Smartphone Pentest Framework: herramienta para pentests de teléfonos inteligentes

Cuando hablamos de realizar un test de intrusión siempre pensamos en poner a prueba la seguridad de un servidor o red de servidores normalmente detrás de algún elemento de protección como un firewall. Todos los pentesters tienen su metodología y colección de herramientas pero, ¿y si les dijéramos que hicieran un pentest para un conjunto de teléfonos inteligentes dentro de una red Wi-Fi? Seguramente se verían sorprendidos...
hoy en día no soltamos los teléfonos móviles ni para mear... literalmente.
Piénsalo, si dentro del vagón del metro levantas la mirada verás que la mayoría de la gente viaja ensimismada mirando la pantallita de su smartphone. No sería arriegado asegurar que ya hay muchos más teléfonos inteligentes que ordenadores domésticos y ¿qué son si no pequeñas computadoras de bolsillo?. Sí, los pentests para smartphones serán cada vez más demandados...

Smartphone Pentest Framework (en adelante SPF) es una herramienta de seguridad de código abierto, diseñada precisamente para ayudar en la evaluación de la seguridad de los teléfonos inteligentes, es decir, contiene ataques en remoto, ataques del lado del cliente, de ingeniería social y post-explotación para smartphones.

Las primeras versiones incluyen una consola hecha en Perl, un frontal web, una aplicación para Android y un agente para post-explotación, de momento también para Android aunque previsto y en desarrollo para iPhone y Blackberry.





Además recientemente se ha liberado la versión 0.1.7 que añade SMS shell pivot y un nuevo script para instalar SPF en Kali Linux. También se preveen nuevos módulos para más vectores de ataque y la integración con otras herramientas como Metasploit y SET. ¡No te la pierdas!

Fuentes:
Smartphone Pentest Framework (Bulb security)

Videos:
Smartphone Pentest Framework Pre-release Teaser 1
SPF Version 0.1.7 Features Video

Comentarios