Quali sono alcuni framework decenti per testare la sicurezza delle applicazioni Android?
Con framework intendo sia un software basato per scansionare automaticamente queste applicazioni sia una guida (come OWASP ha per le webapp) per avere una buona base per iniziare la scansione.
OWASP ha una guida che include le migliori pratiche per le applicazioni web. Spesso questi sono applicabili anche alle app Android, ma sarebbe bello se ci fosse un framework dedicato.
Wireshark è uno strumento utile per verificare se l'applicazione invia dati sensibili in chiaro tramite la rete. Inoltre, puoi usare ssh e adb per esaminare i dati memorizzati sulla scheda SD e le autorizzazioni dei file, per vedere se i dati sensibili vengono archiviati in chiaro.
Alcuni strumenti gratuiti di analisi statica per le applicazioni Android:
Comdroid verifica la presenza di vulnerabilità legate all'uso di Intents. Vedi questa presentazione per la descrizione di tali vulnerabilità e altre insidie.
Stowaway controlla l'eccesso di privilegi: vale a dire, controlla se l'applicazione richiede permessi che il suo codice non fa Mi sembra di usare.
Ricorda che questi sono strumenti di ricerca. Inoltre, si concentrano solo su un insieme molto specifico di vulnerabilità. Non sono uno strumento di analisi statica di uso generale e non sono sostitutivi di uno strumento di analisi statica di sicurezza per scopi generici per Android (come Fortify); sono pensati meglio come supplemento per gli altri strumenti a tua disposizione.
Alcuni fornitori di analisi statiche della sicurezza hanno il supporto per l'analisi delle applicazioni Android, ad esempio Fortify. Aspettatevi che siano costosi.
Vedi anche le seguenti domande su questo sito:
Eventuali strumenti utili per la revisione del codice sorgente Android (ma attenzione che molti degli strumenti elencati ci sono semplicemente scanner di codici Java generici e non hanno alcuna conoscenza delle API Android, quindi è probabile che siano di uso limitato per valutare la sicurezza di un'applicazione Android)
C'è una buona metodologia disponibile su oasam per iniziare il test delle penne Android. In questi giorni sono disponibili così tanti tutorial per iniziare il test della penna Android in cui preferisco la guida di infosec institute di Srinivas e manifestsecurity di Aditya Agrawal.
Un grande pacchetto di strumenti, framework e metodologie sono elencati in mobilesecuritywiki
UPDATE:
AndroBugs è un framework scritto da Yu-Cheng Lin per l'analisi della sicurezza delle app Android. Può controllare le cattive pratiche di codifica, l'applicazione ssl di url e molto altro. Possiamo configurarlo con MongoDB per l'analisi massiva delle applicazioni.
Leggi altre domande sui tag mobile android appsec penetration-test