MASTG-TECH-0026: Análise Dinâmica em Dispositivos Non-Rooted

Dispositivos non-rooted têm a vantagem de replicar um ambiente no qual o aplicativo foi projetado para ser executado.

Graças a ferramentas como objection, você pode modificar o aplicativo para testá-lo como se estivesse em um dispositivo root (mas, é claro, confinado a esse aplicativo específico). Para isso, é necessário realizar uma etapa adicional: aplicar um patch no APK para incluir a biblioteca Frida gadget.

Agora você pode usar o Objection para analisar dinamicamente o aplicativo em dispositivos non-rooted.

Os comandos a seguir resumem como aplicar o patch e iniciar a análise dinâmica usando o Objection, utilizando Android UnCrackable L1 como exemplo:

# Baixar o APK do Uncrackable
$ wget https://raw.githubusercontent.com/OWASP/mastg/master/Crackmes/Android/Level_01/UnCrackable-Level1.apk
# Aplicar o patch no APK com o Frida Gadget
$ objection patchapk --source UnCrackable-Level1.apk
# Instalar o APK modificado no telefone Android
$ adb install UnCrackable-Level1.objection.apk
# Após executar o aplicativo no telefone, o Objection detectará o Frida-server em execução através do APK
$ objection explore