LinkedIn發布旨在檢測Android應用漏洞的工具QARK
LinkedIn 最近開源了他的靜態分析工具 QARK ,該工具用于分析那些用Java語言開發的Android應用中的潛在安全缺陷。
QARK的首秀是在8月23日的 DEFCON 23 上,之后便很快在GitHub上公布了源代碼。QARK使用 PLYJ ——一個分析Java源碼的Python工具,還使用了 Beautiful Soup 來分析Android manifest(配置文件)。而且,QARK通過使用多種反編譯器(包括: Procyon , JD-Core , CFR , DEX2JAR , 和 APKTool )并合并他們的分析結果,還可以處理編譯后的二進制文件。QARK對安全缺陷的分析范圍包括:
- 不經意公開的組件
- 保護不當的公開組件
- 易被竊聽或嗅探的Intent
- 不當的x.509格式的證書校驗
- 不當地創建“全局可讀”或者“全局可寫”文件
- 可能泄露敏感數據的Activity組件
- 是否正確使用Sticky Intent
- 不安全地創建Pending Intent
- 發送未經安全保護的Broadcast Intent
- 源代碼中嵌入了私鑰
- 使用了弱或不當的加密解密算法
- 使用了有潛在安全問題的WebView配置項
- 對其他應用公開的Preference Activity
- 觸屏劫持
- 允許備份的應用
- 允許調試模式的應用
- 應用中使用的過時的API,其中包含了已知的缺陷
當QARK指出一個潛在缺陷的時候,會針對該缺陷,提供概要解釋和一條詳細解釋的鏈接。它還可以創建可測試的APK文件和若干ADB命令,這些文件和命令能讓你知道該缺陷會產生怎樣的危害。
未來,LinkedIn打算擴展QARK,使它能夠分析Bound Service和Content Provider缺陷,與Java/Android無關的缺陷,解析ODEX文件,改進自身的擴展性,動態分析等等。
當QARK可以被集成到Android工具鏈中,自動探測到問題和缺陷的時候,作者建議同時繼續對應用進行人工審查,因為還有其他類型的缺陷是靜態分析無能為力的,而且還有許多缺陷未能完全覆蓋。
查看英文原文: LinkedIn Release QARK to Discover Security Holes in Android Apps
本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!