Introducción En una era de transformación digital sin precedentes, asegurar datos y comunicaciones confidenciales nunca ha sido más crítico. Uno de los desafíos importantes que enfrentan las organizaciones es garantizar la integridad y confidencialidad de los datos intercambiados entre aplicaciones móviles y servidores. Para salvaguardar esta comunicación, la fijación SSL se ha convertido en una práctica estándar. Sin embargo, a medida que evolucionan las amenazas de ciberseguridad, también lo hacen los métodos empleados por los cibercriminales para violar las medidas de seguridad. Esta publicación de blog profundiza en el papel crucial de Frida, un kit de herramientas de instrumentación dinámica, para evitar la fijación de SSL. Además, exploraremos las prácticas de codificación seguras destinadas a prevenir el derivación de la fijación de SSL, empoderar a las organizaciones empresariales con el conocimiento requerido para mejorar la seguridad de su aplicación móvil. Originalmente concebido por Netscape en 1995, su propósito principal era garantizar la privacidad, la autenticación y la integridad de los datos en las comunicaciones en línea. SSL sirve como precursor del protocolo de cifrado TLS (seguridad de la capa de transporte) ampliamente utilizado de hoy. Antes de vivir en SSL, vamos a comprender rápidamente HTTP/HTTPS y SSL/TLSHTTP VS HTTPSFIGURE 1 Ilustra las distinciones entre HTTP y HTTPS, destacando sus características respectivas. Figura 1: HTTP vs HTTPS de Internet. Pasos: • Cifrado: SSL encripta los datos transmitidos, lo que hace que sea ilegible y casi imposible descifrar para posibles interceptores. • Autenticación: SSL inicia un apretón de manos entre los dispositivos de comunicación para verificar su legitimidad. • Integridad de datos: SSL firma datos para mantener su integridad y confirmar que no se ha manifestado. SSL fijación de bypass Figura 3: SSL fijación de la arquitectura de derivación de la arquitectura SSL se puede eludir si no se implementa o configurar correctamente. Un enfoque común para evitar la fijación de SSL es el siguiente: 1. La objeción del marco de objeción es una herramienta de exploración móvil de tiempo de ejecución alimentada por Frida, diseñada para evaluar la seguridad de las aplicaciones móviles sin requerir un dispositivo de jailbroken o rooteado. Ofrece scripts y comandos predefinidos para explotar las vulnerabilidades. Pasos para reproducir: la instalación y el uso de la herramienta de objeción para evitar las vulnerabilidades es sencillo, gracias a su simple proceso de instalación. Nota: Instale Python y establezca la ruta para cualquier obstáculo para instalar Python y sus paquetes requeridos, utilizaremos la herramienta ‘PIP’ para instalar la objeción en el sistema. Objeción de instalación de PIP Figura 4: Instalación de la objeción Uso de PIP Nota: Tenga en cuenta que los requisitos ya están satisfechos, lo que indica que el software ya está instalado en el sistema. Después de la instalación exitosa de la objeción, es esencial verificar la funcionalidad adecuada. Para hacer esto, ejecute el comando de «objeción» para confirmar que se ejecuta sin problemas. Figura 5: Objeción instalada y ejecutada correctamente con la instalación exitosa de todos los requisitos previos, el siguiente paso es omitir la fijación de SSL de la siguiente manera: • Ejecutar el comando: «Objeción -g paquete_name explore» (donde ‘g’ representa el gadget y debe reemplazar el paquete con el paquete con el nombre del paquete de la aplicación anteriormente). están disponibles; Simplemente invóquelos usando el comando «Android sslpinning desactive». •This action will trigger a pop-up, opening the desired application.•Frida server must be running in android device to run Objection on system.•Proceed by clicking on “send request” to effectively bypass SSL pinning.Figure 6: Successfully Bypassed SSL Pinning 2.Frida Steps to Reproduce: As shown in Figure 7 below, a script is utilized to bypass SSL pinning.To accomplish this, perform the following steps: “Frida -U -l Frida-multiple-unpinning.py -f infosecadventures.allsafe «-u se utiliza para el nombre de script gadget-l adjunto-f apk_package_name figura 7 de la herramienta frida figura 8: no es la figura de frida figura 9: ssl fijador de ssl bypassfigure 10: ssl impinning bypas La información asegurada y confidencial puede estar expuesta, lo que lleva a un compromiso o un acceso no autorizado. Las medidas efectivas para la mitigación A.strong SSL/TLS Configuración de los protocolos SSL/TLS son responsables de asegurar la comunicación entre su aplicación y los servidores externos. Para