16 أداه لتأمين تطبيقاتك أندرويد
يعد الأمن أحد أكثر الجوانب التي يتم الاستغناء عنها لتطوير Android. ننفق الكثير من الوقت في تصميم وتطوير تطبيقاتنا ، ولكن بالكاد في أي وقت نعتني بالأمان.
تخزن العديد من تطبيقات Android بيانات المستخدم الحساسة ولكنها تفتقر حتى إلى مستوى أساسي من الأمان. من المعروف أن الكثير من التطبيقات المشهورة للغاية في Play Store بها ثغرات ومواطن ضعف خطيرة يمكن لأي من الممكن ان يستغلوها بسهولة في أي وقت من الأوقات تقريبًا.
لهذا السبب قمت بتجميع هذه القائمة من الأدوات المفيدة التي يمكنها تحليل تطبيقات Android وجعلها اكثر أمانا.
إذا كنت باحثًا عن الأمان يحب اللعب مع تطبيقات مختلفة والعثور على نقاط ضعفها ، فقد تكون هذه المعلومات مفيدة لك أيضًا. استخدم هذه الأدوات لتحليل أي تطبيق Android للبحث عن الثغرات الأمنية ونقاط الضعف التي يمكن أن تضر مستخدمي التطبيق.
Androguard
Androguard هي أداة هندسية عكسية قوية وصيانتها جيدًا لنظام Android تم كتابتها في Python. يمكن أن يمنحك الكثير من التحكم لمعالجة ملفات DEX الخاصة بالتطبيق. يمكن أن يساعدك أيضًا في إجراء تحليل للكود الثابت وتشخيص تطبيقك لوجود برامج ضارة.
يأتي مزودًا بميزات مفيدة أخرى مثل التحقق من " diff " ملفي Android Package Kit (APK) ، وقياس كفاءة مختلف أدوات obfuscators (مثل ProGuard و DexGuard) ، والتحقق مما إذا كان التطبيق قيد الاختبار قد تم تعديله أو العبث به بطريقة غير قانونية مع العبث بها.
ApkTool
هذا هو أداة الهندسة العكسية بشعبية كبيرة وتحديثها بانتظام الاندرويد . صدر في البداية في عام 2010 ، لقد تغير كثيرا مع مرور الوقت.
يمكنك استخدام هذه الأداة للقضاء على أي تطبيق Android مغلق تابع لجهة خارجية وتحويله إلى نموذج شبه أصلي وتحليله وإعادة بنائه باستخدام تعديلات مخصصة. إنها تجعل الهندسة العكسية سهلة للغاية بفضل هيكلها المألوف الذي يشبه المشروع. يعمل أيضًا على تبسيط وإزالة الإجراءات المكررة التي تشارك في عملية الهندسة العكسية.
Appknox
يعد Appknox أحد أكثر أدوات اختبار الأمان. إنه يحلل بشكل ثابت code binaries لمعرفة الثغرات الأمنية ونقاط الضعف المحتملة في أي ركن من أركان تطبيقك.
يمكن أن يساعد الاختبار الآلي فقط إلى حد ما ، لذلك يأخذ Appknox اللعبة إلى المستوى التالي. يستخدم المتسللين الأخلاقيين المشهورين لاختبار التطبيق الخاص بك يدويًا للعثور على ثغرات أمنية عميقة ، وتسريبات بيانات حساسة ، ونقاط ضعف محتملة أخرى يمكن اختراقها.
CharlesProxy
يمكن أن تساعدك هذه الأداة القوية والمفيدة في تصحيح جميع أنواع الأشياء المتعلقة بـ HTTP في تطبيقك. أنها ليست خاصة بنظام أندرويد ؛ يمكن استخدامه مع iOS ، أيضًا.
يقع CharlesProxy بشكل أساسي بين تطبيقك والإنترنت. يمكن أن يساعد في فحص وتغيير الطريقة التي يتحدث بها تطبيقك إلى الشبكة.
