Testen Sie, ob Ihre Mobile App welche hat Sicherheitslücken und behebt sie, bevor sie Ihrem Ruf als Unternehmen schaden.

Die mobile Nutzung nimmt zu, ebenso wie mobile Apps. Es gibt rund 2 Millionen Apps im Apple App Store und 2.5 bei Google Play. Das Neueste Forschung zeigt, dass 38 % der iOS- und 43 % der Android-Apps hochriskante Schwachstellen aufwiesen.

Es gibt mehrere Arten von Sicherheitslücken und einige davon Gefahren sind:

  • Weitergabe vertraulicher personenbezogener Daten (E-Mail, Anmeldeinformationen, IMEI, GPS, MAC-Adresse) über das Netzwerk
  • Kommunikation über das Netzwerk mit wenig oder keiner Verschlüsselung
  • Eine weltweit lesbare / beschreibbare Datei haben
  • Beliebige Codeausführung
  • Malware

Wenn Sie der Eigentümer oder Entwickler sind, sollten Sie alles tun, um Ihre mobile App zu sichern.

Es gibt viele Sicherheitslücken-Scanner für die Websiteund das Folgende soll Ihnen helfen, die Sicherheitslücken in mobilen Apps zu finden.

Einige der in diesem Beitrag verwendeten Abkürzungen.

  • APK - Android-Paket-Kit
  • IPA - iPhone-Anwendungsarchiv
  • IMEI - Internationale Identität mobiler Geräte
  • GPS - Globales Positionierungssystem
  • MAC - Medienzugriffskontrolle
  • API - Anwendungsprogrammierschnittstelle
  • OWASP - Öffnen Sie das Sicherheitsprojekt für Webanwendungen

App-Ray

Halten Sie Schwachstellen mit dem Sicherheitsscanner von in Schach App Ray. Es kann Ihre mobilen Anwendungen aus unbekannten Quellen überprüfen und bietet durch die Integration in EMM-MDM / MAM einen guten Ruf. Der Scanner kann Bedrohungen erkennen, bevor sie Ihre Daten beschädigen, und verhindert, dass Sie schädliche Apps installieren.

Integrieren Sie Ihre Anwendungen in die Schwachstellenanalyse, während Sie sie erstellen. Mit der REST-API können Sie Analysen automatisch und elegant durchführen. Sie können auch Aktionen auslösen, falls Sie ein Problem erkennen, um mögliche Risiken zu vermeiden.

Es nutzt fortschrittliche und militärische Technologien, um Daten abzubilden und den Netzwerkverkehr zu analysieren, der auch verschlüsselte Kommunikation umfasst.

App-Ray verwendet mehrere Analysetechniken - statische sowie dynamische und verhaltensbasierte Analyse. Die statische Codeanalyse wird für Codierungsprobleme, Verschlüsselungsprobleme, Datenlecks und Anti-Debugging-Techniken verwendet.

In ähnlicher Weise wird eine dynamische und verhaltensbasierte Analyse für instrumentelle und unveränderte Tests, den Zugriff auf Kommunikationsdateien usw. durchgeführt.

App-Ray unterstützt iOS- und Android-Plattformen. Sobald der Scan abgeschlossen ist, können Sie alle technischen Details anzeigen und die erforderlichen Dateien, einschließlich der PCAP-Datei, herunterladen.

Astra Pentest

Scannen und beheben Sie Sicherheitslücken in Ihren Android- und iOS-Anwendungen mit Astra-Pentest und schützen Sie sie vor jeder Art von Schwachstellen-Exploit, Hacking-Versuch oder Datenschutzverletzung.

Der umfassende Schwachstellen-Scanner und die automatisierte und manuelle Pentest-Lösung von Astra berücksichtigen bei der Durchführung von Tests jeden Aspekt der Parameter mobiler Anwendungen, einschließlich: 

  • Architektur und Design
  • Netzwerkkommunikation und Datenverarbeitung
  • Datenspeicherung und Datenschutz
  • Authentifizierung und Sitzungsverwaltung
  • Fehlkonfigurationsfehler in Code- oder Build-Einstellungen

Hauptmerkmale von Astra Pentest:

  • Über 3000 Sicherheitstests zum Scannen und Pentesten einer mobilen App
  • Automatisiertes und manuelles Pentesting mit mehreren Tools und Techniken
  • Automatisierte Schwachstellensuche mit dem Login Recorder von Astra.
  • OWASP Top 10 und SANS25-Standardtests
  • Schwachstellen-Management-Dashboard, um zusammenzuarbeiten und Schwachstellen rechtzeitig zu beheben
  • Integration mit CI/CD und anderen Apps
  • CXO und entwicklerfreundliches Dashboard
  • Pentest-Testfälle für DSGVO-, HIPAA-, PCI-DSS-, ISO- und SOC2-Konformität
  • Öffentlich überprüfbare Penetrationstest-Zertifizierung

Astra Pentest ist eine Komplettlösung zum Schutz von Android- und iOS-Anwendungen vor Cyberangriffen, Verletzungen sensibler Daten und anderen Hacking-Versuchen.

Codified Security

Erkennen und beheben Sie Sicherheitsprobleme schnell mit Kodifiziert. Laden Sie einfach Ihren App-Code hoch und testen Sie ihn mit dem Scanner. Es enthält einen detaillierten Bericht über Sicherheitsrisiken.

Codified ist ein Selbstbedienungs-Sicherheitsscanner. Dies bedeutet, dass Sie Ihre App-Dateien auf die Plattform hochladen müssen. Es kann nahtlos in Lieferzyklen integriert werden. Sie können Ihre Regeln für statische Analyse-Engines erstellen und auch Konformitätsstufen festlegen.

Ihre Sicherheitsberichte sind professionell und enthalten klare Details zu allen mit Ihren mobilen Apps verbundenen Risiken. Außerdem wird eine Liste der anwendbaren Aktionen angezeigt, die Sie ausführen können, um Sicherheitsverletzungen zu verhindern.

Codified unterstützt IPA- und APK-Uploads. Es erleichtert statische, dynamische und Bibliothekstests von Drittanbietern.

Darüber hinaus lässt sich Codified in die Phonegap-, Xamarin- und Hockey-App integrieren und unterstützt auch Java-, Swift- und Objective-C-Anwendungen.

Mobile Security Framework

Die automatisierte und mobile All-in-One-App - Mobile Security Framework (MobSF) kann auf Windows-, iOS- und Android-Geräten verwendet werden.

Sie können die App für Malware-Analysen, Pen-Tests, Sicherheitsbewertungen usw. verwenden. Sie kann beide Arten von Analysen durchführen - statische und dynamische.

MobSF bietet REST-APIs, mit denen Sie Ihre DevSecOps-Pipeline oder CI / CD nahtlos integrieren können. Es unterstützt Binärdateien für mobile Anwendungen wie IPA, APK und APPX sowie komprimierte Quellcodes. Mit dem dynamischen Analysator können Sie Bewertungen zur Laufzeitsicherheit sowie instrumentierte Tests durchführen.

Dexcalibur

Dexkalibur ist ein Reverse Engineering-Android-Scanner, der sich auf die Automatisierung von Instrumenten konzentriert.

Das Ziel von Dexcalibur ist es, all die langweiligen Aufgaben zu automatisieren, die mit der dynamischen Instrumentierung verbunden sind, einschließlich:

  • Suche nach interessanten Dingen oder Mustern zum Einhaken
  • Verarbeiten Sie die Daten, die ein Hook sammelt, z. B. eine Dex-Datei, einen Klassenlader, eine aufgerufene Methode usw.
  • Abgefangene Bytecodes dekompilieren
  • Schreiben Sie Hook-Codes
  • Hook-Nachrichten verwalten

Die statische Analyse-Engine von Dexcalibur kann auch teilweise kleine Teile ausführen. Ihr Zweck ist es, die ausgeführte Funktion zu rendern. Es kann auch rendern, welche Funktion basierend auf der Tiefe des Aufrufstapels oder dem Konfigurationswert ausgeführt werden kann. Es hilft Ihnen, sauberere Bytecode-Versionen zu lesen, indem Sie undurchsichtige und unbrauchbare Prädikate entfernen.

StaCoAn

StaCoAn ist ein großartiges Tool, das Entwicklern, ethischen Hackern und anderen hilft Bug-Bounty Jäger, um statische Code-Analyse für mobile Anwendungen durchzuführen. Dieses plattformübergreifende Tool analysiert Zeilen, die auf einen Code geschrieben sind, der API-Schlüssel, API-URLs, fest codierte Anmeldeinformationen, Entschlüsselungsschlüssel, Codierungsfehler usw. enthält.

Das Ziel bei der Erstellung dieses Tools war es, eine bessere grafische Anleitung und Benutzerfreundlichkeit für die Benutzeroberfläche bereitzustellen. Derzeit unterstützt StaCoAn nur APK-Dateien, und IPA-Dateien werden bald verfügbar sein.

Wie Sie sich vorstellen können, handelt es sich um Open Source.

StaCoAn enthält eine Drag & Drop-Funktion für Ihre mobile App-Datei, mit der Sie einen tragbaren und visuellen Bericht erstellen können. Sie können sogar Wortlisten und Einstellungen für eine bessere Erfahrung anpassen. Diese Berichte lassen sich leicht in einer dekompilierten Anwendung durchsuchen.

Mit der „Beutefunktion“ können Sie wertvolle Erkenntnisse mit Lesezeichen versehen. Sie können auch alle Ihre Ergebnisse auf der bereitgestellten Beuteseite anzeigen.

StaCoAn unterstützt verschiedene Dateitypen wie Java-, JS-, XML- und HTML-Dateien. Die Datenbank verfügt über einen Tabellen-Viewer, in dem Sie die Datenbankdateien nach Schlüsselwörtern durchsuchen können.

Runtime Mobile Security

Die leistungsstarke Oberfläche von Runtime Mobile Security (RMS) hilft Ihnen bei der Bearbeitung von iOS- und Android-Anwendungen zur Laufzeit. Hier können Sie alles in kürzester Zeit einbinden, geladene Klassen sichern, Methodenargumente verfolgen und einen Wert zurückgeben, benutzerdefinierte Skripte einschließen usw.

Im Moment haben sie es auf macOS getestet und es unterstützt Geräte wie iPhone 7, Weboberfläche Chrome, Amazon Fire Stick 4K und AVD-Emulator. Es könnte Linux und Windows mit geringfügigen Anpassungen unterstützen.

Mit dem API-Monitor können Sie mehrere Android-APIs überwachen, die in 20 Typen unterteilt sind. Sie können die Unterstützung erweitern, indem Sie der JSON-Datei zusätzliche Methoden oder Klassen hinzufügen und sogar native Funktionen wie Öffnen, Schließen, Schreiben, Lesen, Entfernen, Aufheben der Verknüpfung usw. überprüfen.

Ein Dateimanager ist enthalten, mit dem Sie die privaten Dateien der Anwendung durchsuchen und bei Bedarf herunterladen können.

Ostorlab

Ostorlab Mit dieser Funktion können Sie Ihre Android- oder iOS-App scannen und detaillierte Informationen zum Ergebnis erhalten.

Sie können die APK- oder IPA-Anwendungsdatei hochladen und innerhalb weniger Minuten erhalten Sie den Sicherheits-Scan-Bericht.

Quixxi

Quixxi konzentriert sich auf die Bereitstellung von mobilen Analysen, den Schutz mobiler Apps und Einnahmeverluste bei der Wiederherstellung. Wenn Sie nur auf der Suche nach einem Schwachstellentest, dann können Sie Ihre hochladen Android- oder iOS-Anwendungsdatei hier.

Der Scan kann einige Minuten dauern. Sobald der Scan abgeschlossen ist, erhalten Sie eine Übersicht über den Schwachstellenbericht.

Wenn Sie jedoch nach einem suchen umfassenden Bericht, dann musst du dich KOSTENLOS auf ihrer Website registrieren.

SandDroid

SandDroid führt statische und dynamische Analysen durch und gibt Ihnen einen umfassenden Bericht. Sie können APK- oder Zip-Dateien mit maximal 50 MB hochladen.

SandDroid wurde vom Botnet-Forschungsteam und der Xi'an Jiaotong University entwickelt. Derzeit werden folgende Überprüfungen durchgeführt.

  • Dateigröße / Hash, SDK-Version
  • Netzwerkdaten, Komponente, Codefunktion, vertrauliche API, IP-Verteilungsanalyse
  • Datenverlust, SMS, Telefonanrufüberwachung
  • Risikoverhalten und Punktzahl

QARK

Qark (Quick Android Review Kit) von LinkedIn hilft Ihnen dabei, verschiedene Android-Schwachstellen im Quellcode und in gepackten Dateien zu finden.

QARK kann kostenlos verwendet und installiert werden. Für die Installation ist Python 2.7+, JRE 1.6 / 1.7 + erforderlich und unter OSX / RHEL 6.6 getestet

Einige der folgenden Sicherheitslücken können von QARK erkannt werden.

  • Tapjacking
  • Unsachgemäße Überprüfung des x.509-Zertifikats
  • Abhören
  • Der private Schlüssel im Quellcode
  • Ausnutzbare WebView-Konfigurationen
  • Veraltete API-Versionen
  • Möglicher Datenverlust
  • und vieles mehr ...

ImmuniWeb

Ein Online-App-Scanner für Android und iOS von ImmuniWeb Testanwendung gegen OWASP Mobile Top 10-Schwachstellen.

Es führt statische und dynamische Sicherheitstests durch und bietet einen umsetzbaren Bericht.

Sie können den Bericht im PDF-Format herunterladen, das die detaillierten Analyseergebnisse enthält.

Fazit

Ich hoffe, die oben genannten Schwachstellenscanner helfen Ihnen bei der Überprüfung Ihrer Sicherheit mobiler Anwendungen So können Sie eventuelle Befunde beheben. Wenn Sie ein Sicherheitsexperte sind, könnten Sie interessiert sein Lernen Mobile Penetrationstests. Hier sind 8 Tipps für bessere mobile Sicherheit.