如何自動化分析Android App 的安全性問題? QARK
這篇文章主要說明開發中的 Android App 如何在上架前進行初步的安全分析,
有沒有什麼自動化工具可以利用,針對設定與代碼作自動的掃描?
這個工具 QARK (Quick AndroidReview Kit)讓我們可以很方便的在 Linux or Mac 機器上
針對Android App的安全相關問題作自動反組譯與分析。
QARK 可以分析什麼?
- 有問題的 AndroidManifest設定
- 潛在風險的程式碼
QARK (Quick Android Review Kit)安裝
下載: https://github.com/linkedin/qark
下載整個 ZIP後解壓縮即可。
基本環境為: Linux or Mac
- python 2.7.6
- JRE 1.6+ (preferably 1.7+)
- OSX or Ubuntu Linux (Others may work, but not fully tested)
全自動執行
| python qark.py –source 1 –pathtoapk Sample.apk -e 1 -i 1 |
互動模式下執行
|
執行後,QARK 一開始會針對AndroidManifest.xml相關的權限與安全作掃描與建議。
接著會將 android APK整個檔案進行反組譯的動作並且進行安全代碼的掃描與分析。
最後會產生一個 report.html整體的安全分析報告。
DroidAnalyst
另外介紹一個雲端免費全自動分析個服務 droidanalyst
免費註冊帳號,將APK上傳後將自動作靜態與動態分析
DroidAnalyst分析報告範例
Android 分析基本原理
