¿Cuáles son algunos marcos decentes para probar la seguridad de las aplicaciones de Android?
Con marcos me refiero a un software basado en escanear automáticamente estas aplicaciones o una guía (como OWASP tiene para aplicaciones web) para tener una buena base para comenzar a escanear.
OWASP tiene una guía que incluye las mejores prácticas para aplicaciones web. A menudo, estos también son aplicables a las aplicaciones de Android, pero sería bueno si hubiera un marco dedicado.
Wireshark es una buena herramienta para ver si la aplicación está enviando datos confidenciales en texto claro a través de la red. Además, puede usar ssh y adb para ver los datos almacenados en la tarjeta SD y los permisos de archivo, para ver si los datos confidenciales se almacenan en texto sin cifrar.
Algunas herramientas de análisis estático gratuitas para aplicaciones de Android:
Comdroid comprueba las vulnerabilidades relacionadas con el uso de Intents. Consulte esta presentación para obtener una descripción de esas vulnerabilidades y otras dificultades.
Stowaway comprueba si hay sobreprivilegio: es decir, verifica si la aplicación solicita permisos que su código no hace ' Parece que no usamos.
Ten en cuenta que estas son herramientas de investigación. Además, se centran solo en un conjunto muy específico de vulnerabilidades. No son una herramienta de análisis estático de propósito general, y no sustituyen a una herramienta de análisis estático de seguridad de propósito general para Android (como Fortify); están mejor pensados como un complemento para otras herramientas disponibles para usted.
Algunos proveedores de análisis estático de seguridad tienen soporte para analizar aplicaciones de Android, por ejemplo, Fortify. Espere que estos sean caros.
Vea también las siguientes preguntas en este sitio:
¿Alguna herramienta útil para la revisión del código fuente de Android? (pero tenga en cuenta que muchas de las herramientas enumeradas solo hay escáneres de código Java genéricos y no tenemos ningún conocimiento de las API de Android, por lo que es probable que tengan un uso limitado para evaluar la seguridad de una aplicación de Android)
Hay Mercury de MWR Labs. No lo he usado todavía, pero se ve interesante.
Hay una buena metodología disponible en oasam para comenzar la prueba de la pluma de Android. En estos días hay tantos tutoriales disponibles para comenzar las pruebas con lápiz de Android, en los que prefiero la guía de instituto infosec por Srinivas y manifestsecurity por Aditya Agrawal.
Un gran paquete de herramientas, marcos y metodologías se enumeran en mobilesecuritywiki
ACTUALIZACIÓN:
AndroBugs es un marco escrito por Yu-Cheng Lin para el análisis de seguridad de las aplicaciones de Android. Puede verificar la codificación de malas prácticas, el cumplimiento de las URL de SSL y mucho más. Podemos configurarlo con MongoDB para el análisis masivo de aplicaciones.
Lea otras preguntas en las etiquetas appsec penetration-test android mobile