Testen Sie, ob Ihre Mobile App welche hat Sicherheitslücken und behebt sie, bevor sie Ihrem Ruf als Unternehmen schaden.
Die Nutzung mobiler Geräte nimmt zu, und damit auch mobile Apps. Es gibt rund 2 Millionen Apps im Apple App Store und 2.5 bei Google Play. Das Neueste Forschungsprojekte zeigt, dass 38 % der iOS- und 43 % der Android-Apps hochriskante Schwachstellen aufwiesen.
Es gibt mehrere Arten von Sicherheitslücken und einige davon Gefahren sind:
- Durchsickern persönlicher, benutzersensibler Daten (E-Mail, Anmeldeinformationen, IMEI, GPS, MAC-Adresse) über das Netzwerk
- Kommunikation über das Netzwerk mit wenig oder keiner Verschlüsselung
- Eine weltweit lesbare / beschreibbare Datei haben
- Beliebige Codeausführung
- Malware
Wenn Sie der Eigentümer oder Entwickler sind, sollten Sie alles tun, um Ihre mobile App zu sichern.
Es gibt viele Sicherheitslücken-Scanner für die Websiteund das Folgende soll Ihnen helfen, die Sicherheitslücken in mobilen Apps zu finden.
Einige der in diesem Beitrag verwendeten Abkürzungen.
- APK - Android-Paket-Kit
- IPA - iPhone-Anwendungsarchiv
- IMEI - Internationale Identität mobiler Geräte
- GPS - Globales Positionierungssystem
- MAC - Medienzugriffskontrolle
- API - Anwendungsprogrammierschnittstelle
- OWASP - Öffnen Sie das Sicherheitsprojekt für Webanwendungen
App-Ray
Halten Sie Schwachstellen mit dem Sicherheitsscanner von in Schach App Ray. Es kann Ihre mobilen Anwendungen aus unbekannten Quellen überprüfen und bietet durch die Integration in EMM-MDM / MAM einen guten Ruf. Der Scanner kann Bedrohungen erkennen, bevor sie Ihre Daten beschädigen, und verhindert, dass Sie schädliche Apps installieren.
Integrieren Sie Ihre Anwendungen in die Schwachstellenanalyse, während Sie sie erstellen. Mit der REST-API können Sie Analysen automatisch und elegant durchführen. Sie können auch Aktionen auslösen, falls Sie ein Problem erkennen, um mögliche Risiken zu vermeiden.

Es nutzt fortschrittliche und militärtaugliche Technologien, um Daten abzubilden und den Netzwerkverkehr zu analysieren, was auch verschlüsselte Kommunikation umfasst.
App-Ray verwendet mehrere Analysetechniken - statische sowie dynamische und verhaltensbasierte Analyse. Die statische Codeanalyse wird für Codierungsprobleme, Verschlüsselungsprobleme, Datenlecks und Anti-Debugging-Techniken verwendet.
In ähnlicher Weise wird eine dynamische und verhaltensbasierte Analyse für instrumentelle und unveränderte Tests, den Zugriff auf Kommunikationsdateien usw. durchgeführt.
App-Ray unterstützt iOS- und Android-Plattformen. Sobald der Scan abgeschlossen ist, können Sie alle technischen Details anzeigen und die erforderlichen Dateien, einschließlich der PCAP-Datei, herunterladen.
Astra Pentest
Scannen und beheben Sie Sicherheitslücken in Ihren Android- und iOS-Anwendungen mit Astra-Pentest und schützen Sie sie vor jeder Art von Schwachstellen-Exploit, Hacking-Versuch oder Datenschutzverletzung.

Der umfassende Schwachstellen-Scanner, die automatisierte und manuelle Pentest-Lösung von Astra berücksichtigt bei der Durchführung von Tests jeden Aspekt der Parameter mobiler Anwendungen, einschließlich:
- Architektur und Design
- Netzwerkkommunikation und Datenverarbeitung
- Datenspeicherung und Datenschutz
- Authentifizierung und Sitzungsverwaltung
- Fehlkonfigurationsfehler in Code- oder Build-Einstellungen
Die sich ständig weiterentwickelnde Schwachstellendatenbank von Astra verwendet neue Informationen über Hacks und CVEs, um die kritischen Komponenten Ihrer mobilen Anwendung wie APIs, Geschäftslogik und Zahlungsgateways zu scannen.
Codified Security
Erkennen und beheben Sie Sicherheitsprobleme schnell mit Kodifiziert. Laden Sie einfach Ihren App-Code hoch und testen Sie ihn mit dem Scanner. Es enthält einen detaillierten Bericht über Sicherheitsrisiken.
Codified ist ein Selbstbedienungs-Sicherheitsscanner. Dies bedeutet, dass Sie Ihre App-Dateien auf die Plattform hochladen müssen. Es kann nahtlos in Lieferzyklen integriert werden. Sie können Ihre Regeln für statische Analyse-Engines erstellen und auch Konformitätsstufen festlegen.

