Hola a todos!
En el día de hoy os traigo junto a Francisco Palma (@1c3t0rm) una entrada sobre el análisis de la versión NO oficial de MSN Messenger para Android disponible desde hace pocos días en la Play Store.
Antes de empezar, si acabas de enterarte del lanzamiento de MSN Messenger para Android, recomendamos la siguiente lectura: https://www.proandroid.com/msn-messenger-android-clm-messenger/
Hemos decidido «separar» esta entrada en dos pequeñas partes, la primera en la cual Francisco nos enseñará a realizar un pequeño análisis de la aplicación obteniendo grandes resultados. Y la segunda, en la que yo (@alvarodh5), os contaré los movimientos que siguió el autor de esta aplicación cuando se le reportaron dichos fallos.
Primera Parte
Antes de nada, me gustaría agradecer a todos que forman parte del blog y sobre todo a Marcos (@_N4rr34n6_) y a Álvaro (@alvarodh5) por darme la oportunidad de realizar esta entrada y por el gran trabajo que realizan todos los usuarios de la comunidad informándonos con sus posts.
La idea de este post no es más que concienciar a todos de la importancia de nuestros datos y de que una mala práctica de implementación puede poner en peligro nuestra privacidad.
Sin nada más que añadir… ¡Comencemos!
A través de Twitter llegó a mí una aplicación que se hacía llamar «CLM – Chat Live Messenger» que decía reproducir aquella sensación nostalgia que nos hacía tener Messenger (MSN) de una manera muy similar a la aplicación del 2005.
No soy muy dado a instalar aplicaciones en mi dispositivo actual, sin antes echar un ojo… (Creo que todos aquí tenemos ese tipo de curiosidad con las cosas de vez en cuando 😉 )
Empecé por algo sencillo: ¿Qué me proporciona Play Store?
A partir de este punto me decidí a descargarme la apk en mi ordenador y proceder a analizarla.
Una buena fuente de APKs sería Apkpure (https://apkpure.com/es/clm-chat-live-messenger/com.welbertsoft.chatlivemessenger), así que la usaremos en este post.
En este punto una vez identificada nuestra aplicación a analizar podemos partir hacia muchas ramas, dos de ellas comunes podrían ser o centrarnos en la lógica que hay detrás de esta aplicación o simplemente observar como realiza las conexiones nuestro dispositivo con su servidor.
En este post vamos a tratar ambas, para la primera utilizaremos JADX (https://github.com/skylot/jadx) que nos echará una mano en decompilar el archivo .dex de la apk para así poder leer un poco la lógica de la misma. Y para la segunda usaremos algunas aplicaciones tanto en Android como en escritorio, que serán Packet Capture, Postman y cURL.
Pero procedamos primero a analizar la aplicación decompilando sus clases con JADX y leyendolas para ver que encontramos. Para esto me gusta iniciar la decompilación en consola e ir abriendo tranquilarmente en un editor como podría ser Sublime Text o VS Code dichas clases según se van decompilando.
curl http://msnmessenger.xyz/app/pictures/ > clmdump.html
Segunda Parte