Первым шагом в каждой оценке безопасности Android является наличие файла .APK, который является фактическим приложением. В большинстве случаев клиент несет ответственность за предоставление этого файла, особенно в ситуации, когда фактическое приложение не является общедоступным. Однако если по какой-либо причине это невозможно (т. Е. Клиент запросил оценку «черного ящика»), то этот вопрос должен получить консультант.
Существует три различных сценария получения файла APK:
Google Play магазин
Для приложений, которые доступны публично и уже включены в Google Play Store, существуют различные веб-сайты, которые могут предоставлять файлы APK, такие как
Телефон на Андроиде
Для приложений, которые уже установлены на телефоне Android, консультант может немедленно начать тестирование с помощью Burp. Однако это может охватывать только тестирование динамического анализа. Чтобы полностью выполнить оценку, файл APK необходим также для статического анализа файлов, включенных в APK, таких как файл манифеста, и для обратного инжиниринга приложения для исследования дальнейших уязвимостей.
Такие инструменты, как Drozer и adb, могут определить местоположение файла APK на телефоне.
ADB
Первый шаг - получить список приложений, которые установлены на телефоне, с помощью следующей команды:
Расположение файла .APK, хранящегося на устройстве, можно определить следующим образом:
Drozer
Drozer также можно использовать для идентификации файлов APK на телефонах. Из консоли drozer можно выполнить следующую команду для получения пути APK:
Вывод
В этой статье рассказывается о различных сценариях идентификации и получения файлов APK на телефоне или в магазине Google Play. Это важный шаг в процессе обратного инжиниринга любого мобильного приложения.
Перевод:
Существует три различных сценария получения файла APK:
- Клиент предоставляет APK-файл напрямую
- Приложение доступно в Google Play Store
- Приложение уже установлено на телефоне
Google Play магазин
Для приложений, которые доступны публично и уже включены в Google Play Store, существуют различные веб-сайты, которые могут предоставлять файлы APK, такие как
Ссылка скрыта от гостей
и
Ссылка скрыта от гостей
.
Телефон на Андроиде
Для приложений, которые уже установлены на телефоне Android, консультант может немедленно начать тестирование с помощью Burp. Однако это может охватывать только тестирование динамического анализа. Чтобы полностью выполнить оценку, файл APK необходим также для статического анализа файлов, включенных в APK, таких как файл манифеста, и для обратного инжиниринга приложения для исследования дальнейших уязвимостей.
Такие инструменты, как Drozer и adb, могут определить местоположение файла APK на телефоне.
ADB
Первый шаг - получить список приложений, которые установлены на телефоне, с помощью следующей команды:
Расположение файла .APK, хранящегося на устройстве, можно определить следующим образом:
Drozer
Drozer также можно использовать для идентификации файлов APK на телефонах. Из консоли drozer можно выполнить следующую команду для получения пути APK:
Вывод
В этой статье рассказывается о различных сценариях идентификации и получения файлов APK на телефоне или в магазине Google Play. Это важный шаг в процессе обратного инжиниринга любого мобильного приложения.
Перевод:
Ссылка скрыта от гостей