Ihre Sicherheitsberichte sind professionell und enthalten klare Details zu allen mit Ihren mobilen Apps verbundenen Risiken. Außerdem wird eine Liste der anwendbaren Aktionen angezeigt, die Sie ausführen können, um Sicherheitsverletzungen zu verhindern.
Codified unterstützt IPA- und APK-Uploads. Es erleichtert statische, dynamische und Bibliothekstests von Drittanbietern.
Darüber hinaus lässt sich Codified in die Phonegap-, Xamarin- und Hockey-App integrieren und unterstützt auch Java-, Swift- und Objective-C-Anwendungen.
Mobile Security Framework
Die automatisierte und umfassende mobile App – Mobile Security Framework (MobSF) kann auf Windows-, iOS- und Android-Geräten verwendet werden.

Sie können die App für Malware-Analysen, Penetrationstests, Sicherheitsbewertungen usw. verwenden. Sie kann beide Arten von Analysen durchführen – statisch und dynamisch.
MobSF bietet REST-APIs, mit denen Sie Ihre DevSecOps-Pipeline oder CI / CD nahtlos integrieren können. Es unterstützt Binärdateien für mobile Anwendungen wie IPA, APK und APPX sowie komprimierte Quellcodes. Mit dem dynamischen Analysator können Sie Bewertungen zur Laufzeitsicherheit sowie instrumentierte Tests durchführen.
Dexcalibur
Dexkalibur ist ein Reverse Engineering-Android-Scanner, der sich auf die Automatisierung von Instrumenten konzentriert.

Das Ziel von Dexcalibur ist es, all die langweiligen Aufgaben zu automatisieren, die mit der dynamischen Instrumentierung verbunden sind, einschließlich:
- Suchen Sie nach interessanten Dingen oder Mustern, die Sie einhaken können
- Verarbeiten Sie die Daten, die ein Hook sammelt, z. B. eine Dex-Datei, einen Klassenlader, eine aufgerufene Methode usw.
- Abgefangene Bytecodes dekompilieren
- Schreiben Sie Hook-Codes
- Hook-Nachrichten verwalten
Die statische Analyse-Engine von Dexcalibur ist in der Lage, auch partielle kleine Teile auszuführen. Sein Zweck ist es, die ausgeführte Funktion wiederzugeben. Es kann auch darstellen, welche Funktion basierend auf der Call-Stack-Tiefe oder dem Konfigurationswert ausgeführt werden kann. Es hilft Ihnen, sauberere Bytecode-Versionen zu lesen, indem undurchsichtige und nutzlose Prädikate entfernt werden.
StaCoAn
StaCoAn ist ein großartiges Tool, das Entwicklern, ethischen Hackern und anderen hilft Bug-Bounty Jäger, um statische Code-Analyse für mobile Anwendungen durchzuführen. Dieses plattformübergreifende Tool analysiert Zeilen, die auf einen Code geschrieben sind, der API-Schlüssel, API-URLs, fest codierte Anmeldeinformationen, Entschlüsselungsschlüssel, Codierungsfehler usw. enthält.
Das Ziel hinter der Erstellung dieses Tools war es, eine bessere grafische Führung und Benutzerfreundlichkeit in der Benutzeroberfläche bereitzustellen. Derzeit unterstützt StaCoAn nur APK-Dateien, und IPA-Dateien werden bald verfügbar sein.

