Strumenti per testare la sicurezza delle applicazioni Android [chiuso]

15

Quali sono alcuni framework decenti per testare la sicurezza delle applicazioni Android?

Con framework intendo sia un software basato per scansionare automaticamente queste applicazioni sia una guida (come OWASP ha per le webapp) per avere una buona base per iniziare la scansione.

OWASP ha una guida che include le migliori pratiche per le applicazioni web. Spesso questi sono applicabili anche alle app Android, ma sarebbe bello se ci fosse un framework dedicato.

    
posta Lucas Kauffman 03.09.2012 - 19:49
fonte

4 risposte

10

Wireshark è uno strumento utile per verificare se l'applicazione invia dati sensibili in chiaro tramite la rete. Inoltre, puoi usare ssh e adb per esaminare i dati memorizzati sulla scheda SD e le autorizzazioni dei file, per vedere se i dati sensibili vengono archiviati in chiaro.

Alcuni strumenti gratuiti di analisi statica per le applicazioni Android:

  • Comdroid verifica la presenza di vulnerabilità legate all'uso di Intents. Vedi questa presentazione per la descrizione di tali vulnerabilità e altre insidie.

  • Stowaway controlla l'eccesso di privilegi: vale a dire, controlla se l'applicazione richiede permessi che il suo codice non fa Mi sembra di usare.

Ricorda che questi sono strumenti di ricerca. Inoltre, si concentrano solo su un insieme molto specifico di vulnerabilità. Non sono uno strumento di analisi statica di uso generale e non sono sostitutivi di uno strumento di analisi statica di sicurezza per scopi generici per Android (come Fortify); sono pensati meglio come supplemento per gli altri strumenti a tua disposizione.

Alcuni fornitori di analisi statiche della sicurezza hanno il supporto per l'analisi delle applicazioni Android, ad esempio Fortify. Aspettatevi che siano costosi.

Vedi anche le seguenti domande su questo sito:

risposta data 03.09.2012 - 22:01
fonte
4

Georgia Weidman ha pubblicato un framework sui test di penetrazione di Android qui:

link

Ha anche un forum qui e c'è un bel teaser su vimeo .

    
risposta data 03.09.2012 - 20:26
fonte
3

C'è Mercury di MWR Labs. Non l'ho ancora usato, ma sembra interessante.

    
risposta data 03.09.2012 - 20:50
fonte
0

C'è una buona metodologia disponibile su oasam per iniziare il test delle penne Android. In questi giorni sono disponibili così tanti tutorial per iniziare il test della penna Android in cui preferisco la guida di infosec institute di Srinivas e manifestsecurity di Aditya Agrawal.

Un grande pacchetto di strumenti, framework e metodologie sono elencati in mobilesecuritywiki

UPDATE:

AndroBugs è un framework scritto da Yu-Cheng Lin per l'analisi della sicurezza delle app Android. Può controllare le cattive pratiche di codifica, l'applicazione ssl di url e molto altro. Possiamo configurarlo con MongoDB per l'analisi massiva delle applicazioni.

    
risposta data 29.10.2015 - 14:46
fonte

Leggi altre domande sui tag