• ¡Obtenga la seguridad de la aplicación de la manera correcta! Detectar, proteger, monitorear, acelerar y más ...
  • Pruebe si su aplicación móvil tiene alguna fallas de seguridad y lo corrige antes de que dañe la reputación de su empresa.

    El uso de dispositivos móviles está creciendo, así que las aplicaciones móviles. Hay alrededor de 2 millones de aplicaciones en Apple App Store y 2.5 en Google Play. Lo último investigaciones muestra que el 38% de las aplicaciones de iOS y el 43% de las de Android tenían vulnerabilidades de alto riesgo.

    Hay varios tipos de vulnerabilidades y algunas de las peligros son:

    • Fugas de datos confidenciales del usuario personal (correo electrónico, credenciales, IMEI, GPS, dirección MAC) a través de la red
    • Comunicación a través de la red con poco o ningún cifrado
    • Tener un archivo de lectura / escritura en todo el mundo
    • Ejecución de código arbitrario
    • el malware

    Si usted es el propietario, el desarrollador, debe hacer todo lo posible para proteger su aplicación móvil.

    Hay un montón de escáner de vulnerabilidades de seguridad para el sitio web, y lo siguiente debería ayudarlo a encontrar las fallas de seguridad en las aplicaciones móviles.

    Algunas de las abreviaturas utilizadas en esta publicación.

    • APK - Kit de paquete de Android
    • IPA - archivo de aplicaciones de iPhone
    • IMEI: identidad internacional de equipos móviles
    • GPS - Sistema de posicionamiento global
    • MAC: control de acceso a los medios
    • API - Interfaz de programación de aplicaciones
    • OWASP - Proyecto de seguridad de aplicaciones web abiertas

    App-Ray

    Mantenga a raya las vulnerabilidades utilizando el escáner de seguridad App-Ray. Puede verificar sus aplicaciones móviles de fuentes desconocidas y proporciona una reputación mediante la integración con EMM-MDM / MAM. El escáner puede detectar amenazas antes de que dañen sus datos y le impide instalar aplicaciones maliciosas.

    Integre sus aplicaciones con análisis de vulnerabilidad mientras las crea. Su API REST le permite realizar análisis de forma automática y elegante. También puedes activar acciones en caso de que detectes algún problema para prevenir posibles riesgos.

    Aprovecha las tecnologías avanzadas y de grado militar para mapear datos y analizar el tráfico de red que también incluye comunicaciones encriptadas.

    App-Ray emplea múltiples técnicas de análisis, tanto estático como dinámico y basado en el comportamiento. El análisis de código estático se emplea para problemas de codificación, problemas relacionados con el cifrado, fugas de datos y técnicas anti-depuración.

    Del mismo modo, el análisis dinámico y basado en el comportamiento se realiza para pruebas instrumentales y no modificadas, acceso a archivos de comunicación, etc.

    App-Ray es compatible con las plataformas iOS y Android. Una vez que se realiza el escaneo, puede ver todos los detalles técnicos y permitirle descargar los archivos necesarios, incluido el archivo PCAP.

    Seguridad codificada

    Detecte y solucione rápidamente problemas de seguridad utilizando Codificado. Simplemente cargue el código de su aplicación y use el escáner para probarlo. Ofrece un informe detallado que destaca los riesgos de seguridad.

    Codified es un escáner de seguridad de autoservicio. Significa que debe cargar los archivos de su aplicación en su plataforma. Es capaz de integrarse sin problemas con los ciclos de entrega. Puede crear sus reglas para motores de análisis estáticos y también establecer niveles de cumplimiento.

    Sus informes de seguridad son profesionales y destacan detalles claros sobre todos los riesgos asociados con sus aplicaciones móviles. También muestra una lista de acciones aplicables que puede ejecutar para prevenir violaciones de seguridad.

    Codified admite cargas de IPA y APK. Facilita las pruebas de bibliotecas estáticas, dinámicas y de terceros.

    Además, Codified se integra con la aplicación Phonegap, Xamarin y Hockey y también es compatible con las aplicaciones Java, Swift y Objective-C.

    Marco de seguridad móvil

    La aplicación móvil automatizada y todo en uno: marco de seguridad móvil (MobSF) se puede utilizar en dispositivos Windows, iOS y Android.

    Puede utilizar la aplicación para análisis de malware, pruebas de penetración, evaluación de seguridad, etc. Puede realizar ambos tipos de análisis: estático y dinámico.

    MobSF proporciona API REST para que pueda integrar su canalización DevSecOps o CI / CD sin problemas. Admite binarios de aplicaciones móviles como IPA, APK y APPX, además de códigos fuente comprimidos. Con su analizador dinámico, puede ejecutar evaluaciones de seguridad en tiempo de ejecución, así como pruebas instrumentadas.

    Dexcalibur

    Dexcalibur es un escáner de Android de ingeniería inversa que se centra en la automatización de la instrumentación.

    El objetivo de Dexcalibur es automatizar todas esas aburridas tareas asociadas con la instrumentación dinámica, que incluyen:

    • Buscando algunas cosas interesantes o patrones para enganchar
    • Procese los datos que recopila un gancho, como un archivo dex, un cargador de clases, un método invocado, etc.
    • Descompilar códigos de bytes interceptados
    • Escribir códigos de gancho
    • Administrar mensajes de gancho

    El motor de análisis estático de Dexcalibur también es capaz de ejecutar piezas pequeñas parciales. Su propósito es renderizar la función ejecutada. También puede representar qué función se puede ejecutar según la profundidad de la pila de llamadas o el valor de configuración. Le ayuda a leer versiones de código de bytes más limpias al eliminar los predicados opacos y goto que son inútiles.

