Ich arbeite an einem Projekt, wo ich aufgefordert werden, Sicherheitsanalyse auf Android-App-APKs manuell durchzuführen, wie Missbrauch von Telefon-IDs, Exposition des physischen Standortes ... ect. Die Last liegt in der Tatsache, dass ich nicht weiß, wie ich das anstellen soll. Ich weiß, wie man die APK in Java-Klassen dekompiliert, aber was danach?Sicherheitsanalyse für Android App APK
Meine Frage: Gibt es Best Practices, Tools, universelle Anleitung, um solche Analysen durchzuführen?
Vielen Dank für Ihre Antwort @Quinn. Ich bin mir bewusst, dass meine Frage vielleicht allgemein gehalten wird, aber als Student und Anfänger im Sicherheitsbereich habe ich wenig Verständnis und Erfahrung in der Durchführung solcher Analysen. Daher frage ich mich, wie man die manuelle Analyse durchführt, ob es eine universelle Methode dafür gibt, oder ob man nur nach möglichen Volunerbalitäten sucht und diese meldet! – EnTaim
Jeder Sicherheitsforscher hat seinen eigenen Ansatz, um Schwachstellen zu finden. Der "beste Ansatz" zum Auffinden von Sicherheitslücken hängt vom Softwaretyp und den Aktivitäten ab, die er ausführt. Sie haben einige der Aktivitäten zum Ausdruck gebracht, die Sie angehen sollten, und die oben genannten Ansätze sind ein guter Anfang. –
Hallo @Quinn können Sie mich in anderen anfälligen Anwendungen beraten, weil ich so viele Male versucht habe, die "HighThere" APK zu dekodieren, aber ich bekomme immer den Fehler "Konnte die Arcs Datei nicht decodiert" Fehler, wenn ich das APKtool benutze manuelle entschlüsselungsschritte mit dex2jar und JD-GUI Ich habe die .java-dateien aber nicht das manifest. – EnTaim