Ayer tuve la oportunidad de asistir a un taller de Pentesting Android en la ViCONgal impartido por Carolina Gómez Uriarte, y la verdad… fue una experiencia muy top.

Empezamos desde lo básico: la preparación del entorno. Algo que muchas veces se pasa por alto, pero que es clave.

Vimos las diferencias entre trabajar con dispositivo físico o emulador, y montamos un stack bastante completo con herramientas como ADB, MobSF, Burp Suite o Frida

A partir de ahí, entramos en materia.

Desde el primer contacto con un APK, aprendiendo qué mirar nada más tenerlo delante, hasta entender cómo analizar su estructura, el famoso AndroidManifest, y detectar posibles "red flags" como componentes expuestos, permisos excesivos o configuraciones inseguras

También tocamos análisis estático: buscar credenciales, endpoints, tokens… todo lo que una app puede estar exponiendo sin que nos demos cuenta.

Y por supuesto, la parte que más me llamó la atención: el análisis dinámico.

Interceptar tráfico, entender cómo se comunica la app, ver cómo funcionan cosas como el SSL Pinning y cómo se puede llegar a bypassear con herramientas como Frida u Objection… ahí es donde realmente ves el potencial de todo esto

Pero si me quedo con algo del taller, es el enfoque:

No se trata solo de usar herramientas, se trata de tener una metodología y un "flujo mental" claro a la hora de auditar una app.

Saber qué buscar, dónde mirar y por qué.

Muy buen contenido, muy bien explicado y, sobre todo, muy aplicable.

Sin duda, de esos talleres que te hacen salir con ganas de llegar a casa y ponerte a trastear.

Gracias de nuevo a Carolina Gómez Uriarte por impartir este taller, y también a Gema de la Fuente Romero, con quien pude hablar al final.

Me quedo con algo que me pareció muy interesante que hablé con Gema: no siempre hacen falta cosas súper "WOW" para encontrar fallos.

A veces, simplemente se trata de saber qué buscar, dónde buscar y cómo hacerlo.

Muchas gracias a las dos.

Y oye… para la próxima, a ver si os animáis a dar el taller juntas 😝

Ahora sí, sin mucho más que añadir…

Nos vemos el año que viene, os espero ehh 👀

Bueno, me voy, que tengo que seguir con el PDF del taller… que apenas es de nada más ni nada menos que de 120 páginas 😅

Ahora sí…

Bye ✌️

None