A Apple, como a maioria das principais empresas de tecnologia, oferece um programa de Bug Bounty para reportar vulnerabilidades e bugs em seus sistemas e aplicativos. Diante disso, muitas empresas ou instituições procuram melhorar a segurança de seus desenvolvimentos através destes programas ou contratando serviços de pentesting. O fato é que a identificação de vulnerabilidades e falhas de segurança no processo de projeto e desenvolvimento de aplicativos ou sistemas é uma tarefa fundamental e continuará sendo dessa forma. Especialmente porque as empresas estão cada vez mais conscientes da importância deste processo para os negócios, o que envolve minimizar ao máximo as chances dos usuários sofrerem incidentes de segurança ou terem problemas que possam afetar aspectos de privacidade.
O acesso à informação nos dias de hoje permite aos usuários adquirir conhecimentos de forma autodidata ou através de cursos e milhares de recursos disponíveis na Internet. Tendo isso em conta, decidi separar alguns artigos para produzir um pequeno guia de pentesting em aplicativos mobile para iOS que destaca alguns aspectos fundamentais ao entrar neste universo.
1. Arquitetura de segurança no iOS
Vamos começar revendo a arquitetura de segurança do sistema operacional iOS para entender as regras do jogo, quais serão nossas limitações, os desafios e que ferramentas precisaremos para começar neste mundo maravilhoso.
Artigo (texto em espanhol): Arquitectura de Seguridad iOS: las bases del pentesting para este sistema operativo
2. Jailbreak para realizar pentesting em aplicativos para iOS
Como sugestão de segundo artigo, escolhi um texto que destaca o jailbreak com foco pentesting em aplicativos para iOS. Neste artigo explicamos o que é jailbreak, quais tipos existem e como fazer jailbreak com o Checkra1n e Uncover.
Artigo (texto em espanhol): Jailbreak: todo lo que debes saber para realizar pentesting sobre aplicaciones iOS
3. Bases metodológicas e práticas na hora de realizar pentestesting no iOS
Agora entraremos no básico teórico e prático para começar a realizar pentesting em aplicativos para iOS. Analisaremos temos como o ambiente e o cenário de trabalho para entender como instalar os aplicativos que queremos analisar, que testes devemos começar a realizar, entre outros pontos.
Artigo (texto em espanhol): Pruebas de pentesting en aplicaciones iOS: bases metodológicas y prácticas
4. Ferramentas para análise de segurança em aplicativos iOS
Para saber quais ferramentas e técnicas de análise são necessárias para realizar pentesting em aplicativos para iOS, confira o artigo abaixo, no qual explicamos como analisar o tráfego de rede, túneis SSH e outras comunicações no dispositivo e destacamos algumas ferramentas de debbuger.
Artigo (texto em espanhol): Herramientas y técnicas de análisis para pentesting en aplicaciones iOS