В постоянно развивающемся ландшафте мобильных технологий безопасность Android остается первостепенной задачей для разработчиков, исследователей и пользователей.
Android Security Awesome – это всеобъемлющее руководство, объединяющее множество инструментов, научных ресурсов, публикаций и сведений об эксплойтах, уязвимостях и ошибках в экосистеме Android.
Эта коллекция призвана вооружить людей и организации знаниями и инструментами, необходимыми для защиты их Android-приложений от возникающих угроз безопасности.
Коллекция ресурсов, связанных с безопасностью Android.
Инструменты
Онлайн-анализаторы
- AndroTotal
- Appknox – не бесплатный
- Virustotal – максимум 128MB
- Fraunhofer App-ray – не бесплатный
- NowSecure Lab Automated – Корпоративный инструмент для тестирования безопасности мобильных приложений как для Android, так и для iOS. Lab Automated проводит динамический и статический анализ на реальных устройствах в облаке и получает результаты за считанные минуты. не бесплатный
- App Detonator – Аудит бинарного APK для получения подробной информации на уровне исходного кода, включая автора приложения, подпись, сборку и информацию о манифесте. Бесплатная квота 3 анализа в день.
- Pithus – APK-анализатор с открытым исходным кодом. Пока находится в стадии бета-версии и ограничен статическим анализом. Возможность охоты на вредоносное ПО с помощью правил Yara.
- Oversecured – Корпоративный сканер уязвимостей для приложений на Android и iOS, который позволяет владельцам и разработчикам приложений обеспечить безопасность каждой новой версии мобильного приложения, интегрировав Oversecured в процесс разработки. Не бесплатный.
- AppSweep by Guardsquare – Бесплатное и быстрое тестирование безопасности Android-приложений для разработчиков
- Koodous – Выполняет статический/динамический анализ вредоносных программ в обширном хранилище образцов Android и проверяет их на соответствие публичным и частным правилам Yara.
- Immuniweb. Выполняет “OWASP Mobile Top 10 Test”, “Mobile App Privacy Check” и тест разрешений приложений. Бесплатный уровень – 4 теста в день, включая отчет после регистрации
Инструменты статического анализа
- Androwarn –Обнаружение и предупреждение пользователя о потенциально вредоносном поведении приложения для Android.
- ApkAnalyser
- APKInspector
- Droid Intent Data Flow Analysis for Information Leakage
- DroidLegacy
- FlowDroid
- Android Decompiler – не бесплатный
- PSCout – Инструмент для извлечения спецификации разрешений из исходного кода ОС Android с помощью статического анализа
- Amandroid
- SmaliSCA – Статический анализ кода Smali
- CFGScanDroid –Сканирование и сравнение CFG с CFG вредоносных приложений
- Madrolyzer –извлекает полезные данные, такие как C&C, номер телефона и т.д.
- SPARTA –Проверяет (доказывает), что приложение удовлетворяет политике безопасности информационного потока; построено на базе Checker Framework Checker Framework
- ConDroid –Выполняет комбинацию символического + конкретного выполнения приложения
- DroidRA
- RiskInDroid – Инструмент для расчета риска приложений для Android на основе их разрешений.
- SUPER – Безопасный, унифицированный, мощный и расширяемый анализатор Rust Android
- ClassyShark – Автономный инструмент для проверки бинарных файлов, который может просмотреть любой исполняемый файл Android и показать важную информацию.
- StaCoAn – Кроссплатформенный инструмент, помогающий разработчикам, охотникам за ошибками и этичным хакерам проводить статический анализ кода мобильных приложений. При создании этого инструмента большое внимание уделялось удобству использования и графическим подсказкам в пользовательском интерфейсе.
- JAADAS – Совместный инструмент внутрипроцедурного и межпроцедурного анализа программ для поиска уязвимостей в Android-приложениях, построенный на Soot и Scala
- Quark-Engine – Система оценки вредоносных программ для Android с использованием обфускации и игнорирования
- One Step Decompiler –Декомпиляция APK для Android для ленивых
- APKLeaks – Сканирование APK-файла на наличие URI, конечных точек и секретов.
- Mobile Audit – Веб-приложение для выполнения статического анализа и обнаружения вредоносных программ в APK-файлах для Android.
см. также:
- 🤖 Бесплатный набор инструментов для тестирования на проникновение Android и оценки рисков
- 🤖 10 лучших приложений для хакинга на Android
- 🐉 Как удаленно следить за любым устройством Android
- 🤖 Andriller – форензика телефона Android на Kali Linux
- 🤖 APKHunt: Проверка приложений для Android