Wie Sie sich vorstellen können, handelt es sich um Open Source.
StaCoAn enthält eine Drag-and-Drop-Funktion für Ihre mobile App-Datei, sodass Sie einen tragbaren und visuellen Bericht erstellen können. Sie können sogar Wortlisten und Einstellungen für ein besseres Erlebnis anpassen. Diese Berichte können einfach in einer dekompilierten Anwendung durchsucht werden.
Mit der „Loot-Funktion“ können Sie wertvolle Fundstücke bookmarken. Sie können auch alle Ihre Ergebnisse auf der bereitgestellten Seite anzeigen.
StaCoAn unterstützt verschiedene Dateitypen wie Java-, JS-, XML- und HTML-Dateien. Die Datenbank verfügt über einen Tabellen-Viewer, in dem Sie die Datenbankdateien nach Schlüsselwörtern durchsuchen können.
Runtime Mobile Security
Die leistungsstarke Oberfläche von Runtime Mobile Security (RMS) hilft Ihnen bei der Manipulation von iOS- und Android-Anwendungen zur Laufzeit. Hier können Sie alles in kürzester Zeit einhängen, geladene Klassen ausgeben, Methodenargumente verfolgen und einen Wert zurückgeben, einschließlich benutzerdefinierter Skripte usw.
Im Moment haben sie RMS unter macOS getestet und es unterstützt Geräte wie iPhone 7, Webinterface Chrome, Amazon Fire Stick 4K und AVD-Emulator. Es unterstützt möglicherweise Linux und Windows mit geringfügigen Anpassungen.

Mit dem API-Monitor können Sie mehrere Android-APIs überwachen, die in 20 Typen unterteilt sind. Sie können die Unterstützung erweitern, indem Sie der JSON-Datei zusätzliche Methoden oder Klassen hinzufügen und sogar native Funktionen wie Öffnen, Schließen, Schreiben, Lesen, Entfernen, Aufheben der Verknüpfung usw. überprüfen.
Ein Dateimanager ist enthalten, mit dem Sie die privaten Dateien der Anwendung durchsuchen und bei Bedarf herunterladen können.
Ostorlab
Ostorlab Mit dieser Funktion können Sie Ihre Android- oder iOS-App scannen und detaillierte Informationen zum Ergebnis erhalten.

Sie können die APK- oder IPA-Anwendungsdatei hochladen und innerhalb weniger Minuten erhalten Sie den Sicherheits-Scan-Bericht.
Quixxi
Quixxi konzentriert sich auf die Bereitstellung mobiler Analysen, des Schutzes mobiler Apps und der Wiederherstellung von Umsatzverlusten. Wenn Sie nur eine machen möchten Schwachstellentest, dann können Sie Ihre hochladen Android- oder iOS-Anwendungsdatei hier.

Der Scan kann einige Minuten dauern. Sobald der Scan abgeschlossen ist, erhalten Sie eine Übersicht über den Schwachstellenbericht.
Wenn Sie jedoch nach einem suchen umfassenden Bericht, dann musst du dich KOSTENLOS auf ihrer Website registrieren.
SandDroid
SandDroid führt statische und dynamische Analysen durch und gibt Ihnen einen umfassenden Bericht. Sie können APK- oder Zip-Dateien mit maximal 50 MB hochladen.

SandDroid wurde vom Botnet-Forschungsteam und der Xi'an Jiaotong University entwickelt. Derzeit werden folgende Überprüfungen durchgeführt.
- Dateigröße / Hash, SDK-Version
- Netzwerkdaten, Komponente, Codefunktion, vertrauliche API, IP-Verteilungsanalyse
- Datenverlust, SMS, Telefonanrufüberwachung
- Risikoverhalten und Punktzahl
QARK
Qark (Quick Android Review Kit) von LinkedIn hilft Ihnen dabei, verschiedene Android-Schwachstellen im Quellcode und in gepackten Dateien zu finden.
QARK kann kostenlos verwendet und installiert werden. Für die Installation ist Python 2.7+, JRE 1.6 / 1.7 + erforderlich und unter OSX / RHEL 6.6 getestet
Einige der folgenden Sicherheitslücken können von QARK erkannt werden.
- Tapjacking
- Falsch x.509-Zertifikat Bestätigung
- Abhören
- Der private Schlüssel im Quellcode
- Ausnutzbare WebView-Konfigurationen
- Veraltete API-Versionen
- Möglicher Datenverlust
- und vieles mehr ...
ImmuniWeb
Ein Online-App-Scanner für Android und iOS von ImmuniWeb Testanwendung gegen OWASP Mobile Top 10-Schwachstellen.
Es führt statische und dynamische Sicherheitstests durch und bietet einen umsetzbaren Bericht.

Sie können den Bericht im PDF-Format herunterladen, das die detaillierten Analyseergebnisse enthält.
Fazit
Ich hoffe, die oben genannten Schwachstellenscanner helfen Ihnen bei der Überprüfung Ihrer Sicherheit mobiler Anwendungen damit Sie alle Ergebnisse korrigieren können. Wenn Sie ein Sicherheitsexperte sind, könnten Sie daran interessiert sein Lernen Mobile Penetrationstests. Hier sind 8 Tipps für bessere mobile Sicherheit.