Testen Sie, ob Ihre Mobile App Sicherheitslücken aufweist, und beheben Sie diese, bevor sie den Ruf Ihres Unternehmens schädigen.
Die Nutzung von Mobiltelefonen nimmt zu, und damit auch die Zahl der mobilen Apps. Es gibt etwa 2 Millionen Apps im Apple App Store und 2,5 Millionen bei Google Play. Jüngste Untersuchungen zeigen, dass 38% der iOS- und 43% der Android-Apps hochriskante Sicherheitslücken aufweisen.
Es gibt mehrere Arten von Sicherheitslücken, und einige der Gefahren sind:
- Durchsickern persönlicher, benutzersensibler Daten (E-Mail, Zugangsdaten, IMEI, GPS, MAC-Adresse) über das Netzwerk
- Kommunikation über das Netzwerk mit wenig oder keiner Verschlüsselung
- Eine weltweit lesbare/schreibbare Datei
- Willkürliche Code-Ausführung
- Malware
Wenn Sie der Eigentümer, der Entwickler sind, dann sollten Sie alles tun, was nötig ist, um Ihre mobile App zu sichern.
Es gibt eine Fülle von Scannern für Sicherheitslücken auf der Website, und das Folgende sollte Ihnen helfen, die Sicherheitslücken in Mobile Apps zu finden.
Einige der in diesem Beitrag verwendeten Abkürzungen.
- APK - Android-Paket-Kit
- IPA - iPhone Anwendungsarchiv
- IMEI - Internationale Identität für mobile Geräte
- GPS - Globales Positionsbestimmungssystem
- MAC - Medienzugriffskontrolle
- API - Anwendungsprogrammierschnittstelle
- OWASP - Offenes Projekt zur Sicherheit von Webanwendungen
App-Ray
Halten Sie Schwachstellen in Schach mit dem Sicherheitsscanner von App-Ray. Er kann Ihre mobilen Anwendungen aus unbekannten Quellen überprüfen und bietet eine Reputation durch Integration mit EMM-MDM/MAM. Der Scanner kann Bedrohungen erkennen, bevor sie Ihre Daten schaden, und verhindert, dass Sie bösartige Anwendungen installieren.
Integrieren Sie Ihre Anwendungen mit einer Schwachstellenanalyse, während Sie sie erstellen. Über die REST-API können Sie Analysen automatisch und elegant durchführen. Sie können auch Aktionen auslösen, wenn Sie ein Problem entdecken, um mögliche Risiken zu vermeiden.

App-Ray nutzt fortschrittliche und militärtaugliche Technologien, um Daten abzubilden und den Netzwerkverkehr zu analysieren, einschließlich der verschlüsselten Kommunikation.
App-Ray setzt mehrere Analysetechniken ein - statische sowie dynamische und verhaltensbasierte Analyse. Die statische Code-Analyse wird bei Codierungsproblemen, Verschlüsselungsproblemen, Datenlecks und Anti-Debugging-Techniken eingesetzt.
In ähnlicher Weise wird die dynamische und verhaltensbasierte Analyse für instrumentelle und unveränderte Tests, den Zugriff auf Kommunikationsdateien usw. durchgeführt.
App-Ray unterstützt die Plattformen iOS und Android. Sobald der Scan abgeschlossen ist, werden alle technischen Details angezeigt und Sie können die erforderlichen Dateien herunterladen, einschließlich der PCAP-Datei.
Astra Pentest
Scannen und beheben Sie Sicherheitslücken in Ihren Android- und iOS-Anwendungen mit Astra Pentest und schützen Sie vor jeder Art von Schwachstellenausnutzung, Hacking-Versuchen oder Datenverletzungen.

Astras umfassender Schwachstellen-Scanner im Hacker-Stil sowie die automatisierte und manuelle Pentesting-Lösung berücksichtigen bei der Durchführung von Tests jeden Aspekt der Parameter mobiler Anwendungen, einschließlich ihrer:
- Architektur und Design
- Netzwerkkommunikation und Datenverarbeitung
- Datenspeicherung und Datenschutz
- Authentifizierung und Sitzungsverwaltung
- Fehlkonfigurationen im Code oder in den Build-Einstellungen
Die sich ständig weiterentwickelnde Penetrationsplattform von Astra führt über 8000 Testfälle durch, um bei der Erkennung von Schwachstellen zu helfen. Das sich ständig weiterentwickelnde Dashboard nutzt neue Informationen über Hacks und CVEs, um die kritischen Komponenten Ihrer mobilen Anwendung wie APIs, Geschäftslogik und Zahlungs-Gateways zu scannen.
Kodifizierte Sicherheit
Erkennen und beheben Sie Sicherheitsprobleme schnell mit Kodifiziert. Laden Sie einfach den Code Ihrer Anwendung hoch und verwenden Sie den Scanner, um ihn zu testen. Sie erhalten einen detaillierten Bericht, der Sicherheitsrisiken aufzeigt.
Codified ist ein Sicherheitsscanner zur Selbstbedienung. Das heißt, Sie müssen Ihre App-Dateien auf die Plattform hochladen. Er lässt sich nahtlos in die Lieferzyklen integrieren. Sie können Ihre Regeln für statische Analyse-Engines erstellen und auch Compliance-Stufen festlegen.

