Проверьте, есть ли в вашем мобильном приложении недостатки безопасности, и устраните их до того, как они нанесут ущерб вашей деловой репутации. Использование мобильных устройств растет, а вместе с ним растут и мобильные приложения. В Apple App Store насчитывается около 2 миллионов приложений, а в Google Play – 2,5. Последние исследования показывают, что 38% приложений для iOS и 43% приложений для Android имеют уязвимости высокого риска. Существует множество типов уязвимостей, и вот некоторые из них:
- Утечка личных данных, чувствительных для пользователя (электронная почта, учетные данные, IMEI, GPS, MAC-адрес), по сети
- Передача данных по сети с минимальным шифрованием или без него
- Наличие файла, доступного для чтения/записи в мире
- Выполнение произвольного кода
- Вредоносные программы
Если вы владелец, разработчик, то вы должны сделать все возможное, чтобы защитить свое мобильное приложение. Существует множество сканеров уязвимостей безопасности для веб-сайтов, а приведенные ниже помогут вам найти недостатки безопасности в мобильных приложениях. Некоторые сокращения, используемые в этом посте.
- APK – пакетный набор для Android
- IPA – архив приложений для iPhone
- IMEI – международный идентификатор мобильного оборудования
- GPS – система глобального позиционирования
- MAC – управление доступом к среде
- API – интерфейс прикладного программирования
- OWASP – Открытый проект по безопасности веб-приложений
App-Ray
Держите уязвимости на расстоянии, используя сканер безопасности от App-Ray. Он позволяет проверять мобильные приложения из неизвестных источников и обеспечивает репутацию благодаря интеграции с EMM-MDM/MAM. Сканер обнаруживает угрозы до того, как они нанесут вред вашим данным, и предотвращает установку вредоносных приложений. Интегрируйте анализ уязвимостей в свои приложения еще на этапе их создания. Их REST API позволяет выполнять анализ автоматически и элегантно. Вы также можете инициировать действия в случае обнаружения какой-либо проблемы, чтобы предотвратить возможные риски.
Он использует передовые технологии военного класса для картографирования данных и анализа сетевого трафика, включая зашифрованные коммуникации. App-Ray использует несколько методов анализа – статический, а также динамический и поведенческий. Статический анализ кода применяется для выявления проблем с кодированием, проблем, связанных с шифрованием, утечек данных и методов борьбы с отладкой. Аналогично, динамический и поведенческий анализ проводится для инструментального и немодифицированного тестирования, доступа к коммуникационным файлам и т.д. App-Ray поддерживает платформы iOS и Android. По окончании сканирования вы увидите все технические подробности и сможете скачать необходимые файлы, включая PCAP-файл.
Astra Pentest
Сканируйте и устраняйте слабые места в безопасности ваших приложений для Android и iOS с помощью Astra Pentest и защищайте их от любых уязвимостей, попыток взлома или утечки данных.
Комплексный сканер уязвимостей Astra в хакерском стиле, решение для автоматического и ручного пентестинга, при проведении тестов учитывает все аспекты параметров мобильного приложения, включая его:
- Архитектура и дизайн
- Сетевая связь и обработка данных
- Хранение данных и конфиденциальность
- Аутентификация и управление сеансами
- Ошибки конфигурации в коде или настройках сборки
Постоянно развивающаяся платформа Astra для проверки уязвимостей выполняет более 8000+ тестовых случаев для обнаружения уязвимостей. Постоянно развивающаяся приборная панель использует новые сведения о взломах и CVE для сканирования критически важных компонентов вашего мобильного приложения, таких как API, бизнес-логика и платежные шлюзы.
Codified
Обнаруживайте и быстро устраняйте проблемы безопасности с помощью Codified. Просто загрузите код своего приложения и проверьте его с помощью сканера. Сканер предоставит подробный отчет с указанием рисков безопасности. Codified – это самообслуживаемый сканер безопасности. Это означает, что от вас требуется загрузить файлы ваших приложений в платформу. Он способен легко интегрироваться с циклами доставки. Вы можете создавать свои правила для движков статического анализа и устанавливать уровни соответствия.
Их отчеты по безопасности профессиональны и содержат четкую информацию обо всех рисках, связанных с вашими мобильными приложениями. В них также приводится список необходимых действий, которые вы можете предпринять для предотвращения нарушений безопасности. Codified поддерживает загрузку IPA и APK. Он позволяет проводить статические, динамические и сторонние тесты библиотек. Кроме того, Codified интегрируется с Phonegap, Xamarin и Hockey app, а также поддерживает приложения на Java, Swift и Objective-C.
Mobile Security Framework
Автоматизированное и универсальное мобильное приложение – Mobile Security Framework (MobSF) – можно использовать на устройствах под управлением Windows, iOS и Android.
Приложение можно использовать для анализа вредоносных программ, пен-тестирования, оценки безопасности и т. д. Оно может выполнять оба типа анализа – статический и динамический. MobSF предоставляет REST API, чтобы вы могли легко интегрировать конвейер DevSecOps или CI/CD. Он поддерживает двоичные файлы мобильных приложений, такие как IPA, APK и APPX, а также заархивированные исходные коды. С помощью динамического анализатора можно выполнять оценки безопасности во время выполнения, а также инструментальное тестирование.
Dexcalibur
Dexcalibur – это Android-сканер для реверс-инжиниринга, ориентированный на автоматизацию приборостроения.
