Каждый день мир переходит на смартфоны и использует их как цифровое устройство по своему усмотрению. Люди используют смартфоны не только для голосовой связи, но и для веб-сервисов, электронной почты, SMS, чатов, социальных сетей, фотосъемки, платёжных сервисов и так далее.
Сегодня в мире насчитывается 2,3 миллиарда пользователей смартфонов, и ожидается, что к 2020 году их число вырастет до 6,1 миллиарда (на планете проживает 7,3 миллиарда человек, то есть почти по одному смартфону на человека). Это означает, что смартфон станет излюбленной целью хакеров, поскольку он может предоставить огромное количество информации о его владельце и стать ключевой точкой входа в корпоративную и институциональную сеть.
В этой серии мы рассмотрим методы взлома смартфонов, которые обычно различаются в зависимости от типа операционной системы (iOS, Android, Windows Phone и т. д.). Поскольку Android — самая распространённая операционная система (в настоящее время 82,8%), логично начать именно с неё. Далее мы рассмотрим взлом iOS от Apple (13,9%) и Windows Phone от Microsoft (2,6%). Я считаю, что нет смысла тратить время на операционную систему BlackBerry, поскольку она занимает всего 0,3% рынка, и я не думаю, что она продержится долго. Кроме того, её последнее устройство работает на Android, поэтому взлом Android применим и к ней.
В этой первой части мы создадим безопасную виртуальную среду для тестирования различных взломов. Сначала мы создадим несколько виртуальных устройств Android. Затем мы скачаем и установим фреймворк для пентеста смартфонов. Этот фреймворк, финансируемый Министерством обороны США и разработанный Джорджией Вайдман, — отличный инструмент для создания и тестирования эксплойтов против смартфонов.
Давайте начнем с создания и развертывания виртуальных устройств Android, которые будут служить целями в нашей лаборатории.
Шаг 1: Откройте терминал
Конечно, для начала запустите Kali и откройте терминал.
Шаг 2: Установка необходимых библиотек
Для запуска этих виртуальных устройств Android в 64-битных операционных системах Debian (например, Kali) нам потребуется установить несколько ключевых библиотек, которые не включены по умолчанию. К счастью, все они есть в репозитории Kali.
kali > apt-get install lib32stdc++6 lib32ncurses5 lib32zl
Установив эти три библиотеки, мы можем приступить к установке Android Software Developer Kit (SDK).
Шаг 3: Установка Android SDK
Используя браузер Iceweasel в Kali, перейдите на сайт Android SDK и скачайте Android SDK Tools. Убедитесь, что вы скачали комплект для Linux. Вы можете скачать и установить комплекты для Windows или Mac, а затем протестировать виртуальные устройства в Kali, но это немного усложнит задачу. Давайте не будем усложнять и установим всё в Kali.
После загрузки вы можете извлечь его с помощью графического архиватора Kali или с помощью командной строки.
Шаг 4: Перейдите в каталог инструментов.
Далее нам необходимо перейти в каталог tools каталога SDK.
kali > cd /android-pentest-framework/sdk/tools
Перейдя в каталог инструментов, можно запустить приложение Android. Просто введите:
кали > ./android
После этого откроется графический интерфейс SDK Manager, подобный показанному выше. Теперь мы загрузим две версии операционной системы Android, чтобы попрактиковаться в взломе смартфонов: Android 4.3 и Android 2.2. Найдите их в списке, установите флажок рядом с ними и нажмите кнопку «Установить XX пакетов». SDK загрузит эти версии в вашу Kali.
Шаг 5: Диспетчер виртуальных устройств Android
После загрузки всех пакетов нам нужно собрать виртуальные устройства Android (AVD). В диспетчере SDK, показанном выше, выберите «Инструменты» -> «Управление AVD», после чего откроется интерфейс, аналогичный показанному ниже в диспетчере виртуальных устройств Android.
Нажмите «Создать», и откроется интерфейс, подобный показанному ниже. Создайте два виртуальных
устройства Android: одно для Android 4.3 и одно для Android 2.2. Я просто назвал свои устройства «Android 4.3» и «Android 2.2» и рекомендую вам сделать то же самое.
