Androidアプリケーションのセキュリティをテストするのに役立つツール
Androidアプリケーションのセキュリティをテストするための適切なフレームワークは何ですか?
フレームワークとは、これらのアプリケーションを自動的にスキャンするためのソフトウェアベース、またはスキャンを開始するための適切な基礎を持つガイド(OWASPのようにwebapps)を意味します。
OWASPには、Webアプリケーションのベストプラクティスを含むガイドがあります。多くの場合、これらはAndroidアプリにも適用できますが、専用のフレームワークがあればいいでしょう。
Wiresharkは、アプリケーションが機密データをクリアテキストでネットワーク経由で送信しているかどうかを確認するのに適したツールです。また、sshとadbを使用して、SDカードに保存されているデータとファイルの権限を確認し、機密データがクリアテキストで保存されているかどうかを確認できます。
Androidアプリケーション用の無料の静的分析ツール:
Comdroid インテントの使用に関連する脆弱性をチェックします。これらの脆弱性の説明とその他の落とし穴については このプレゼンテーション を参照してください。
Stowaway は、特権の超過をチェックします。つまり、アプリケーションが、コードが使用していないように見えるパーミッションを要求しているかどうかを確認します。
これらは調査ツールであることを覚えておいてください。さらに、それらは非常に特定の一連の脆弱性にのみ焦点を当てています。これらは、汎用の静的分析ツールではなく、Android(Fortifyのような)の汎用セキュリティ静的分析ツールの代わりとなるものではありません)。利用可能なツール。
一部のセキュリティ静的分析ベンダーは、Androidアプリケーション(Fortifyなど)の分析をサポートしています。これらは高価であると予想してください。
このサイトで次の質問も参照してください。
Androidソースコードのレビューに役立つツール (ただし、ここにリストされているツールの多くは、一般的なJavaコードスキャナーにすぎないことに注意してください。 Android APIの知識がないため、Androidアプリケーション)のセキュリティを評価するために限定的に使用される可能性があります)
- Android/iOSアプリケーションセキュリティテストのチェックリスト
Georgia WeidmanがAndroid侵入テストに関するフレームワークをここに公開しました:
MWR Labsの Mercury があります。まだ使っていませんが面白そうです。
oasam で利用できる素敵な方法論がありますAndroidペンテスト。最近、非常に多くのチュートリアルが利用できるようになりましたAndroid私は infosec institute のガイドをSrinivasが、 manifestsecurity をAditya Agrawalが推奨するペンテスト。
ツール、フレームワーク、方法論の大きなバンドルが mobilesecuritywiki にリストされています
更新:
AndroBugs は、Yu-Cheng LinによってAndroidアプリのセキュリティ分析のために作成されたフレームワークです。コーディングの不正行為、URLのSSL強制などをチェックできます。 MongoDBで構成して、大規模なアプリケーション分析を行うことができます。