QARK-快速的Android漏洞的審計工具

Quick Android Review Kit -這個工具的目的是尋找一些與安全相關的Android應用程序的漏洞，無論是源代碼還是打包的APK。

使用方法

在互動模式下運行：

$ python qark.py

在headless模式下運行：

$ python qark.py --source 1 --pathtoapk /Users/foo/qark/sampleApps/goatdroid/goatdroid.apk --exploit 1 --install 1
或者
$ python qark.py --source 2 -c /Users/foo/qark/sampleApps/goatdroid/goatdroid --manifest /Users/foo/qark/sampleApps/goatdroid/goatdroid/AndroidManifest.xml --exploit 1 --install 1

sampleapps文件夾包含qark測試程序的樣本。

工具需求：

python 2.7.6

JRE 1.6+ (最好1.7以上)

OSX 或者 Ubuntu Linux

文檔

qark是一個易于使用的能夠找到在Android應用中常見的安全漏洞的工具。與商業產品不同的是，它可以100免費試用.qark自動化多個反編譯器的使用，利用他們的組合輸出，當反編譯APK，產生更好的結果。

這個工具試圖尋找以下的安全漏洞類型：

• Inadvertently exported components
• Improperly protected exported components
• Intents which are vulnerable to interception or eavesdropping
• Improper x.509 certificate validation
• Creation of world-readable or world-writeable files
• Activities which may leak data
• The use of Sticky Intents
• Insecurely created Pending Intents
• Sending of insecure Broadcast Intents
• Private keys embedded in the source
• Weak or improper cryptography use
• Potentially exploitable WebView configurations
• Exported Preference Activities
• Tapjacking
• Apps which enable backups
• Apps which are debuggable
• Apps supporting outdated API versions, with known vulnerabilities

路線圖

即將開發的功能：

重寫代碼以支持可擴展性

綁定服務漏洞探測和開發

內容提供這漏洞探測和開發

額外的WebView配置演示

靜態tapjacking緩解檢測

能夠使用根權限的文件瀏覽器

工具地址：

https://github.com/linkedin/qark

【via@ infoseclab 】