🤖 Android Security: Обеспечение безопасности экосистемы Android – шпаргалка

В постоянно развивающемся ландшафте мобильных технологий безопасность Android остается первостепенной задачей для разработчиков, исследователей и пользователей.

Android Security Awesome – это всеобъемлющее руководство, объединяющее множество инструментов, научных ресурсов, публикаций и сведений об эксплойтах, уязвимостях и ошибках в экосистеме Android.

Эта коллекция призвана вооружить людей и организации знаниями и инструментами, необходимыми для защиты их Android-приложений от возникающих угроз безопасности.

Коллекция ресурсов, связанных с безопасностью Android.

Инструменты

Онлайн-анализаторы

1. AndroTotal
2. Appknox – не бесплатный
3. Virustotal – максимум 128MB
4. Fraunhofer App-ray – не бесплатный
5. NowSecure Lab Automated – Корпоративный инструмент для тестирования безопасности мобильных приложений как для Android, так и для iOS. Lab Automated проводит динамический и статический анализ на реальных устройствах в облаке и получает результаты за считанные минуты. не бесплатный
6. App Detonator – Аудит бинарного APK для получения подробной информации на уровне исходного кода, включая автора приложения, подпись, сборку и информацию о манифесте. Бесплатная квота 3 анализа в день.
7. Pithus – APK-анализатор с открытым исходным кодом. Пока находится в стадии бета-версии и ограничен статическим анализом. Возможность охоты на вредоносное ПО с помощью правил Yara.
8. Oversecured – Корпоративный сканер уязвимостей для приложений на Android и iOS, который позволяет владельцам и разработчикам приложений обеспечить безопасность каждой новой версии мобильного приложения, интегрировав Oversecured в процесс разработки. Не бесплатный.
9. AppSweep by Guardsquare – Бесплатное и быстрое тестирование безопасности Android-приложений для разработчиков
10. Koodous – Выполняет статический/динамический анализ вредоносных программ в обширном хранилище образцов Android и проверяет их на соответствие публичным и частным правилам Yara.
11. Immuniweb. Выполняет “OWASP Mobile Top 10 Test”, “Mobile App Privacy Check” и тест разрешений приложений. Бесплатный уровень – 4 теста в день, включая отчет после регистрации

Инструменты статического анализа

1. Androwarn –Обнаружение и предупреждение пользователя о потенциально вредоносном поведении приложения для Android.
2. ApkAnalyser
3. APKInspector
4. Droid Intent Data Flow Analysis for Information Leakage
5. DroidLegacy
6. FlowDroid
7. Android Decompiler – не бесплатный
8. PSCout – Инструмент для извлечения спецификации разрешений из исходного кода ОС Android с помощью статического анализа
9. Amandroid
10. SmaliSCA – Статический анализ кода Smali
11. CFGScanDroid –Сканирование и сравнение CFG с CFG вредоносных приложений
12. Madrolyzer –извлекает полезные данные, такие как C&C, номер телефона и т.д.
13. SPARTA –Проверяет (доказывает), что приложение удовлетворяет политике безопасности информационного потока; построено на базе Checker Framework Checker Framework
14. ConDroid –Выполняет комбинацию символического + конкретного выполнения приложения
15. DroidRA
16. RiskInDroid – Инструмент для расчета риска приложений для Android на основе их разрешений.
17. SUPER – Безопасный, унифицированный, мощный и расширяемый анализатор Rust Android
18. ClassyShark – Автономный инструмент для проверки бинарных файлов, который может просмотреть любой исполняемый файл Android и показать важную информацию.
19. StaCoAn – Кроссплатформенный инструмент, помогающий разработчикам, охотникам за ошибками и этичным хакерам проводить статический анализ кода мобильных приложений. При создании этого инструмента большое внимание уделялось удобству использования и графическим подсказкам в пользовательском интерфейсе.
20. JAADAS – Совместный инструмент внутрипроцедурного и межпроцедурного анализа программ для поиска уязвимостей в Android-приложениях, построенный на Soot и Scala
21. Quark-Engine – Система оценки вредоносных программ для Android с использованием обфускации и игнорирования
22. One Step Decompiler –Декомпиляция APK для Android для ленивых
23. APKLeaks – Сканирование APK-файла на наличие URI, конечных точек и секретов.
24. Mobile Audit – Веб-приложение для выполнения статического анализа и обнаружения вредоносных программ в APK-файлах для Android.

см. также:

• 🤖 Бесплатный набор инструментов для тестирования на проникновение Android и оценки рисков
• 🤖 10 лучших приложений для хакинга на Android
• 🐉 Как удаленно следить за любым устройством Android
• 🤖 Andriller – форензика телефона Android на Kali Linux
• 🤖 APKHunt: Проверка приложений для Android