Elenco di controllo dei test di sicurezza delle applicazioni Android / iOS

Esiste un progetto chiamato OASAM che mira a definire una metodologia per testare i dispositivi Android.

Puoi trovarlo qui: link

La guida ha le seguenti sezioni:

1. OASAM-INFO: Raccolta di informazioni: raccolta di informazioni e definizione della superficie di attacco.
2. OASAM-CONF: Configuration and Deploy Management: configurazione e distribuzione assessment.
3. OASAM-AUTH: autenticazione: valutazione dell'autenticazione.
4. OASAM-CRYPT: Crittografia: valutazione dell'uso della crittografia.
5. OASAM-LEAK: perdita di informazioni: valutazione della perdita di informazioni riservate.
6. OASAM-DV: convalida dei dati: valutazione della gestione delle voci degli utenti.
7. OASAM-IS: Intent Spoofing: valutazione della gestione della ricezione in tempo reale
8. OASAM-UIR: Ricevuta intent non autorizzata: valutazione della risoluzione intenzionale.
9. OASAM-BL Business Logic: valutazione della business logic dell'applicazione.

AppSec ha una bella lista :

• Reverse engineering del codice dell'applicazione
• Test per librerie comuni e impronte digitali
• Enumerazione dei controller noti dell'applicazione
• Informazioni divulgate da Logcat
• Segreti nascosti nel codice
• Archiviazione di dati sensibili sullo storage condiviso (esposti a tutte le applicazioni senza restrizioni)
• Forza di archiviazione basata sulla crittografia
• Autorizzazioni di accesso ai provider di contenuti
• SQL Injection Fornitori di contenuti
• Perdite di privacy e metadati
• Dati di proprietà dell'utente in Logcat
• Dati di valore tecnico in Logcat
• Componenti esposti e autorizzazione Cross Application
• Autorizzazioni e amp; Problemi di condivisione dei dati sulla firma digitale
• Separazione degli appunti
• Intenti pubblici e origini dati non autenticate
• Difetti pubblici e difetti di autorizzazione
• Codice Sconcertante e Abuso dello stato dell'applicazione
• Condizioni di gara, deadlock e minacce di concorrenza
• In attacchi Denial of Service di dispositivo
• Esposizione di identificatori specifici del dispositivo in elementi visibili di Attacker
• Esposizione di dati utente privati a componenti visibili dell'attaccante
• Monitoraggio delle installazioni delle applicazioni con metodi non sicuri
• Tocca Jacking
• Decisioni di autorizzazione lato client
• Esclusione della logica aziendale
• Sicurezza WebView
• Esposizione di interfacce Java esterne in DOM di WebViews
• Rischi di esecuzione JavaScript su WebViews
• Firma codice
• Caricamento di DEX dinamico su Dalvik
• Abuso delle decisioni di esecuzione del codice dinamico
• Overflow buffer basato su stack
• Overflow del buffer basato su heap
• Vulnerabilità a vita dell'oggetto (uso dopo l'uso, doppia libertà)
• Vulnerabilità delle stringhe di formato
• Segreti del codice esposto NDK
• Intero Overflow
• Numero intero Underflow
• Protocolli layer di trasporto non sicuri
• Difetti di autenticità di TLS
• TLS Debole crittografia
• Ignora blocco del certificato TLS
• Problemi noti di TLS - CRIMINE, VIOLAZIONE, BESTIA, Lucky13, RC4, ecc.
• Disabilita convalida del certificato
• Utilizzo di vettori di autenticazione non sicuri (IMEI, MAC, ecc.)
• Autenticazione Cross Application
• Minacce di bypass dell'autenticazione locale
• Difetti di autenticazione lato client
• Violazioni dell'autorizzazione lato client
• Risorse utente condivise
• Autorizzazioni eccessive
• Divulgazione di dati privilegiati a risorse pubbliche

Guida alla prova di sicurezza mobile OWASP - link AGGIORNA - qui - link

(un collegamento al file GDocs e un'enorme panoramica)