Цель Dexcalibur – автоматизировать все эти скучные задачи, связанные с динамическими приборами, включая:
- Поиск интересных вещей или узоров для вязания крючком
- Обработайте данные, которые собирает хук, например, файл dex, загрузчик классов, вызванный метод и т.д.
- Декомпиляция перехваченных байткодов
- Запись кодов крючков
- Управление сообщениями на крючке
Механизм статического анализа Dexcalibur способен выполнять и частичные небольшие фрагменты. Его цель – отобразить выполненную функцию. Он также может показать, какая функция может быть выполнена, основываясь на глубине стека вызовов или значении конфигурации. Он помогает читать более чистые версии байткода, удаляя непрозрачные и бесполезные предикаты goto.
StaCoAn
StaCoAn – это отличный инструмент, который помогает разработчикам, этичным хакерам и охотникам за головами выполнять статический анализ кода мобильных приложений. Этот кроссплатформенный инструмент анализирует строки кода, содержащие ключи API, URL API, жестко закодированные учетные данные, ключи расшифровки, ошибки кодирования и так далее. Целью создания этого инструмента было обеспечить лучшее графическое сопровождение и удобство пользовательского интерфейса. В настоящее время StaCoAn поддерживает только файлы APK, а файлы IPA будут доступны в ближайшее время.
Как вы уже догадались, он имеет открытый исходный код. StaCoAn включает функцию перетаскивания файла мобильного приложения, что позволяет создавать портативные и наглядные отчеты. Вы даже можете настроить списки слов и параметры для более удобной работы. Эти отчеты легко просматривать через декомпилированное приложение. С помощью “функции лута” вы можете сохранять ценные находки в закладки. Вы также можете просмотреть все свои находки на соответствующей странице. StaCoAn поддерживает различные типы файлов, такие как Java, js, XML и HTML. В базе данных есть программа просмотра таблиц, в которой можно искать ключевые слова в файлах базы данных.
Мобильная безопасность во время выполнения
Мощный интерфейс Runtime Mobile Security (RMS) поможет вам манипулировать iOS- и Android-приложениями во время выполнения. Здесь можно в мгновение ока подцепить все, что угодно, сделать дамп загруженных классов, отследить аргументы методов, вернуть значение, включая пользовательские скрипты и т. д. На данный момент RMS протестировали его на macOS, и он поддерживает такие устройства, как iPhone 7, веб-интерфейс Chrome, Amazon Fire Stick 4K и эмулятор AVD. Возможно, с небольшими изменениями она будет поддерживать Linux и Windows.
С помощью монитора API вы можете отслеживать множество API для Android, которые делятся на 20 типов. Вы можете расширить поддержку, добавив дополнительные методы или классы в JSON-файл, и даже проверить родные функции, такие как открытие, закрытие, запись, чтение, удаление, отсоединение и так далее. В комплект поставки входит файловый менеджер, позволяющий просматривать личные файлы приложения и при необходимости загружать их.
Ostorlab
Ostorlab позволяет провести сканирование в приложении для Android или iOS и выдает подробную информацию о результатах исследования.
Вы можете загрузить файл приложения APK или IPA, и уже через несколько минут получите отчет о проверке безопасности.
Quixxi
Quixxi специализируется на предоставлении мобильной аналитики, защите мобильных приложений и восстановлении потерянных доходов. Если вы просто хотите провести тест на уязвимость, то вы можете загрузить файл вашего приложения для Android или iOS здесь.
Проверка может занять несколько минут, после чего вы получите обзор отчета об уязвимостях. Однако если вы хотите получить полный отчет, то вам придется пройти БЕСПЛАТНУЮ регистрацию на их сайте.
SandDroid
SandDroid выполняет статический и динамический анализ и предоставляет вам полный отчет. Вы можете загружать APK- или zip-файлы размером не более 50 МБ.
SandDroid разработан командой исследователей ботнетов из Университета Сиань Цзяотун. В настоящее время он выполняет проверку следующих устройств.
- Размер файла/хэш, версия SDK
- Сетевые данные, компоненты, особенности кода, чувствительные API, анализ распространения IP-адресов
- Утечка данных, SMS, мониторинг телефонных звонков
- Рискованное поведение и оценка
QARK
QARK (Quick Android Review Kit) от LinkedIn поможет вам найти несколько уязвимостей Android в исходном коде и упакованных файлах. QARK бесплатен для использования и установки, требует Python 2.7+, JRE 1.6/1.7+ и протестирован на OSX/RHEL 6.6. Некоторые из перечисленных ниже уязвимостей можно обнаружить с помощью QARK.
- Tapjacking
- Неправильная проверка сертификата x.509
- Подслушивание
- Закрытый ключ в исходном коде
- Эксплуатируемые конфигурации WebView
- Устаревшие версии API
- Потенциальная утечка данных
- и многое другое…
ImmuniWeb
Онлайн-сканер приложений для Android и iOS от ImmuniWeb проверяет приложения на 10 лучших уязвимостей OWASP для мобильных устройств. Он выполняет статические и динамические тесты безопасности и предоставляет отчет, позволяющий действовать.
Вы можете скачать отчет в формате PDF, содержащий подробные результаты анализа.
Заключение
Надеюсь, приведенные выше сканеры уязвимостей помогут вам проверить безопасность вашего мобильного приложения и устранить все обнаруженные недостатки.