يمكنك استخدام أي تطبيق ، وبدء الاعتراض ، ومشاهدة طلبات الشبكة فور حدوثها. هذا يمكن أن يجعل اختبار وتشخيص العيوب الأمنية سهلة ومريحة. ليس ذلك فحسب ، بل يمكنك أيضًا تعديل الطلبات التي يقدمها تطبيقك
ClassyShark
هو أداة تفتيش ثنائية بسيطة وسهلة الاستخدام لنظام Android. يمكنك تصفح جميع the classes, members, and dependencies والتحقق من method count لأى تطبيق بسهولة. لقد وجدت ClassySharkمناسبه للعمل بشكل مثالي مع أي تطبيق
كما أن لديها بنية ملفات مريحة تشبه package لسهولة التصفح. تعد علامة التبويب " Methods Count " منقذاً حقيقيًا للحياة لانها تخبرك بعدد methods لكل package في تطبيقك.
DeGuard
هذه أداة قوية عبر الإنترنت تستخدم التعلم الآلي لعكس آثار أدوات تشفير الكود. يعمل DeGuard على تعزيز قوة الذكاء الاصطناعي لتوفير هندسة عكسية.
لقد نجحت بشكل جيد في كل مرة جربتها. وأفضل ما في الأمر هو أنه كلما زاد استخدامه ، أصبح الذكاء الاصطناعي أفضل.
DevKnox
هذه الأداة يمكن أن تساعد باستمرار المطور في تحسين أمن الكود. يقوم بالتصحيح التلقائي للعديد من مشكلات الأمان المعروفة مباشرةً في IDE أثناء تطوير التطبيق.
يعمل DevKnox بشكل جيد في Android Studio ويفهم سياق الكود الذي تكتبه. يمنحك اقتراحات الأمان في الوقت الحقيقي وإصلاحات بنقرة واحدة لتحسين الإنتاجية بشكل كبير.
Dex2Jar
Dex2Jar هي أداة شعبية وصيانتها جيده. إنها تحتوي على الكثير من الميزات المفيدة لتطبيقات Android للهندسية العكسية. على سبيل المثال ، يمكنك استخدامه لقراءة ملفات DEX وكتابتها بسهولة ، وترجمتها أو تعديلها أيضًا.
يمكنك تحويل جميع ملفات DEX إلى class files وتحميلها جميعها بتنسيق ملف Java Archive (JAR). يمكنك أيضًا تفكيك ملفات DEX إلى ملفات smali وتجميعها مرة أخرى من smali إلى DEX مرة أخرى.
DexGuard
يكاد يكون من الضروري تمرير تطبيق Android الخاص بك من خلال بعض أدوات obfuscator قبل إطلاقه. ربما تستخدم ProGuard كأداة obfuscator الافتراضية الخاصة بك ، وهذا يعمل بشكل جيد.
يشتمل DexGuard على ميزات متقدمة مثل class encryption, string encryption وإخفاء المكالمات مع الانعكاس والتعتيم على الشفرة الأصلية. هذه يمكن أن تجعل من الصعب على شخص ما عكس هندسة تطبيقك. توفر الأداة أيضًا العديد من الأدوات المساعدة الرائعة للكشف عن ملفات APK التي تم العبث بها ، Xposed Framework ، والأجهزة التي تم إجراؤها ، والمزيد.
Drozer
Drozer هو إطار تدقيق أمان قوي وشامل. يمكن أن تمنحك مراجعة تطبيقاتك وأجهزتك باستخدام Drozer الثقة بأنها لا تشكل أي ثغرة أمنية أو مخاطر غير مقبولة.
يمكن للأداة أيضًا أن تجعل تقييم أمان Android سريعًا وسلسًا من خلال أتمتة العديد من المهام الشاقة والمستهلكة للوقت مثل:
اكتشاف والتفاعل مع سطح الهجوم الذي تتعرض له تطبيقات أندرويد
تنفيذ كود Java الديناميكي على جهاز ، وتجنب الحاجة إلى تجميع وتثبيت نصوص اختبار صغيرة
تشغيل regression tests لمشكلات الأمان
Inspeckage
هو أداة اختبار أمان رهيبة تأتي مزوده بميزات تتيح لك إجراء تحليل ديناميكي (تحليل البرامج الضارة أو اختبارات الاختراق) لتطبيقات Android عن طريق السماح لك بربط وظائف APIs المختلفة قيد الاختبار.
