Su mia richiesta, uno sviluppatore mi ha dato una nuova versione della sua app per Android da testare. L'app richiede le autorizzazioni root .
Non conosco lo sviluppatore personalmente. Non ho motivi specifici per fidarmi o diffidare di lui / lei.
Come posso controllare l'APK per assicurarmi che sia sicuro?
Virustotal è un sito comune per controllare i file, ma non è chiaro se è appropriato o completo per i file APK Android.
Hai detto che lo sviluppatore vende una versione pubblica di questa applicazione che ti è stata data. Se ti fidi dell'applicazione pubblica, puoi utilizzare androguard ( androsim & androdiff ) per capire la percentuale di somiglianza tra la tua nuova versione e la versione pubblica.
Se dicono, sono simili al 95%, quindi si ha solo il 5% del codice da ispezionare. Quindi puoi anche vedere cosa è specificamente diverso tra le due app e decidere autonomamente se il nuovo codice è dannoso e se desideri utilizzare quell'app.
Potresti decompilare il file apk usando una varietà di metodi, uno dei quali usa apktool. Link qui: link
Nota che non otterrai codice java dalla decompilazione ma codice smali che non è così semplice da leggere. Dovresti esaminare il codice e giudicare da solo se l'app sta eseguendo azioni che potrebbero essere considerate dannose.
Il modo più semplice è di richiedere una copia del codice sorgente dallo sviluppatore e guardarlo attraverso. Se soddisfatto, compila e confezionalo tu stesso.