En mi solicitud, un desarrollador me dio una nueva versión de su aplicación de Android para probar. La aplicación requiere root permisos.
No conozco al desarrollador personalmente. No tengo razones específicas para confiar o desconfiar de él / ella.
¿Cómo puedo verificar el APK para garantizar que sea seguro?
Virustotal es un sitio común para revisar archivos, pero no está claro si es apropiado o completo para los archivos APK de Android.
Usted menciona que el desarrollador vende una versión pública de esta aplicación que recibió. Si confía en la aplicación pública, puede usar androguard ( androsim & androdiff ) para averiguar el% de similitud entre su nueva versión y la versión pública.
Si, por ejemplo, son similares al 95%, solo tienes que inspeccionar el 5% del código. Luego, incluso puede ver qué es específicamente diferente entre las dos aplicaciones y decidir por sí mismo si el nuevo código es malicioso y si desea usar esa aplicación.
Podrías descompilar el archivo apk usando una variedad de métodos, uno de los cuales sería usar apktool. Enlace aquí: enlace
Tenga en cuenta que no obtendrá un código Java de la descompilación, sino un código Smali que no es tan fácil de leer. Necesitaría revisar el código y juzgar por sí mismo si la aplicación está realizando acciones que podrían considerarse maliciosas.
La forma más sencilla, sin embargo, es solicitar una copia del código fuente al desarrollador y revisarla. Si está satisfecho, compile y empaque usted mismo.