lista de comprobación de pruebas de seguridad de aplicaciones de Android / iOS

Hay un proyecto llamado OASAM que apunta a definir una metodología para probar dispositivos Android.

Puede encontrarlo aquí: enlace

La guía tiene las siguientes secciones:

1. OASAM-INFO: Recopilación de información: recopilación de información y definición de la superficie de ataque.
2. OASAM-CONF: Gestión de configuración e implementación: evaluación de configuración e implementación.
3. OASAM-AUTH: Autenticación: evaluación de autenticación.
4. OASAM-CRYPT: Criptografía: evaluación del uso de la criptografía.
5. OASAM-LEAK: Fuga de información: Evaluación confidencial de fugas de información.
6. OASAM-DV: Validación de datos: evaluación de gestión de entrada de usuario.
7. OASAM-IS: Intención de suplantación de identidad: evaluación de la gestión de recepción de intenciones.
8. OASAM-UIR: Recibo de intención no autorizada: Evaluación de la intención de resolución.
9. Lógica empresarial OASAM-BL: evaluación de la lógica empresarial de la aplicación.

AppSec tiene una buena lista :

• Ingeniería inversa del código de aplicación
• Pruebas para bibliotecas comunes y huellas digitales
• Enumeración de controladores conocidos de aplicación
• Divulgación de información por Logcat
• Secretos ocultos en el Código
• Almacenamiento de datos confidenciales en almacenamiento compartido (expuesto a todas las aplicaciones sin restricciones)
• Capacidad de almacenamiento basada en cifrado
• Permisos de acceso de los proveedores de contenido
• Inyección SQL de proveedores de contenido
• Fugas de privacidad y metadatos
• Datos de propiedad del usuario en Logcat
• Datos técnicos valiosos en Logcat
• Componentes expuestos y autorización de aplicación cruzada
• Permisos & Problemas de intercambio de datos de firma digital
• Separación del portapapeles
• Intenciones públicas y fuentes de datos no autenticadas
• Intenciones públicas y fallas de autorización
• Código desconcertante y abuso del estado de la aplicación
• Condiciones de carrera, puntos muertos y amenazas de concurrencia
• En ataques de denegación de servicio del dispositivo
• Exponer identificadores específicos de dispositivos en elementos visibles del atacante
• Exposición de datos privados del usuario a los componentes visibles del atacante
• Seguimiento de instalaciones de aplicaciones en medios inseguros
• Tap Jacking
• Decisiones de autorización basadas en el lado del cliente
• Omisión de la lógica empresarial
• WebView Security
• Exponer interfaces de Java externas en WebViews DOM
• Riesgos de ejecución de JavaScript en las vistas web
• firma de código
• Cargando Dynamic DEX en Dalvik
• Abusar de las decisiones de ejecución de código dinámico
• Desbordamientos de búferes basados en la pila
• Desbordamientos de búfer basado en montón
• Vulnerabilidades de vida útil de los objetos (uso después de libre, doble libre)
• Vulnerabilidades de cadenas de formato
• NDK Exposed Code Secrets
• Desbordamientos de enteros
• subflujos enteros
• Protocolos de capa de transporte inseguros
• fallas de autenticidad TLS
• Cifrado débil TLS
• Anulación de la fijación del certificado TLS
• Problemas conocidos de TLS: CRIMEN, INCUMPLIMIENTO, BESTIA, Lucky13, RC4, etc.
• Deshabilitar la validación de certificados
• Uso de vectores de autenticación inseguros (IMEI, MAC, etc.)
• Autenticación de aplicación cruzada
• Amenazas de omisión de autenticación local
• fallas de autenticación basadas en el lado del cliente
• Infracciones de autorización del lado del cliente
• Recursos de usuario compartidos
• Permisos excesivos
• Divulgación de datos privilegiados a recursos públicos

La Guía de pruebas de seguridad móvil de OWASP - enlace ACTUALIZACIÓN - aquí - (un enlace al archivo GDocs, así como una gran visión general)