Smart Phones Dumb Apps:用于android和iOS app的安全分析工具

By
写代码

这个是一个脚本集,可以帮助分析者分析app的安全性,用perl语言开发。由于知识一些脚本,所以用起来可能没那么只能,没有GUI界面,也不会有“优雅”的分析结果。所以基本上,就是类似“aapt加强版”的脚本。由于加入了分析android和分析iphone app的功能,所以用处的话还是有一些的。

项目地址 [GoogleCode]

主要功能

Android

解包apk;
解码manifest.xml(用axml2lxml);
获取app需要的权限;
获取app的截屏(根据 Android manifest);
反编译DEX,通过解析DEX来检查文件权限等;
查找URL,主机名以及一些网络路径。

Iphone App

解包iPhone IPA file或者破解XYZ.app/文件夹;
把.plist转成XML以供浏览;
通过查看.plist XMLs来查找app定义的一些URL;
查找URLs,主机名和一些网络路径。

相关内容

Smart Phones Dumb Apps这个脚本集的初衷在于“智能手机意外丢失,‘别有用心’的人通过你的app都能获取到什么信息”这个假设来的(想必是有类似惨痛经历),所以内容是在分析AndroidManifest.xml、res/文件夹中的其他XML文件、classes.dex 这个DEX的二进制文件,通过这些文件,都能看到什么信息,或者有什么隐含的攻击点。

在解码xml文件的时候,用到了 axml2xml,在解DEX的时候,用的是 dedexer,都是比较常用的工具。之后,通过 dex2jar 转换成可读的java代码。

通过以上几步,攻击者甚至可以看到许多程序的数据流程、调用方式、调取的第三方服务等敏感信息,通过一些分析,就能得到程序的薄弱点并加以攻击。

当然,这个只提供了前面解析的部分,攻击的事还是得交给metasploit之类的来……

Comments: 5

  1. 题目貌似起太长了……

    @venmax 2015年01月21日
  2. 研究这个是兴趣??

    2015年01月21日
  3. 适合APP制作者,俺们小白只能看一下下。 :twisted:

    2015年01月26日
  4. 越来越往工作方面去写了,呵呵 :)

    2015年01月27日

发表评论

电子邮件地址不会被公开。 必填项已用*标注

*

:razz: