Me pregunto si alguien tiene algunas recomendaciones para la revisión del código fuente de Android que se basa en Java. Por ejemplo, revisar una aplicación de Android por problemas de seguridad. Bonificación por ser F / OSS.
Fortify parece ser una buena opción pero fuera de mi rango de precios. :)
Pruebe LAPSE + , Yasca , CodePro AnalytiX , < a href="http://www.klocwork.com/products/solo/"> Klocwork Solo , y el Banco de trabajo de análisis estático de aprendizaje .
Asegúrese de consultar la publicación del blog de The Denim Group en Uso del análisis estático para revisar el acceso a archivos en aplicaciones de Android , que incluye algunas herramientas escritas en Perl.
When Angry Birds Attack Android Edition es el último blog Publicación de TEAM JOCK, quien presentó esta investigación durante este video en Shmoocon con una charla titulada [ PDF - TEAM JOCH vs. Android: The Ultimate Showdown - PDF].
Nils también se presentó en la construcción de castillos de arena en android del androide caja de arena a una BlackHat reciente
ENISA ha hecho un trabajo más formal al modelar los riesgos para las plataformas de teléfonos inteligentes con su Teléfonos inteligentes: riesgos de seguridad de la información, oportunidades y recomendaciones para usuarios . Cigital tiene al menos una publicación de blog en Mudarse a Mobile - Nuevas amenazas que también cubre temas de modelado de amenazas.
Aquí hay dos herramientas en línea gratuitas que verifican ciertos problemas específicos con las aplicaciones de Android:
Comdroid comprueba las vulnerabilidades relacionadas con el uso de Intents. Consulte esta presentación para obtener una descripción de esas vulnerabilidades y otras dificultades.
Stowaway comprueba si hay sobreprivilegio: es decir, verifica si la aplicación solicita permisos que su código no hace ' Parece que no usamos.
Ten en cuenta que estas son herramientas de investigación. Además, se centran solo en un conjunto muy específico de vulnerabilidades. No son una herramienta de análisis estático de propósito general, y no sustituyen a una herramienta de análisis estático de seguridad de propósito general para Android (como Fortify); están mejor pensados como un complemento de otras herramientas disponibles para usted.
Para el análisis estático del código fuente, encontré esta herramienta útil especialmente para Android. Es una herramienta gratuita llamada OpenGrok , que puede indexar un repositorio de origen. Es compatible con varios idiomas, por lo que ha sido útil para el análisis de Java y el código nativo de Android. AndroidXRef también aloja un índice que se puede usar para el análisis de varias versiones de Android. Espero que esto ayude.
Lo siento si esto es demasiado básico, pero quería asegurarme de que las opciones fáciles estén cubiertas.
Acabo de agregar análisis estático con FindBugs y PMD (gratis) a mi Eclipse flujo de trabajo Todavía no fui con Klockwork Solo por el precio, pero planeo usar la versión de prueba de 30 días antes de lanzar mi próxima aplicación.
Lea otras preguntas en las etiquetas appsec android java mobile code-review