كما أنه يأتي مع تطبيق ويب مدمج يتيح لك تنفيذ جميع الإجراءات في واجهة المستخدم الرسومية بسيطة وبديهية. مزيج من القوة والبساطة في هذه الأداة يجعل من الضروري.
Intent Sniffer
يتيح لك Intent Sniffer
مراقبة أو تجسس على intent (مثل بدء activities or services) في أي تطبيق Android. كما يتيح لك تحديث إجراءات intent وفئاتها ديناميكيًا في وقت التشغيل.
مراقبة أو تجسس على intent (مثل بدء activities or services) في أي تطبيق Android. كما يتيح لك تحديث إجراءات intent وفئاتها ديناميكيًا في وقت التشغيل.
يمكن أن يكون هذا مفيدًا لاختبار البيانات المختلفة التي تريد إرسالها من نشاط إلى آخر ، أو إلى الخدمات ، لاكتشاف نقاط الضعف المحتملة في التطبيق.
QARK
إن أداة QRK ، التي تعني Quick Android Review Kit ، هي أداة أمان مفيدة ، تم تطويرها بواسطة LinkedIn. يساعد في العثور على ثغرات أمنية شائعة ليس فقط في السورس كود ولكن أيضًا في APK من تطبيق Android.
إنه سهل الاستخدام أيضًا ، مما يوفر لك الكثير من التوضيحات لنقاط الضعف. تعتبر نتائج إزالة ترجمات QRK أعلى بكثير من نتائج العديد من أدوات فك التشفير الأخرى ، حيث إنها تستخدم العديد من أدوات إلغاء ترجمتها وتجمع ناتجها للحصول على نتائج أفضل.
Tracedroid
Tracedroid هي أداة تحليل ديناميكية تلقائية لتطبيقات Android. يتيح لك تحليل العديد من جوانب التطبيق قيد الاختبار ، مثل اتصاله بالشبكة وتفاعل واجهة المستخدم ووظائف الكود الداخلي وغيرها.
لبدء التحليل الآلي ، كل ما عليك فعله هو تحميل ملف APK قيد الاختبار
VirtualAPK
يعد هذا إطارًا قويًا للمكونات الإضافية لنظام Android يتيح لك تحميل وتشغيل أي ملف APK بسلاسة - كما لو كان تطبيقًا مثبتًا على جهازك مباشرة. يمكن أن يجعل هذا التحليل أسهل كثيرًا من خلال السماح لك بالوصول إلى أي activity, service, receiver, provider, or class كمكون إضافي.
يمكن لـ VirtualAPK اختبار ترسانة ضخمة من ميزات Android الأصلية في مجموعة كبيرة من إصدارات Android (من API 15+) والأجهزة.
Xposed Framework
يجعل Xposed Framework من السهل إجراء تحليل ديناميكي لتطبيقك.
يمنحك القدرة على تغيير وظائف نظام التشغيل أو أي تطبيق بالطريقة التي تريدها. كما يتيح لك إنشاء وظائف إضافية (modules) يمكنها ربط أي طريقة وتغيير وظائفها ، مما يتيح لك تحليل واختبار أي تطبيق في وقت التشغيل.
بناء تطبيقات آمنه من البداية
آمل أن تجد بعض هذه الأدوات مفيدة لاكتشاف الثغرات الأمنية وتشديد أمان تطبيقات Android. يستغرق بعض الوقت لاستكشاف هذه الأدوات وتعلمها ويمكنك إنشاء تطبيقات آمنة من البداية.
لا تنس مشاركة هذه المشاركة على Twitter Facebook و Whatsapp وLinkedIn.
ليست هناك تعليقات:
إرسال تعليق