Выберите устройство Nexus 4, соответствующую цель (API 18 для Android 4.3 и API 8 для Android 2.2), а также «Тема оформления с динамическими аппаратными элементами управления». Остальные настройки оставьте по умолчанию, за исключением добавления SD-карты объёмом 100 МБ.
Шаг 6: Запустите виртуальное устройство Android
После создания двух виртуальных устройств Android диспетчер виртуальных устройств Android с двумя устройствами должен выглядеть следующим образом:
Далее выделите одно из виртуальных устройств и нажмите «Пуск».
Это запустит эмулятор Android, создающий ваше виртуальное устройство Android. Будьте терпеливы — это может занять некоторое время. После завершения процесса на рабочем столе Kali должен появиться виртуальный смартфон!
Шаг 7: Установка платформы для пентеста смартфона
Следующий шаг — установка Smartphone Pentest Framework. Вы можете скачать его с помощью git clone по ссылке:
kali > git clone https://github.com/georgiaw/Smartphone-Pentest-Framework.git
Шаг №8 Запуск Apache и MySQL
Так как нам понадобятся веб-сервер и база данных MySQL, запустите обе эти службы:
kali > service apache2 start
kali > service mysql start
Шаг 9: Редактирование файла конфигурации
Как и практически все приложения на базе Linux, Smartphone Pentest Framework настраивается с помощью простого текстового файла конфигурации. Сначала необходимо перейти в каталог с подкаталогом консоли фреймворка:
Kali > cd /root/Smartphone-Pentest-Framework/frameworkconsole
Затем откройте файл конфигурации в любом текстовом редакторе. В данном случае я использовал Leafpad:
kali > leafpad config
Нам потребуется отредактировать переменные IPADDRESS и SHELLIPADDRESS, чтобы они отражали фактический IP-адрес вашей системы Kali (вы можете узнать его, введя «ifconfig»).
Шаг 10: Запуск фреймворка
Теперь мы готовы запустить фреймворк для пентеста смартфонов. Просто введите:
кали > ./framework.py
И это должно открыть меню Framework, как показано ниже.
Теперь мы готовы приступить к взлому смартфонов!
Возвращайтесь к Hackers-Arise, где мы используем Smartphone Pentest Framework и другие хаки, чтобы взять под контроль ваши любимые мобильные устройства!
Сегодня в мире насчитывается 2,3 миллиарда пользователей смартфонов, и ожидается, что к 2020 году их число вырастет до 6,1 миллиарда (на планете проживает 7,3 миллиарда человек, то есть почти по одному смартфону на человека). Это означает, что смартфон станет излюбленной целью хакеров, поскольку он может предоставить огромное количество информации о его владельце и стать ключевой точкой входа в корпоративную и институциональную сеть.
В этой серии мы рассмотрим методы взлома смартфонов, которые обычно различаются в зависимости от типа операционной системы (iOS, Android, Windows Phone и т. д.). Поскольку Android — самая распространённая операционная система (в настоящее время 82,8%), логично начать именно с неё. Далее мы рассмотрим взлом iOS от Apple (13,9%) и Windows Phone от Microsoft (2,6%). Я считаю, что нет смысла тратить время на операционную систему BlackBerry, поскольку она занимает всего 0,3% рынка, и я не думаю, что она продержится долго. Кроме того, её последнее устройство работает на Android, поэтому взлом Android применим и к ней.
В этой первой части мы создадим безопасную виртуальную среду для тестирования различных взломов. Сначала мы создадим несколько виртуальных устройств Android. Затем мы скачаем и установим фреймворк для пентеста смартфонов. Этот фреймворк, финансируемый Министерством обороны США и разработанный Джорджией Вайдман, — отличный инструмент для создания и тестирования эксплойтов против смартфонов.
Давайте начнем с создания и развертывания виртуальных устройств Android, которые будут служить целями в нашей лаборатории.
Шаг 1: Откройте терминал
Конечно, для начала запустите Kali и откройте терминал.