Die Sicherheitsberichte sind professionell und zeigen klare Details zu allen Risiken, die mit Ihren mobilen Apps verbunden sind. Es wird auch eine Liste der anwendbaren Aktionen angezeigt, die Sie ausführen können, um Sicherheitsverletzungen zu verhindern.
Codified unterstützt IPA- und APK-Uploads. Es ermöglicht statische und dynamische Tests sowie Tests von 3rd-Party-Bibliotheken.
Außerdem lässt sich Codified mit Phonegap, Xamarin und Hockey App integrieren und unterstützt auch Java-, Swift- und Objective-C-Anwendungen.
Framework für mobile Sicherheit
Die automatisierte und allumfassende mobile App - Mobile Security Framework(MobSF) kann auf Windows-, iOS- und Android-Geräten verwendet werden.

Sie können die App für Malware-Analysen, Pen-Tests, Sicherheitsbewertungen usw. verwenden. Sie können beide Arten von Analysen durchführen - statische und dynamische.
MobSF bietet REST-APIs, so dass Sie Ihre DevSecOps-Pipeline oder CI/CD nahtlos integrieren können. Es unterstützt neben gezippten Quellcodes auch Binärdateien für mobile Anwendungen wie IPA, APK und APPX. Mit dem dynamischen Analysator können Sie Bewertungen für die Laufzeitsicherheit sowie instrumentierte Tests durchführen.
Dexcalibur
Dexcalibur ist ein Reverse-Engineering-Scanner für Android, der sich auf die Automatisierung der Instrumentierung konzentriert.

Das Ziel von Dexcalibur ist es, alle die langweiligen Aufgaben zu automatisieren, die mit der dynamischen Instrumentierung verbunden sind, einschließlich:
- Suche nach interessanten Dingen oder Mustern für den Hook
- Verarbeiten der Daten, die ein Hook sammelt, wie z.B. eine Dex-Datei, ein Klassenlader, eine aufgerufene Methode, usw.
- Abgefangene Bytecodes dekompilieren
- Schreiben von Hook-Codes
- Verwalten von Hook-Nachrichten
Die statische Analysemaschine von Dexcalibur ist in der Lage, auch kleine Teilstücke auszuführen. Ihr Zweck ist es, die ausgeführte Funktion darzustellen. Sie kann auch anzeigen, welche Funktion aufgrund der Tiefe des Aufrufstapels oder des Konfigurationswerts ausgeführt werden kann. Sie hilft Ihnen, sauberere Bytecode-Versionen zu lesen, indem sie undurchsichtige und goto-Prädikate entfernt, die nutzlos sind.
StaKoAn
StaKoAn ist ein großartiges Tool, das Entwicklern, ethischen Hackern und Bug-Bounty-Jägern hilft, statische Code-Analysen für mobile Anwendungen durchzuführen. Dieses plattformübergreifende Tool analysiert Codezeilen, die API-Schlüssel, API-URLs, hartcodierte Anmeldeinformationen, Entschlüsselungsschlüssel, Codierungsfehler usw. enthalten.
Das Ziel bei der Entwicklung dieses Tools war es, eine bessere grafische Anleitung und Benutzerfreundlichkeit in der Benutzeroberfläche zu bieten. Zurzeit unterstützt StaCoAn nur APK-Dateien, IPA-Dateien werden bald verfügbar sein.