    StaCoAn

    StaCoAn es una gran herramienta que ayuda a desarrolladores, piratas informáticos éticos y recompensa de errores cazadores para realizar análisis de código estático para aplicaciones móviles. Esta herramienta multiplataforma analiza las líneas escritas en un código que contiene claves de API, URL de API, credenciales codificadas, claves de descifrado, errores de codificación, etc.

    El objetivo detrás de la creación de esta herramienta fue proporcionar una mejor guía gráfica y facilidad de uso en la interfaz de usuario. En la actualidad, StaCoAn solo admite archivos APK y los archivos IPA estarán disponibles pronto.

    Como puede adivinar, es de código abierto.

    StaCoAn incluye una función de arrastrar y soltar para el archivo de su aplicación móvil para que pueda generar un informe portátil y visual. Incluso puede personalizar listas de palabras y configuraciones para una mejor experiencia. Estos informes son fáciles de navegar a través de una aplicación descompilada.

    Con la "función de botín", puede marcar hallazgos valiosos. También puede ver todos sus hallazgos en la página de botín provista.

    StaCoAn admite diferentes tipos de archivos, como archivos Java, js, XML y HTML. Su base de datos viene con un visor de tablas donde puede buscar palabras clave en los archivos de la base de datos.

    Seguridad móvil en tiempo de ejecución

    La potente interfaz de Runtime Mobile Security (RMS) le ayuda a manipular aplicaciones iOS y Android en tiempo de ejecución. Aquí, puede conectar todo en poco tiempo, volcar clases cargadas, rastrear argumentos de métodos y devolver un valor, incluir scripts personalizados, etc.

    Por el momento, RMS lo ha probado en macOS y es compatible con dispositivos que incluyen iPhone 7, interfaz web Chrome, Amazon Fire Stick 4K y emulador AVD. Es posible que sea compatible con Linux y Windows con pequeños ajustes.

    Con su monitor de API, puede supervisar varias API de Android que se clasifican en 20 tipos. Puede ampliar el soporte agregando métodos o clases adicionales al archivo JSON e incluso verificar funciones nativas como abrir, cerrar, escribir, leer, eliminar, desvincular, etc.

    Se incluye un administrador de archivos para que pueda explorar los archivos privados de la aplicación y, si es necesario, puede descargarlos.

    Ostorlab

    Ostorlab le permite escanear su aplicación Android o iOS y brindarle información detallada sobre el hallazgo.

    Puede cargar el archivo de aplicación APK o IPA y, en unos minutos, tendrá el informe del análisis de seguridad.

     

    Quixxi

    Quixxi se centra en proporcionar analítica móvil, protección de aplicaciones móviles y pérdida de ingresos por recuperación. Si solo está buscando hacer un prueba de vulnerabilidad, entonces puedes subir tu Archivo de aplicación de Android o iOS aquí.

    El análisis puede tardar unos minutos y, una vez hecho, obtendrá una descripción general del informe de vulnerabilidad.

    Sin embargo, si está buscando un reporte comprensivo, luego debes registrarte GRATIS en su sitio web.

    SandDroid

    SandDroid realiza análisis estáticos y dinámicos y le brinda un informe completo. Puede cargar archivos APK o zip con un máximo de 50 MB.

    SandDroid es desarrollado por el equipo de investigación de Botnet y la Universidad Xi'an Jiaotong. Actualmente realiza comprobaciones sobre lo siguiente.

    • Tamaño de archivo / hash, versión SDK
    • Datos de red, componente, función de código, API sensible, análisis de distribución de IP
    • Fugas de datos, SMS, monitor de llamadas telefónicas
    • Comportamiento de riesgo y puntuación

    Qark

    Qark (Quick Android Review Kit) de LinkedIn le ayuda a encontrar varias vulnerabilidades de Android en el código fuente y los archivos empaquetados.

    QARK es de uso gratuito y su instalación requiere Python 2.7+, JRE 1.6 / 1.7 + y probado en OSX / RHEL 6.6

    Algunas de las siguientes vulnerabilidades son detectables por QARK.

    • Tapjacking
    • Validación incorrecta del certificado x.509
    • Espionaje
    • La clave privada en el código fuente
    • Configuraciones explotables de WebView
    • Versiones de API obsoletas
    • Posible fuga de datos
    • y mucho más ...

    ImmuniWeb

    Un escáner de aplicaciones en línea para Android e iOS de ImmuniWeb probar la aplicación contra las 10 principales vulnerabilidades de OWASP móvil.

    Realiza pruebas de seguridad estáticas y dinámicas y proporciona un informe procesable.

    Puede descargar el informe en formato PDF, que contiene los resultados detallados del análisis.

    Conclusión

    Espero que los escáneres de vulnerabilidades anteriores le ayuden a comprobar su seguridad de aplicaciones móviles para que pueda solucionar cualquier hallazgo. Si eres un profesional de la seguridad, te puede interesar aprender pruebas de penetración móvil.