Mobile

7 сервисов для поиска уязвимости мобильных приложений

Проверьте, есть ли в системе безопасности вашего мобильного приложения слабые места, и исправьте их, пока они не навредили вашей репутации.

Согласно последним исследованиям NowSecure более чем в 25% мобильных приложений есть хотя бы одна критически опасная уязвимость.

В 59% финансовых приложений для Android есть три уязвимости из списка OWASP Топ-10.

Чем больше используют мобильные телефоны, тем больше появляется мобильных приложений. В магазине приложений Apple App Store доступно более 2 миллионов приложений, а в Google Play Store — более 2,2 миллионов.

Существует множество видов уязвимости, к наиболее критичным из них относятся:

  • утечка личной или конфиденциальной информации пользователей в сети (email, учетные данные, IMEI, GPS, MAC-адрес);
  • обмен информации в сети без шифрования или с недостаточным шифрованием;
  • файл доступен для чтения или записи любым лицом;
  • выполнение произвольного кода;
  • вредоносные программы.

Если вы владелец или разработчик приложения, вы должны сделать все для обеспечения безопасности вашего мобильного приложения. Существует много инструментов для поиска уязвимости сайтов, а информация ниже поможет вам найти слабые стороны системы безопасности мобильного приложения.

[ad name=»Responbl»]

В статье используются следующие сокращения:

  • APK – формат архивных файлов-приложений для Android (англ. Android Package Kit);
  • IPA – формат архивных файлов-приложений для iPhone (англ. iPhone application archive);
  • IMEI – международный идентификатор мобильного оборудования (англ. International mobile equipment identity);
  • GPS – система глобального позиционирования (англ. Global positioning system);
  • MAC – управление доступом к среде (англ. Media access control);
  • API – интерфейс программирования приложений (англ. Application Programming Interface);
  • OWASP – открытый проект обеспечения безопасности веб-приложений (англ. Open web application security project).

Инструменты для поиска уязвимости приложений Android или iOS:

  1. Ostorlab
  2. Appvigil
  3. Quixxi
  4. AndroTotal
  5. Akana
  6. NVISO
  7. SandDroid

1. Ostorlab

Ostorlab позволят проверить приложение на Android или iOS и получить подробный отчет о результатах проверки. Загрузите файл вашего приложения в формате APK или IPA и спустя несколько минут отчет о безопасности будет готов.

Максимальный размер файла для загрузки на проверку 60 Mb. Тем не менее, если размер вашего приложения превышает 60Mb, то можно связаться со специалистами Ostorlab, чтобы разместить файл через запрос API.

В основе лежат такие программы с открытым исходным кодом как Androguard и Radare2. Советую бесплатно проверить ваше мобильное приложение при помощи Ostorlab.

2. Appvigil

Найдите все пробелы в системе безопасности вашего мобильного приложения с помощью Appvigil и получите подробный отчет об уязвимости за считанные минуты.

С Appvigil вы получите не только описание возможных угроз, но и рекомендации по устранению уязвимости для быстрого решения проблемы. Никакие программы устанавливать не надо, поскольку все обрабатывается в облаке Appvigil.

После того, как вы загрузите файлы APK или IPA производится статический и динамический анализ приложения (Android/iOS), в том числе и на наличие уязвимости из списка OWASP Топ-10.

3. Quixxi

Quixxi предназначен для получения мобильной аналитики, защиты мобильных приложений и восстановления потенциальных доходов. Если вам нужно просто проверить приложение на наличие уязвимости, то загрузите файл приложения Android или iOS сюда.

Для проверки потребуется несколько минут. После завершения проверки у вас будет краткий отчет об уязвимости. Если же вам нужен полный отчет, то нужно зарегистрироваться на сайте. Это бесплатно.

4. AndroTotal

Как можно догадаться по названию, AndroTotal пригоден только для работы с приложениями на Android. AndroTotal проверяет файл APK на наличие вирусов и вредоносного кода, сверяя результаты следующих антивирусных программ:

  • McAfee;
  • TrustGo;
  • ESET;
  • Comodo;
  • AVG;
  • Avira;
  • Bitdefender;
  • Qihoo.

Если вам нужно быстро проверить APK-файлы на наличие вирусов, то AndroTotal является хорошим решением.

5. Akana

Akana — это интерактивный инструмент для анализа приложений для Android. Akana проверяет приложение на наличие вредоносного кода и отображает сведения о результатах.

Проверка бесплатная, так что попробуйте и посмотрите, нет ли в вашем Android приложении вредоносного кода.

6. NVISO

Nviso APKSCAN — это еще один удобный сетевой инструмент для проверки приложения на наличие вредоносного кода. Результаты могут быть готовы не сразу, это зависит от вашего места в очереди. Можете оставить свою электронную почту и получить уведомление, когда отчет будет готов.

Я проверил макет своего приложения с помощью Nviso и увидел, что проверяется следующее:

  • активность диска;
  • поиск вирусов;
  • сетевой трафик;
  • возможность совершения телефонного звонка, отправки SMS;
  • криптографическая активность;
  • утечка данных.

[ad name=»Responbl»]

7. SandDroid

SandDroid проводит статический и динамический анализ и формирует полный отчет. Можно загрузить файл APK или zip-файл размером не более 50 Mb.

SandDroid разработан исследовательской группой Botnet и Сианьского транспортного университета. Проверяется следующее:

  • размер/хеш файла, версия SDK;
  • сетевые данные, компоненты, закодированные свойства, уязвимый API, анализ IP;
  • утечки данных, SMS, отслеживание телефонных звонков;
  • поведение, представляющее угрозу, и вероятность угрозы.

Запросите отчет и оцените безопасность вашего приложения.

Надеюсь, инструменты для проверки уязвимости помогут вам проверить безопасность мобильного приложения и устранить найденные проблемы.

[ad name=»Responbl»]

Если у вас свой сайт, то возможно вас заинтересует возможность автоматической проверки сайта на наличие уязвимостей.

Click to rate this post!
[Total: 24 Average: 4]
cryptoworld

Специалист в области кибер-безопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз. Цель данного блога - простым языком рассказать о сложных моментах защиты IT инфраструктур и сетей.

Recent Posts

Лучший адаптер беспроводной сети для взлома Wi-Fi

Чтобы взломать сеть Wi-Fi с помощью Kali Linux, вам нужна беспроводная карта, поддерживающая режим мониторинга…

11 месяцев ago

Как пользоваться инструментом FFmpeg

Работа с консолью считается более эффективной, чем работа с графическим интерфейсом по нескольким причинам.Во-первых, ввод…

11 месяцев ago

Как создать собственный VPN-сервис

Конечно, вы также можете приобрести подписку на соответствующую услугу, но наличие SSH-доступа к компьютеру с…

12 месяцев ago

ChatGPT против HIX Chat: какой чат-бот с искусственным интеллектом лучше?

С тех пор как ChatGPT вышел на арену, возросла потребность в поддержке чата на базе…

12 месяцев ago

Разведка по Wi-Fi и GPS с помощью Sparrow-wifi

Если вы когда-нибудь окажетесь в ситуации, когда вам нужно взглянуть на спектр беспроводной связи, будь…

12 месяцев ago

Как обнаружить угрозы в памяти

Elastic Security стремится превзойти противников в инновациях и обеспечить защиту от новейших технологий злоумышленников. В…

12 месяцев ago