Cómo ejecutar una prueba de penetración en la cámara de un teléfono Android usando Kali Linux

Ha habido varias noticias sobre piratas informáticos que secuestraron cámaras de teléfonos Android para espiar a sus usuarios o proporcionarles imágenes falsas. Como propietario de un teléfono de alerta, es posible que desee evitarlo evaluando la probabilidad y los verdaderos riesgos de tal evento de amenaza.

Kali Linux es una de las mejores herramientas para verificar las posibles vulnerabilidades de la cámara de su teléfono Android a través de una prueba de penetración. Puede ayudarlo a mantenerse al tanto de cualquier intento de pirata informático de acceder de forma remota a la cámara del teléfono.

Instalación de una carga útil de exploits

Para usar Kali Linux para una prueba de penetración, primero descárguelo de su sitio oficial. Consulte este tutorial anterior para conocer las definiciones de varias jergas como “msfvenom”, “msfconsole”, “meterpreter” y más que se utilizarán en este ejercicio.

El primer paso en las pruebas de penetración es instalar una carga útil estándar de explotación en el dispositivo. Para esto, abra la terminal Kali Linux e ingrese el siguiente comando: ifconfig. Esto le dará la dirección IP de su sesión de Kali Linux.

Cámara Android Kali Linux Ifconfig

Ahora ingrese el comando que se muestra a continuación usando la dirección IP anterior. El número de puerto para exploits, troyanos y otras vulnerabilidades generalmente se da como 4444.

En este paso, intente inyectar una carga útil de metasploit, que se basa en un intérprete de Java. Si tiene éxito, la prueba de penetración lo ayudará a verificar si su teléfono es vulnerable a alguien que escuche llamadas telefónicas, acceda a SMS, geolocalice al usuario, etc.

En este caso, el intento es mostrar cómo el exploit puede usarse potencialmente para acceder a las cámaras del teléfono.

Lanzamiento de carga útil de Android Camera Kali Linux

Una vez que se inicia el exploit, se instalará un archivo APK llamado “Payload” en la carpeta raíz. Debe instalarlo en un teléfono Android de destino. Sin embargo, es más fácil decirlo que hacerlo. La mayoría de los teléfonos Android y el correo electrónico más nuevos se negarán a llevar este tipo de archivos infectados con malware, y eso es algo bueno.

Sin embargo, aún se puede lograr mediante un cable USB o archivos temporales. Si un pirata informático tiene acceso a su teléfono durante unos minutos, eso lo hace algo vulnerable. Nuestro esfuerzo aquí en esta prueba de penetración es determinar el alcance preciso del riesgo involucrado.

Carga útil de Kali Linux de la cámara Android instalada en la raíz

Una vez transferido, debe encontrar una manera de instalar el archivo de carga útil en su teléfono. A menos que sea una versión de Android muy antigua, su teléfono debería darle varias advertencias antes de que se pueda instalar el APK. Aún así, sin importar la versión del teléfono Android, hay muchas otras formas de instalar aplicaciones de fuentes desconocidas en un teléfono Android.

Carga útil instalada

Lanzamiento del exploit

Para lanzar el exploit Payload anterior, inserte el siguiente comando: msfconsole. Solo tomará unos segundos ejecutar el comando, y el metasploit se puede preparar para realizar más pruebas de penetración en las cámaras del teléfono.

Cámara Android Kali Linux Msfconsole

El metasploit dará su propia descripción completa. El resumen de la carga útil también es visible. Muestra el número de exploits en funcionamiento.

Lanzamiento de la cámara Android Kali Linux Msfconsole

En el siguiente paso, msfconsole está listo para lanzar el exploit. Para esto, consulte la dirección IP y el número de puerto (4444) discutidos anteriormente. En consecuencia, ingrese los siguientes comandos:

Lanzamiento de la cámara Android Kali Linux Msf5

Cuando se activa el controlador de TCP inverso, verá varias etapas del Meterpreter lanzándose. Espere unos segundos mientras diagnostica el teléfono objetivo.

Cabe mencionar aquí que la mayoría de los teléfonos Android modernos seguirán negando este acceso. Recuerde que esta es una prueba de penetración. Si su teléfono Android no puede penetrar con este archivo APK letal, significa que el fabricante de su teléfono conoce este vector de ataque en particular.

Cámara Android Kali Linux Meterpreter Session

Acceder a la cámara del teléfono Android

Si pudo insertar con éxito el exploit en el teléfono, existe la posibilidad de que ahora pueda ser penetrado. Cuando eso suceda, el “meterpreter” en un terminal Kali Linux podrá establecer una conexión con el teléfono. En este punto, inserte help para acceder a múltiples opciones dentro del teléfono Android bajo ataque.

Opciones de la cámara Android Kali Linux Meterpreter

Ingrese los siguientes comandos (desde el menú de ayuda) para acceder a las cámaras de su teléfono. En este exploit se intentó acceder a la cámara trasera para tomar fotografías desde el terminal.

Para completar una prueba de penetración exitosa, una vez que pueda acceder a la cámara, tome una foto y guárdela en la carpeta raíz de Kali Linux. También puede editar, cambiar el nombre o eliminar las demás imágenes almacenadas. Por lo tanto, cualquier penetración exitosa en el teléfono probado es una llamada de atención sobre la probabilidad de un ataque real, lo que significa que es hora de buscar un parche de seguridad.

Cámara Android Kali Linux Imagen tomada Cámara

En este tutorial, aprendió cómo se puede acceder a una cámara de Android desde un terminal Kali Linux para pruebas de penetración.

Este es un artículo de investigación de seguridad. Si accede a la cámara de otra persona para una demostración, siempre obtenga su permiso primero, a menos que, por supuesto, sea su propio teléfono. No olvide revisar estas aplicaciones de piratería para Android que lo ayudarán a probar y encontrar vulnerabilidades en su teléfono

¿Es útil este artículo?

¡Ayúdanos a difundirlo!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *