores que dentro de las 48 horas desde el final de la charla (sábado a las 17:00 horas) logren poner su flag en las dos pruebas, recibirán como premio un libro. Se tratan de dos ejemplares de Frida Handbook. Los desafíos se encuentran en:
Los ganadores estarán disponibles en el mismo repositorio.
https://github.com/TaconeoMental/frida-en-45-minutos