mitigar las posibles vulnerabilidades, configure cuidadosamente su aplicación para usar las últimas versiones más seguras de estos protocolos. Además, aplique algoritmos de cifrado fuertes, longitudes de clave y procedimientos de validación de certificados. Al hacerlo, establecerá una base segura para la transmisión de datos y reducirá el riesgo de que los atacantes manipulen con éxito el mecanismo de fijación SSL. B. Evaluar la codificación o almacenar datos confidenciales para evitar ataques de derivación de SSL, evite la codificación dura o almacenen datos confidenciales, como claves API, contraseñas o claves de cifrado, directamente en el código de su aplicación. En su lugar, utilice mecanismos de almacenamiento seguros como Android Key Store o iOS Keychain para almacenar datos confidenciales de forma segura. Esta práctica reduce las posibilidades de que los atacantes obtengan acceso a información crítica, incluso si logran evitar la fijación de SSL. C. Pruebas de seguridad regulares Las pruebas de seguridad continuas son esenciales para identificar y abordar vulnerabilidades que podrían explotarse para evitar la fijación de SSL. Implemente evaluaciones de seguridad de rutina y pruebas de penetración de su aplicación móvil. Escanee regularmente las debilidades en la implementación de fijación de SSL y evalúe la postura de seguridad general de su aplicación. Al realizar pruebas de seguridad frecuentes, puede mantenerse por delante de las amenazas emergentes, aplicar parches oportunos y asegurarse de que sus mecanismos de fijación de SSL sigan siendo efectivos. D. Implemento El principio de menor privilegio para minimizar el riesgo de ataques de derivación SSL, adherirse al principio de menor privilegio. Esto significa que cada componente de su aplicación solo debe tener el nivel mínimo de acceso necesario para realizar sus funciones. Limite los permisos, los privilegios del usuario y el acceso de API a los elementos esenciales desnudos requeridos para la operación de la aplicación. E.Crypt Datos confidenciales Además de proteger los datos confidenciales del acceso no autorizado, es esencial cifrar estos datos tanto en reposo como en tránsito. Use algoritmos de cifrado fuertes para codificar datos antes de almacenarlos en el dispositivo o transmitirlos a través de la red. Esta capa adicional de seguridad asegura que incluso si la fijación de SSL se omite, los datos interceptados siguen siendo ilegibles para los actores maliciosos. F. Código de obfuscación La ofuscación es una práctica que implica hacer que el código fuente de su aplicación sea más difícil de comprender o revertir ingeniería. A través de la ofuscación del código, puede disuadir a los atacantes de descubrir debilidades en su implementación de fijación de SSL. Las herramientas de ofuscación modifican los nombres variables y de funciones, alteran el flujo de control y agregan código extraño para confundir a los ingenieros inversos. Si bien no proporciona seguridad absoluta, aumenta significativamente el esfuerzo requerido para que los atacantes analicen el código de su aplicación y idean métodos para evitar la fijación de SSL. Conclusión Con el aumento diario en el uso de aplicaciones móviles y móviles, las amenazas de seguridad relacionadas con las mismas también están en constante evolución. Las organizaciones deben permanecer atentos y proactivas para proteger sus aplicaciones móviles y los datos confidenciales que manejan. Entender el papel de Frida en el derivación de fijación de SSL es esencial tanto para los profesionales de la ciberseguridad como para los desarrolladores. Para mejorar la seguridad y mantener la confianza de los clientes, las empresas pueden reconocer riesgos potenciales, utilizar FRIDA para una investigación de seguridad legítima e implementar prácticas de codificación seguras. A medida que observamos el futuro, mantenerse informados sobre las amenazas emergentes y mejorar continuamente las medidas de seguridad serán cruciales para proteger los activos digitales y la reputación de las organizaciones en el mundo. Referencias de imagen: • https: //www.guru99.com/difference-http-vs-https.html • https: //compodosslstore.com/blog/what-is-ssl-tls-client-authentication-how-does-it-work.html • https: //www.cyclon3.com/bypass-facebook-ssl-certificate-pinning-for-ios referencias: • https: //redfoxsec.com/blog/ssl-pinning-bypass-doid-frida/ • https: //mas.owasp.org/mastg/techniques/android/mastg-tech-0012/ • https: //niiconsulting.com/checkmate/2019/04/ssl-pinning-introduction-bypass-for-noid/ • https: //blog.moove-it.com/prevent-bypassing-of-ssl-certificate-pinning-on-ios/