Wie Sie sich denken können, ist es Open-Source.
StaCoAn enthält eine Drag-and-Drop-Funktion für Ihre mobile App-Datei, so dass Sie einen portablen und visuellen Bericht erstellen können. Sie können sogar die Wortlisten und Einstellungen anpassen, um eine bessere Erfahrung zu machen. Diese Berichte lassen sich leicht in einer dekompilierten Anwendung durchsuchen.
Mit der "Beutefunktion" können Sie wertvolle Erkenntnisse mit einem Lesezeichen versehen. Sie können sich auch alle Ihre Befunde auf der bereitgestellten Seite ansehen.
StaCoAn unterstützt verschiedene Dateitypen wie Java-, js, XML- und HTML-Dateien. Seine Datenbank verfügt über einen Tabellenbetrachter, mit dem Sie die Datenbankdateien nach Schlüsselwörtern durchsuchen können.
Mobile Sicherheit zur Laufzeit
Die leistungsstarke Schnittstelle von Runtime Mobile Security(RMS) hilft Ihnen bei der Manipulation von iOS- und Android-Anwendungen zur Laufzeit. Hier können Sie im Handumdrehen alles einhaken, geladene Klassen ausgeben, Methodenargumente verfolgen und einen Wert zurückgeben, einschließlich benutzerdefinierter Skripte, usw.
Im Moment hat RMS es auf macOS getestet und unterstützt Geräte wie das iPhone 7, die Web-Oberfläche Chrome, den Amazon Fire Stick 4K und den AVD-Emulator. Mit kleineren Anpassungen könnte es auch Linux und Windows unterstützen.

Mit dem API-Monitor können Sie mehrere Android-APIs überwachen, die in 20 Typen eingeteilt sind. Sie können die Unterstützung erweitern, indem Sie der JSON-Datei zusätzliche Methoden oder Klassen hinzufügen und sogar native Funktionen wie Öffnen, Schließen, Schreiben, Lesen, Entfernen, Entkoppeln usw. überprüfen.
Ein Dateimanager ist enthalten, damit Sie die privaten Dateien der Anwendung erkunden und bei Bedarf herunterladen können.
Ostorlab
MitOstorlab können Sie Ihre Android- oder iOS-App scannen und erhalten detaillierte Informationen über den Fonds.

Sie können die APK- oder IPA-Anwendungsdatei hochladen, und innerhalb weniger Minuten erhalten Sie den Bericht über den Sicherheitsscan.
Quixxi
Quixxi ist auf mobile Analysen, den Schutz mobiler Apps und die Wiederherstellung von Umsatzverlusten spezialisiert. Wenn Sie nur einen Schwachstellentest durchführen möchten, können Sie Ihre Android- oder iOS-Anwendungsdatei hier hochladen.

Der Scan kann einige Minuten dauern, und sobald er abgeschlossen ist, erhalten Sie einen Überblick über den Schwachstellenbericht.
Wenn Sie jedoch einen umfassender Bericht wünschen, müssen Sie sich bei KOSTENLOS auf der Website registrieren.
SandDroid
SandDroid führt statische und dynamische Analysen durch und liefert Ihnen einen umfassenden Bericht. Sie können APK- oder Zip-Dateien mit einer maximalen Größe von 50 MB hochladen.

SandDroid wurde vom Botnet-Forschungsteam und der Xi'an Jiaotong Universität entwickelt. Es führt derzeit Überprüfungen der folgenden Punkte durch.
- Dateigröße/Hash, SDK-Version
- Netzwerkdaten, Komponenten, Code-Merkmale, sensible API, Analyse der IP-Verteilung
- Überwachung von Datenlecks, SMS und Telefonanrufen
- Risikoverhalten und Bewertung
QARK
QARK (Quick Android Review Kit) von LinkedIn hilft Ihnen, verschiedene Android-Schwachstellen im Quellcode und in gepackten Dateien zu finden.
QARK ist kostenlos und erfordert zur Installation Python 2.7 , JRE 1.6/1.7 und wurde auf OSX/RHEL 6.6 getestet.
Einige der folgenden Sicherheitslücken können von QARK aufgespürt werden.
- Tapjacking
- Unsachgemäße Validierung von x.509-Zertifikate
- Lauschangriff
- Der private Schlüssel im Quellcode
- Ausnutzbare WebView-Konfigurationen
- Veraltete API-Versionen
- Potenzielles Datenleck
- und vieles mehr...
ImmuniWeb
Ein Online-Scanner für Android- und iOS-Apps von ImmuniWeb testet Anwendungen auf die OWASP Mobile Top 10 Schwachstellen.
Sie führt statische und dynamische Sicherheitstests durch und liefert einen umsetzbaren Bericht.

Sie können den Bericht im PDF-Format herunterladen, der die detaillierten Analyseergebnisse enthält.
Fazit
Ich hoffe, die oben genannten Schwachstellen-Scanner helfen Ihnen, die Sicherheit Ihre mobile Anwendungen zu überprüfen, damit Sie eventuelle Fehler beheben können. Wenn Sie ein Sicherheitsexperte sind, sind Sie vielleicht daran interessiert, Mobile Penetrationstests zu lernen. Hier sind 8 Tipps für Bessere mobile Sicherheit.