Android

Checklist APK dla Androida

Lista kontrolna APK dla Androida to praktyczny zestaw wskazówek ułatwiających sprawdzenie bezpieczeństwa aplikacji mobilnych. Obejmuje dwa uzupełniające się podejścia: analizę statyczną — skupiającą się na kodzie i konfiguracji aplikacji bez jej uruchamiania, oraz analizę dynamiczną — pozwalającą obserwować zachowanie aplikacji w trakcie działania. Dzięki tej liście łatwiej zidentyfikować potencjalne zagrożenia i słabe punkty aplikacji przed jej wdrożeniem lub podczas testów bezpieczeństwa.

Sprawdzenie technik utrudniających analizę i zabezpieczeń aplikacji:

Sprawdź, czy aplikacja stosuje obfuskację.
Sprawdź, czy wykrywa rootowanie urządzenia lub emulator.
Sprawdź, czy ma kontrolę przed modyfikacją (anti-tampering).
Uwaga: Aplikacje wrażliwe (np. bankowe) powinny wykrywać rootowane urządzenia i odpowiednio reagować.

Szukaj "ciekawych" ciągów tekstowych w APK:

Hasła, URL, klucze API, backdoory, tokeny, Bluetooth UUID itp.
Uwaga na klucze Firebase API.

Przeanalizuj plik manifestu (AndroidManifest.xml):

Czy aplikacja działa w trybie debugowania?
Czy APK pozwala na backup danych?
Czy są exportowane Activity?
Czy są otwarte Content Providers?
Czy są wystawione usługi Exposed Services?
Czy są widoczne Broadcast Receivers?
Czy definiuje własne schematy URL i czy można je nadużyć?

Sprawdź sposób przechowywania danych:

Czy aplikacja zapisuje dane w niebezpieczny sposób?
Czy są zaszyte hasła lub zapisane wprost?
Czy używa niebezpiecznych algorytmów kryptograficznych?

Czy wszystkie biblioteki są skompilowane z flagą PIE?

PIE (Position Independent Executable) — flagi zabezpieczające aplikacje przed exploitami.

Pamiętaj: Są narzędzia do analizy statycznej Androida, np. MobSF, jadx.

References

https://book.hacktricks.wiki/en/mobile-pentesting/android-checklist.html