Wireshark è uno strumento utile per verificare se l'applicazione invia dati sensibili in chiaro tramite la rete. Inoltre, puoi usare ssh e adb per esaminare i dati memorizzati sulla scheda SD e le autorizzazioni dei file, per vedere se i dati sensibili vengono archiviati in chiaro.
Alcuni strumenti gratuiti di analisi statica per le applicazioni Android:
-
Comdroid verifica la presenza di vulnerabilità legate all'uso di Intents. Vedi questa presentazione per la descrizione di tali vulnerabilità e altre insidie.
-
Stowaway controlla l'eccesso di privilegi: vale a dire, controlla se l'applicazione richiede permessi che il suo codice non fa Mi sembra di usare.
Ricorda che questi sono strumenti di ricerca. Inoltre, si concentrano solo su un insieme molto specifico di vulnerabilità. Non sono uno strumento di analisi statica di uso generale e non sono sostitutivi di uno strumento di analisi statica di sicurezza per scopi generici per Android (come Fortify); sono pensati meglio come supplemento per gli altri strumenti a tua disposizione.
Alcuni fornitori di analisi statiche della sicurezza hanno il supporto per l'analisi delle applicazioni Android, ad esempio Fortify. Aspettatevi che siano costosi.
Vedi anche le seguenti domande su questo sito: