Testen Sie, ob Ihre Mobile App welche hat Sicherheitslücken und behebt sie, bevor sie Ihrem Ruf als Unternehmen schaden.

Die Nutzung mobiler Geräte nimmt zu, und damit auch mobile Apps. Es gibt rund 2 Millionen Apps im Apple App Store und 2.5 bei Google Play. Das Neueste Forschungsprojekte zeigt, dass 38 % der iOS- und 43 % der Android-Apps hochriskante Schwachstellen aufwiesen.

Es gibt mehrere Arten von Sicherheitslücken und einige davon Gefahren sind:

  • Weitergabe persönlicher sensibler Benutzerdaten (E-Mail, Anmeldedaten, IMEI, GPS, MAC-Adresse) über das Netzwerk
  • Kommunikation über das Netzwerk mit wenig oder keiner Verschlüsselung
  • Eine weltweit lesbare / beschreibbare Datei haben
  • Beliebige Codeausführung
  • Malware

Wenn Sie der Eigentümer oder Entwickler sind, sollten Sie alles tun, um Ihre mobile App zu sichern.

Es gibt viele Sicherheitslücken-Scanner für die Websiteund das Folgende soll Ihnen helfen, die Sicherheitslücken in mobilen Apps zu finden.

Einige der in diesem Beitrag verwendeten Abkürzungen.

  • APK - Android-Paket-Kit
  • IPA - iPhone-Anwendungsarchiv
  • IMEI - Internationale Identität mobiler Geräte
  • GPS - Globales Positionierungssystem
  • MAC - Medienzugriffskontrolle
  • API - Anwendungsprogrammierschnittstelle
  • OWASP - Öffnen Sie das Sicherheitsprojekt für Webanwendungen

App-Ray

Halten Sie Schwachstellen mit dem Sicherheitsscanner von in Schach App Ray. Es kann Ihre mobilen Anwendungen aus unbekannten Quellen überprüfen und bietet durch die Integration in EMM-MDM / MAM einen guten Ruf. Der Scanner kann Bedrohungen erkennen, bevor sie Ihre Daten beschädigen, und verhindert, dass Sie schädliche Apps installieren.

Integrieren Sie Ihre Anwendungen in die Schwachstellenanalyse, während Sie sie erstellen. Mit der REST-API können Sie Analysen automatisch und elegant durchführen. Sie können auch Aktionen auslösen, falls Sie ein Problem erkennen, um mögliche Risiken zu vermeiden.

abschätzen

Es nutzt fortschrittliche und militärtaugliche Technologien, um Daten abzubilden und den Netzwerkverkehr zu analysieren, was auch verschlüsselte Kommunikation umfasst.

App-Ray verwendet mehrere Analysetechniken - statische sowie dynamische und verhaltensbasierte Analyse. Die statische Codeanalyse wird für Codierungsprobleme, Verschlüsselungsprobleme, Datenlecks und Anti-Debugging-Techniken verwendet.

In ähnlicher Weise wird eine dynamische und verhaltensbasierte Analyse für instrumentelle und unveränderte Tests, den Zugriff auf Kommunikationsdateien usw. durchgeführt.

App-Ray unterstützt iOS- und Android-Plattformen. Sobald der Scan abgeschlossen ist, können Sie alle technischen Details anzeigen und die erforderlichen Dateien, einschließlich der PCAP-Datei, herunterladen.

Astra Pentest

Scannen und beheben Sie Sicherheitslücken in Ihren Android- und iOS-Anwendungen mit Astra-Pentest und schützen Sie sie vor jeder Art von Schwachstellen-Exploit-Hacking-Versuchen oder Datenschutzverletzungen.

Der umfassende Schwachstellen-Scanner und die automatisierte und manuelle Pentest-Lösung von Astra berücksichtigen bei der Durchführung von Tests jeden Aspekt der Parameter mobiler Anwendungen, einschließlich: 

  • Architektur und Design
  • Netzwerkkommunikation und Datenverarbeitung
  • Datenspeicherung und Datenschutz
  • Authentifizierung und Sitzungsverwaltung
  • Fehlkonfigurationsfehler in Code- oder Build-Einstellungen
astra-mobile-test

Hauptmerkmale von Astra Pentest:

  • Über 3000+ Sicherheitstests zum Scannen und Pentesten einer mobilen App
  • Automatisierte und manuelle Penetrationstests mit mehreren Tools und Techniken
  • Automatisierte Schwachstellensuche mit dem Login Recorder von Astra.
  • OWASP Top 10 und SANS25-Standardtests
  • Schwachstellen-Management-Dashboard, um zusammenzuarbeiten und Schwachstellen rechtzeitig zu beheben
  • Integration mit CI/CD und anderen Apps
  • CXO und entwicklerfreundliches Dashboard
  • Pentest-Testfälle für DSGVO-, HIPAA-, PCI-DSS-, ISO- und SOC2-Konformität
  • Öffentlich überprüfbare Penetrationstest-Zertifizierung

Astra Pentest ist eine Komplettlösung zum Schutz von Android- und iOS-Anwendungen vor Cyberangriffen, Verletzungen sensibler Daten und anderen Hacking-Versuchen.

Codified Security

Erkennen und beheben Sie Sicherheitsprobleme schnell mit Kodifiziert. Laden Sie einfach Ihren App-Code hoch und testen Sie ihn mit dem Scanner. Es enthält einen detaillierten Bericht über Sicherheitsrisiken.

Codified ist ein Selbstbedienungs-Sicherheitsscanner. Dies bedeutet, dass Sie Ihre App-Dateien auf die Plattform hochladen müssen. Es kann nahtlos in Lieferzyklen integriert werden. Sie können Ihre Regeln für statische Analyse-Engines erstellen und auch Konformitätsstufen festlegen.

kodifiziert

Ihre Sicherheitsberichte sind professionell und enthalten klare Details zu allen mit Ihren mobilen Apps verbundenen Risiken. Außerdem wird eine Liste der anwendbaren Aktionen angezeigt, die Sie ausführen können, um Sicherheitsverletzungen zu verhindern.

Codified unterstützt IPA- und APK-Uploads. Es erleichtert statische, dynamische und Bibliothekstests von Drittanbietern.

Darüber hinaus lässt sich Codified in die Phonegap-, Xamarin- und Hockey-App integrieren und unterstützt auch Java-, Swift- und Objective-C-Anwendungen.

Mobile Security Framework

Die automatisierte und umfassende mobile App – Mobile Security Framework (MobSF) kann auf Windows-, iOS- und Android-Geräten verwendet werden.

mobsf

Sie können die App für Malware-Analysen, Penetrationstests, Sicherheitsbewertungen usw. verwenden. Sie kann beide Arten von Analysen durchführen – statisch und dynamisch.

MobSF bietet REST-APIs, mit denen Sie Ihre DevSecOps-Pipeline oder CI / CD nahtlos integrieren können. Es unterstützt Binärdateien für mobile Anwendungen wie IPA, APK und APPX sowie komprimierte Quellcodes. Mit dem dynamischen Analysator können Sie Bewertungen zur Laufzeitsicherheit sowie instrumentierte Tests durchführen.

Dexcalibur

Dexkalibur ist ein Reverse Engineering-Android-Scanner, der sich auf die Automatisierung von Instrumenten konzentriert.

dexcalibur

Das Ziel von Dexcalibur ist es, all die langweiligen Aufgaben zu automatisieren, die mit der dynamischen Instrumentierung verbunden sind, einschließlich:

  • Suchen Sie nach interessanten Dingen oder Mustern, die Sie einhaken können
  • Verarbeiten Sie die Daten, die ein Hook sammelt, z. B. eine Dex-Datei, einen Klassenlader, eine aufgerufene Methode usw.
  • Abgefangene Bytecodes dekompilieren
  • Schreiben Sie Hook-Codes
  • Hook-Nachrichten verwalten

Die statische Analyse-Engine von Dexcalibur ist in der Lage, auch partielle kleine Teile auszuführen. Sein Zweck ist es, die ausgeführte Funktion wiederzugeben. Es kann auch darstellen, welche Funktion basierend auf der Call-Stack-Tiefe oder dem Konfigurationswert ausgeführt werden kann. Es hilft Ihnen, sauberere Bytecode-Versionen zu lesen, indem undurchsichtige und nutzlose Prädikate entfernt werden.

StaCoAn

StaCoAn ist ein großartiges Tool, das Entwicklern, ethischen Hackern und anderen hilft Bug-Bounty Jäger, um statische Code-Analyse für mobile Anwendungen durchzuführen. Dieses plattformübergreifende Tool analysiert Zeilen, die auf einen Code geschrieben sind, der API-Schlüssel, API-URLs, fest codierte Anmeldeinformationen, Entschlüsselungsschlüssel, Codierungsfehler usw. enthält.

Das Ziel hinter der Erstellung dieses Tools war es, eine bessere grafische Führung und Benutzerfreundlichkeit in der Benutzeroberfläche bereitzustellen. Derzeit unterstützt StaCoAn nur APK-Dateien, und IPA-Dateien werden bald verfügbar sein.

staconan-e1595773919556

Wie Sie sich vorstellen können, handelt es sich um Open Source.

StaCoAn enthält eine Drag-and-Drop-Funktion für Ihre mobile App-Datei, sodass Sie einen tragbaren und visuellen Bericht erstellen können. Sie können sogar Wortlisten und Einstellungen für ein besseres Erlebnis anpassen. Diese Berichte können einfach in einer dekompilierten Anwendung durchsucht werden.

Mit der „Loot-Funktion“ können Sie wertvolle Fundstücke bookmarken. Sie können auch alle Ihre Ergebnisse auf der bereitgestellten Seite anzeigen.

StaCoAn unterstützt verschiedene Dateitypen wie Java-, JS-, XML- und HTML-Dateien. Die Datenbank verfügt über einen Tabellen-Viewer, in dem Sie die Datenbankdateien nach Schlüsselwörtern durchsuchen können.

Runtime Mobile Security

Die leistungsstarke Oberfläche von Runtime Mobile Security (RMS) hilft Ihnen bei der Manipulation von iOS- und Android-Anwendungen zur Laufzeit. Hier können Sie alles in kürzester Zeit einhängen, geladene Klassen ausgeben, Methodenargumente verfolgen und einen Wert zurückgeben, einschließlich benutzerdefinierter Skripte usw.

Im Moment haben sie es auf macOS getestet und es unterstützt Geräte wie iPhone 7, Weboberfläche Chrome, Amazon Fire Stick 4K und AVD-Emulator. Es könnte Linux und Windows mit geringfügigen Anpassungen unterstützen.

rms

Mit dem API-Monitor können Sie mehrere Android-APIs überwachen, die in 20 Typen unterteilt sind. Sie können die Unterstützung erweitern, indem Sie der JSON-Datei zusätzliche Methoden oder Klassen hinzufügen und sogar native Funktionen wie Öffnen, Schließen, Schreiben, Lesen, Entfernen, Aufheben der Verknüpfung usw. überprüfen.

Ein Dateimanager ist enthalten, mit dem Sie die privaten Dateien der Anwendung durchsuchen und bei Bedarf herunterladen können.

Ostorlab

Ostorlab Mit dieser Funktion können Sie Ihre Android- oder iOS-App scannen und detaillierte Informationen zum Ergebnis erhalten.

ostorlab

Sie können die APK- oder IPA-Anwendungsdatei hochladen und innerhalb weniger Minuten erhalten Sie den Sicherheits-Scan-Bericht.

Quixxi

Quixxi konzentriert sich auf die Bereitstellung mobiler Analysen, des Schutzes mobiler Apps und der Wiederherstellung von Umsatzverlusten. Wenn Sie nur eine machen möchten Schwachstellentest, dann können Sie Ihre hochladen Android- oder iOS-Anwendungsdatei hier.

hier

Der Scan kann einige Minuten dauern. Sobald der Scan abgeschlossen ist, erhalten Sie eine Übersicht über den Schwachstellenbericht.

Wenn Sie jedoch nach einem suchen umfassenden Bericht, dann musst du dich KOSTENLOS auf ihrer Website registrieren.

SandDroid

SandDroid führt statische und dynamische Analysen durch und gibt Ihnen einen umfassenden Bericht. Sie können APK- oder Zip-Dateien mit maximal 50 MB hochladen.

Sanddroide

SandDroid wurde vom Botnet-Forschungsteam und der Xi'an Jiaotong University entwickelt. Derzeit werden folgende Überprüfungen durchgeführt.

  • Dateigröße / Hash, SDK-Version
  • Netzwerkdaten, Komponente, Codefunktion, vertrauliche API, IP-Verteilungsanalyse
  • Datenverlust, SMS, Telefonanrufüberwachung
  • Risikoverhalten und Punktzahl

QARK

Qark (Quick Android Review Kit) von LinkedIn hilft Ihnen dabei, verschiedene Android-Schwachstellen im Quellcode und in gepackten Dateien zu finden.

QARK kann kostenlos verwendet und installiert werden. Für die Installation ist Python 2.7+, JRE 1.6 / 1.7 + erforderlich und unter OSX / RHEL 6.6 getestet

Einige der folgenden Sicherheitslücken können von QARK erkannt werden.

  • Tapjacking
  • Unsachgemäße Überprüfung des x.509-Zertifikats
  • Abhören
  • Der private Schlüssel im Quellcode
  • Ausnutzbare WebView-Konfigurationen
  • Veraltete API-Versionen
  • Möglicher Datenverlust
  • und vieles mehr ...

ImmuniWeb

Ein Online-App-Scanner für Android und iOS von ImmuniWeb Testanwendung gegen OWASP Mobile Top 10-Schwachstellen.

Es führt statische und dynamische Sicherheitstests durch und bietet einen umsetzbaren Bericht.

ht-bridge-mobile-scanner

Sie können den Bericht im PDF-Format herunterladen, das die detaillierten Analyseergebnisse enthält.

Fazit

Ich hoffe, die oben genannten Schwachstellenscanner helfen Ihnen bei der Überprüfung Ihrer Sicherheit mobiler Anwendungen damit Sie alle Ergebnisse korrigieren können. Wenn Sie ein Sicherheitsexperte sind, könnten Sie daran interessiert sein Lernen Mobile Penetrationstests. Hier sind 8 Tipps für bessere mobile Sicherheit.