Перевод: Анна Давыдова
Источник: n0where.net
Фреймворк мобильной безопасности
Фреймворк мобильной безопасности — это интеллектуальное многофункциональное мобильное приложение с открытым исходным кодом (Android / iOS) и автоматизированным фреймворком для пентеста, которое может выполнять статический и динамический анализ. Мы полагались на огромное количество различных инструментов для проведения анализа построения программного изделия, декодирования, отладки, просмотра кода и пентестирования и весь этот процесс требует огромных усилий и множества времени. Фреймворк мобильной безопасности может использоваться для эффективного и быстрого анализа безопасности Android и iOS приложений. Он поддерживает двоичные файлы (APK & IPA) и сжатый исходный код.
Статический анализатор способен выполнять автоматический просмотр кода, обнаруживать небезопасные разрешения и конфигурации, а также находить ненадежные части кода, такие как, замена ssl, обход ssl, слабое шифрование, затемнение кода, ненадлежащие разрешения, жестко запрограммированные секреты, ненадлежащее использование опасных API, утечка конфиденциальной/PII информации и небезопасное хранение файлов. Динамический анализатор запускает приложение на виртуальной машине или на настроенном устройстве и обнаруживает проблемы во время его работы. Дальнейший анализ производится с захваченными сетевыми пакетами, расшифрованным HTTPS трафиком, дампами приложений, отчетами об ошибках или сбоях, отладочной информацией, трассами вызовов и с одним из активов приложения, таких как файлы настройки, права доступа и базы данных. Этот фреймворк легко расширяемый, так что вы без каких-либо проблем можете добавить свои пользовательские правила. Быстрый и чистый отчет может быть создан в конце проведения тестов. Ожидается, что в будущем этот фреймворк будет поддерживать другие мобильные платформы, такие как Tizen, WindowsPhone и т. д.
Требования для фреймворка мобильной безопасности
- Python 2.7 – https://www.python.org/downloads/
- Oracle JDK 1.7 или выше – http://www.oracle.com/technetwork/java/javase/downloads/
- Oracle VirtualBox – https://www.virtualbox.org/wiki/Downloads
- Для бинарного анализа iOS IPA требуется MAC OS X и вам нужно установить инструменты командной строки для MAC OS X http://osxdaily.com/2014/02/12/install-command-line-tools-mac-os-x/
- Требования к компьютеру: Min 4GB RAM и 5GB HDD.
Примечания:
- На Linux и Mac, установите Oracle Java 1.7 или выше сделайте его стандартным (по умолчанию).
Инсталляция MobSF
Проверено на Windows 7, 8, 8.1, 10, Ubuntu, OSX Mavericks
- Windows: Извлеките сжатый файл MobSF в C:\MobSF
- Mac: Извлеките сжатый файл MobSF в /Users/[username]/MobSF
- Linux: Извлеките сжатый файл MobSF в /home/[username]/MobSF
Настройка статистического анализатора
Установите MobSF Python зависимости, используя pip
Windows
C:\Python27\Scripts\pip.exe install -r requirements.txt
Примечания: Если pip.exe недоступен в директории Scripts, скачайте и переустановите последнюю версию Python2.7.
Unix
pip.exe install -r requirements.txt
Запуск MobSF
python manage.py runserver
Если вам нужно ввести конкретный номер порта, то попробуйте
python manage.py runserver PORT_NO
Если все пойдет как надо, на выходе вы получите следующее.
Настраиваем динамический анализатор
Динамический анализатор доступен только для двоичных файлов Android (APK) и работает только, если у вашего компьютера есть хотя бы 4GB RAM и полная поддержка виртуализации (Full Virtualization support).
Для настройки динамического анализатора нам понадобятся 4 вещи:
- VM UUID
- Snapshot UUID
- Host/Proxy IP
- VM/Device IP