Шаг 2: Установка необходимых библиотек
Для запуска этих виртуальных устройств Android в 64-битных операционных системах Debian (например, Kali) нам потребуется установить несколько ключевых библиотек, которые не включены по умолчанию. К счастью, все они есть в репозитории Kali.
kali > apt-get install lib32stdc++6 lib32ncurses5 lib32zl
Установив эти три библиотеки, мы можем приступить к установке Android Software Developer Kit (SDK).
Шаг 3: Установка Android SDK
Используя браузер Iceweasel в Kali, перейдите на сайт Android SDK и скачайте Android SDK Tools. Убедитесь, что вы скачали комплект для Linux. Вы можете скачать и установить комплекты для Windows или Mac, а затем протестировать виртуальные устройства в Kali, но это немного усложнит задачу. Давайте не будем усложнять и установим всё в Kali.
После загрузки вы можете извлечь его с помощью графического архиватора Kali или с помощью командной строки.
Шаг 4: Перейдите в каталог инструментов.
Далее нам необходимо перейти в каталог tools каталога SDK.
kali > cd /android-pentest-framework/sdk/tools
Перейдя в каталог инструментов, можно запустить приложение Android. Просто введите:
кали > ./android
После этого откроется графический интерфейс SDK Manager, подобный показанному выше. Теперь мы загрузим две версии операционной системы Android, чтобы попрактиковаться в взломе смартфонов: Android 4.3 и Android 2.2. Найдите их в списке, установите флажок рядом с ними и нажмите кнопку «Установить XX пакетов». SDK загрузит эти версии в вашу Kali.
Шаг 5: Диспетчер виртуальных устройств Android
После загрузки всех пакетов нам нужно собрать виртуальные устройства Android (AVD). В диспетчере SDK, показанном выше, выберите «Инструменты» -> «Управление AVD», после чего откроется интерфейс, аналогичный показанному ниже в диспетчере виртуальных устройств Android.
Нажмите «Создать», и откроется интерфейс, подобный показанному ниже. Создайте два виртуальных
устройства Android: одно для Android 4.3 и одно для Android 2.2. Я просто назвал свои устройства «Android 4.3» и «Android 2.2» и рекомендую вам сделать то же самое.
Выберите устройство Nexus 4, соответствующую цель (API 18 для Android 4.3 и API 8 для Android 2.2), а также «Тема оформления с динамическими аппаратными элементами управления». Остальные настройки оставьте по умолчанию, за исключением добавления SD-карты объёмом 100 МБ.
Шаг 6: Запустите виртуальное устройство Android
После создания двух виртуальных устройств Android диспетчер виртуальных устройств Android с двумя устройствами должен выглядеть следующим образом:
Далее выделите одно из виртуальных устройств и нажмите «Пуск».
Это запустит эмулятор Android, создающий ваше виртуальное устройство Android. Будьте терпеливы — это может занять некоторое время. После завершения процесса на рабочем столе Kali должен появиться виртуальный смартфон!
Шаг 7: Установка платформы для пентеста смартфона
Следующий шаг — установка Smartphone Pentest Framework. Вы можете скачать его с помощью git clone по ссылке:
kali > git clone https://github.com/georgiaw/Smartphone-Pentest-Framework.git
Шаг №8 Запуск Apache и MySQL
Так как нам понадобятся веб-сервер и база данных MySQL, запустите обе эти службы:
kali > service apache2 start
kali > service mysql start
Шаг 9: Редактирование файла конфигурации
Как и практически все приложения на базе Linux, Smartphone Pentest Framework настраивается с помощью простого текстового файла конфигурации. Сначала необходимо перейти в каталог с подкаталогом консоли фреймворка:
Kali > cd /root/Smartphone-Pentest-Framework/frameworkconsole
Затем откройте файл конфигурации в любом текстовом редакторе. В данном случае я использовал Leafpad:
kali > leafpad config
Шаг 10: Запуск фреймворка
Теперь мы готовы запустить фреймворк для пентеста смартфонов. Просто введите:
кали > ./framework.py
И это должно открыть меню Framework, как показано ниже.
Теперь мы готовы приступить к взлому смартфонов!
Возвращайтесь к Hackers-Arise, где мы используем Smartphone Pentest Framework и другие хаки, чтобы взять под контроль ваши любимые мобильные устройства!
