📱 9 Мобильных сканеров приложений для поиска уязвимостей безопасности — Information Security Squad

📱 9 Мобильных сканеров приложений для поиска уязвимостей безопасности

Проверьте, нет ли в вашем мобильном приложении каких-либо недостатков безопасности, и исправьте их до того, как это повредит вашим данным.

Последнее исследование NowSecure показывает, что 25% мобильных приложений содержат как минимум одну уязвимость высокого риска.

Мобильное использование растет, поэтому и использование мобильных приложений также.

В Apple App Store более 2 миллиардов приложений и около 2,2 миллионов в Google Play Store.

Существует несколько типов уязвимостей, и некоторые из них:

  • Утечка личных конфиденциальных данных пользователя (электронная почта, учетные данные, IMEI, GPS, MAC-адрес) по сети
  • Связь по сети с минимальным или вообще без шифрования
  • Наличие доступного для чтения / записи файла
  • Выполнение произвольного кода
  • Вредоносное ПО

Если вы владелец, разработчик, то вы должны сделать все возможное, чтобы обезопасить свое мобильное приложение.

Существует множество сканеров уязвимостей безопасности для веб-сайтов, а следующие сканеры должны помочь вам найти недостатки безопасности в мобильных приложениях.

Некоторые из аббревиатур используются в этом посте.

  • APK – Android Package Kit
  • IPA – iPhone application archive
  • IMEI – International mobile equipment identity
  • GPS – Global positioning system
  • MAC – Media access control
  • API – Application Programming Interface
  • OWASP – Open web application security project

Сканер уязвимостей для приложений Android / iOS

Ostorlab

Ostorlab позволит вам отсканировать ваше приложение для Android или iOS и предоставить вам подробную информацию о результатах поиска.

Вы можете загрузить файл приложения APK или IPA, и через несколько минут у вас будет отчет о проверке безопасности.

Максимальный размер файла приложения, который вы можете загрузить для сканирования, составляет 60 МБ.

Однако, если размер вашего приложения превышает 60 МБ, вы можете связаться с ними для загрузки через вызов API.

Он основан на опесоресных исходниках, таких как Androguard, Radare2.

Вы можете сканировать ваше мобильное приложение бесплатно с Ostorlab.

Appvigil

Найдите лазейку в безопасности в своем мобильном приложении с Appvigil и получите подробный отчет об уязвимостях за считанные минуты.

С Appvigil вы получаете не только сведения об угрозе безопасности, но и рекомендации по исправлению, чтобы вы могли исправить это немедленно.

Вам не нужно устанавливать какое-либо программное обеспечение, поскольку все это делается в облаке Appvigi

После загрузки файла APK или IPA, он выполняет статический и динамический анализ вашего приложения (Android / iOS), включая уязвимости OWASP Mobile Top 10.

Quixxi

Quixxi ориентирована на обеспечение мобильной аналитики и защиту мобильных приложений.

Если вы просто хотите провести тест на уязвимость, вы можете загрузить файл приложения для Android или iOS по этой ссылке.

Сканирование может занять несколько минут и вы получите обзор отчета об уязвимостях.

Однако, если вы ищете исчерпывающий отчет, вам нужно сделать БЕСПЛАТНУЮ регистрацию на их сайте.

AndroTotal

Как видно из названия, это приложение применимо только для приложений Android.

AndroTotal сканирует APK файл на вирусы и вредоносные программы.

Он использует следующие антивирусы:

  • McAfee
  • TrustGo
  • ESET
  • Comodo
  • AVG
  • Avira
  • Bitdefender
  • Qihoo

Если вы ищете быструю проверку файлов APK на наличие вирусов, то сканирование AndroTotal станет для вас отличным выбором.

Akana

Akana — это интерактивный инструмент для анализа приложений Android.

Akana проверяет ваше приложение на наличие вредоносного кода и выдает вам хорошее резюме вашего приложения.

Это бесплатно, так что попробуйте и посмотрите, есть ли в вашем Android-приложении вредоносный код.

NVISO

Nviso APKSCAN — еще один удобный онлайн-инструмент для сканирования вашего приложения на наличие вредоносных программ.

Получение результатов сканирования может занять некоторое время в зависимости от очереди, поэтому вы можете ввести свой адрес электронной почты, чтобы получить уведомление, как только отчет о сканировании станет доступен.

Я проверил свое фиктивное приложение с Nviso и увидел, что сканер проверил следующее:

  • Дисковая активность
  • Поиск вирусов
  • Сетевая активность
  • Можно ли сделать звонок, отправить смс или нет
  • Криптографическая активность
  • Утечка информации

SandDroid

SandDroid выполняет статический и динамический анализ и дает вам полный отчет.

Вы можете загрузить APK или zip-файл размером не более 50 МБ.

SandDroid разработан исследовательской группой Botnet и Сианьским университетом Цзяотун.

В настоящее время он проверяет следующее:

  • Размер файла / хеш, версия SDK
  • Сетевые данные, компонент, функция кода, чувствительный API, анализ распределения IP
  • Утечка данных, SMS, монитор телефонных звонков
  • Рискованное поведение и оценка

Взгляните на отчет о сканировании, чтобы получить представление.

QARK

QARK (Quick Android Review Kit) от LinkedIn поможет вам найти несколько уязвимостей Android в исходном коде и упакованном файле.

QARK бесплатен для использования и требует установки Python 2.7+, JRE 1.6 / 1.7 + и протестирован на OSX / RHEL 6.6

QARK обнаруживает некоторые из следующих уязвимостей:

  • Tapjacking
  • Неправильная проверка сертификата x.509
  • Подслушивание
  • Закрытый ключ в исходном коде
  • Эксплуатируемые конфигурации WebView
  • Устаревшие версии API
  • Потенциальная утечка данных
  • и многое другое…

Mobile App Scanner

Онлайн-сканер приложений для Android и iOS от тестового приложения High-Tech Bridge на 10 топ уязвимостей OWASP для мобильных устройств.

Он выполняет статический и динамический тест безопасности и предоставляет действенный отчет.

Вы можете скачать отчет в формате PDF, который содержит подробные результаты анализа.

Надеюсь, что вышеупомянутые сканеры уязвимостей помогут вам проверить безопасность вашего мобильного приложения и исправить найденные ошибки.

 

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40