Проверьте, нет ли в вашем мобильном приложении каких-либо недостатков безопасности, и исправьте их до того, как это повредит вашим данным.
Последнее исследование NowSecure показывает, что 25% мобильных приложений содержат как минимум одну уязвимость высокого риска.
Мобильное использование растет, поэтому и использование мобильных приложений также.
В Apple App Store более 2 миллиардов приложений и около 2,2 миллионов в Google Play Store.
Существует несколько типов уязвимостей, и некоторые из них:
- Утечка личных конфиденциальных данных пользователя (электронная почта, учетные данные, IMEI, GPS, MAC-адрес) по сети
- Связь по сети с минимальным или вообще без шифрования
- Наличие доступного для чтения / записи файла
- Выполнение произвольного кода
- Вредоносное ПО
Если вы владелец, разработчик, то вы должны сделать все возможное, чтобы обезопасить свое мобильное приложение.
Существует множество сканеров уязвимостей безопасности для веб-сайтов, а следующие сканеры должны помочь вам найти недостатки безопасности в мобильных приложениях.
Некоторые из аббревиатур используются в этом посте.
- APK – Android Package Kit
- IPA – iPhone application archive
- IMEI – International mobile equipment identity
- GPS – Global positioning system
- MAC – Media access control
- API – Application Programming Interface
- OWASP – Open web application security project
Сканер уязвимостей для приложений Android / iOS
1 Ostorlab
Ostorlab позволит вам отсканировать ваше приложение для Android или iOS и предоставить вам подробную информацию о результатах поиска.
Вы можете загрузить файл приложения APK или IPA, и через несколько минут у вас будет отчет о проверке безопасности.
Максимальный размер файла приложения, который вы можете загрузить для сканирования, составляет 60 МБ.
Однако, если размер вашего приложения превышает 60 МБ, вы можете связаться с ними для загрузки через вызов API.
Он основан на опесоресных исходниках, таких как Androguard, Radare2.
Вы можете сканировать ваше мобильное приложение бесплатно с Ostorlab.
2 Appvigil
Найдите лазейку в безопасности в своем мобильном приложении с Appvigil и получите подробный отчет об уязвимостях за считанные минуты.
С Appvigil вы получаете не только сведения об угрозе безопасности, но и рекомендации по исправлению, чтобы вы могли исправить это немедленно.
Вам не нужно устанавливать какое-либо программное обеспечение, поскольку все это делается в облаке Appvigi
После загрузки файла APK или IPA, он выполняет статический и динамический анализ вашего приложения (Android / iOS), включая уязвимости OWASP Mobile Top 10.
3 Quixxi
Quixxi ориентирована на обеспечение мобильной аналитики и защиту мобильных приложений.
Если вы просто хотите провести тест на уязвимость, вы можете загрузить файл приложения для Android или iOS по этой ссылке.
Сканирование может занять несколько минут и вы получите обзор отчета об уязвимостях.
Однако, если вы ищете исчерпывающий отчет, вам нужно сделать БЕСПЛАТНУЮ регистрацию на их сайте.
4 AndroTotal
Как видно из названия, это приложение применимо только для приложений Android.
AndroTotal сканирует APK файл на вирусы и вредоносные программы.
Он использует следующие антивирусы:
- McAfee
- TrustGo
- ESET
- Comodo
- AVG
- Avira
- Bitdefender
- Qihoo
Если вы ищете быструю проверку файлов APK на наличие вирусов, то сканирование AndroTotal станет для вас отличным выбором.
5 Akana
Akana – это интерактивный инструмент для анализа приложений Android.
Akana проверяет ваше приложение на наличие вредоносного кода и выдает вам хорошее резюме вашего приложения.
Это бесплатно, так что попробуйте и посмотрите, есть ли в вашем Android-приложении вредоносный код.
6 NVISO
Nviso APKSCAN – еще один удобный онлайн-инструмент для сканирования вашего приложения на наличие вредоносных программ.
Получение результатов сканирования может занять некоторое время в зависимости от очереди, поэтому вы можете ввести свой адрес электронной почты, чтобы получить уведомление, как только отчет о сканировании станет доступен.
Я проверил свое фиктивное приложение с Nviso и увидел, что сканер проверил следующее:
- Дисковая активность
- Поиск вирусов
- Сетевая активность
- Можно ли сделать звонок, отправить смс или нет
- Криптографическая активность
- Утечка информации
7 SandDroid
SandDroid выполняет статический и динамический анализ и дает вам полный отчет.
Вы можете загрузить APK или zip-файл размером не более 50 МБ.
SandDroid разработан исследовательской группой Botnet и Сианьским университетом Цзяотун.
В настоящее время он проверяет следующее:
- Размер файла / хеш, версия SDK
- Сетевые данные, компонент, функция кода, чувствительный API, анализ распределения IP
- Утечка данных, SMS, монитор телефонных звонков
- Рискованное поведение и оценка
Взгляните на отчет о сканировании, чтобы получить представление.
8 QARK
QARK (Quick Android Review Kit) от LinkedIn поможет вам найти несколько уязвимостей Android в исходном коде и упакованном файле.
QARK бесплатен для использования и требует установки Python 2.7+, JRE 1.6 / 1.7 + и протестирован на OSX / RHEL 6.6
QARK обнаруживает некоторые из следующих уязвимостей:
- Tapjacking
- Неправильная проверка сертификата x.509
- Подслушивание
- Закрытый ключ в исходном коде
- Эксплуатируемые конфигурации WebView
- Устаревшие версии API
- Потенциальная утечка данных
- и многое другое…
9 Mobile App Scanner
Онлайн-сканер приложений для Android и iOS от тестового приложения High-Tech Bridge на 10 топ уязвимостей OWASP для мобильных устройств.
Он выполняет статический и динамический тест безопасности и предоставляет действенный отчет.
Вы можете скачать отчет в формате PDF, который содержит подробные результаты анализа.
Надеюсь, что вышеупомянутые сканеры уязвимостей помогут вам проверить безопасность вашего мобильного приложения и исправить найденные ошибки.