web-dev-qa-db-ja.com

Androidアプリケーションのセキュリティをテストするのに役立つツール

Androidアプリケーションのセキュリティをテストするための適切なフレームワークは何ですか?

フレームワークとは、これらのアプリケーションを自動的にスキャンするためのソフトウェアベース、またはスキャンを開始するための適切な基礎を持つガイド(OWASPのようにwebapps)を意味します。

OWASPには、Webアプリケーションのベストプラクティスを含むガイドがあります。多くの場合、これらはAndroidアプリにも適用できますが、専用のフレームワークがあればいいでしょう。

15
Lucas Kauffman

Wiresharkは、アプリケーションが機密データをクリアテキストでネットワーク経由で送信しているかどうかを確認するのに適したツールです。また、sshとadbを使用して、SDカードに保存されているデータとファイルの権限を確認し、機密データがクリアテキストで保存されているかどうかを確認できます。

Androidアプリケーション用の無料の静的分析ツール:

  • Comdroid インテントの使用に関連する脆弱性をチェックします。これらの脆弱性の説明とその他の落とし穴については このプレゼンテーション を参照してください。

  • Stowaway は、特権の超過をチェックします。つまり、アプリケーションが、コードが使用していないように見えるパーミッションを要求しているかどうかを確認します。

これらは調査ツールであることを覚えておいてください。さらに、それらは非常に特定の一連の脆弱性にのみ焦点を当てています。これらは、汎用の静的分析ツールではなく、Android(Fortifyのような)の汎用セキュリティ静的分析ツールの代わりとなるものではありません)。利用可能なツール。

一部のセキュリティ静的分析ベンダーは、Androidアプリケーション(Fortifyなど)の分析をサポートしています。これらは高価であると予想してください。

このサイトで次の質問も参照してください。

10
D.W.

Georgia WeidmanがAndroid侵入テストに関するフレームワークをここに公開しました:

https://github.com/georgiaw/Smartphone-Pentest-Framework

彼女はフォーラムも持っています herevimeo に素敵なティーザーがあります。

4
Lucas Kauffman

MWR Labsの Mercury があります。まだ使っていませんが面白そうです。

3
Rory McCune

oasam で利用できる素敵な方法論がありますAndroidペンテスト。最近、非常に多くのチュートリアルが利用できるようになりましたAndroid私は infosec institute のガイドをSrinivasが、 manifestsecurity をAditya Agrawalが推奨するペンテスト。

ツール、フレームワーク、方法論の大きなバンドルが mobilesecuritywiki にリストされています

更新:

AndroBugs は、Yu-Cheng LinによってAndroidアプリのセキュリティ分析のために作成されたフレームワークです。コーディングの不正行為、URLのSSL強制などをチェックできます。 MongoDBで構成して、大規模なアプリケーション分析を行うことができます。

0