Wstęp
W poprzednich artykułach, wspomniany został fakt, że w uproszczonym modelu aplikacja mobilna składa się z części frontendowej (klienckiej) i backendowej (serwera aplikacyjnego). W tym artykule przedstawiona zostanie metoda testowania statycznego części klienckiej.
Statyczna analiza bezpieczeństwa aplikacji mobilnej
Ten rodzaj analizy z założenia odbywa się pasywnie, czyli na poziomie kodu i artefaktów frontendu. Można wyobrazić to sobie w taki sposób, że atakujący pobierając daną aplikację mobilną, dekompilując ją, ma niejako możliwość czytania kodu (a co za tym idzie znajdowania również podatności) jak z otwartej księgi.
Poniższy rysunek prezentuje w jaki sposób działa statyczna analiza:
Przykładowe narzędzie do statycznej analizy kodu
Bardzo ciekawą propozycją narzędzia, które jest równocześnie opensource’owe i efektywne jest MobSF.
MobSF można pobrać z linku https://github.com/MobSF/Mobile-Security-Framework-MobSF
Instrukcja instalacji MobSF
Krok 1: Aktualizacja Systemu
sudo apt update
Krok 2: Instalacja Git
sudo apt get install git
Krok 3: Instalacja Pythona
sudo apt-get install python3
Krok 4: Instalacja Java Development Kit 8+
sudo apt-get install openjdk-8-jdk
Krok 5: Instalacja zależności (dependencies)
sudo apt install python3-venv python3-pip python3-dev build-essential libffi-dev libssl-dev libxml2-dev libxslt1-dev libjpeg8-dev zlib1g-dev wkhtmltopdf
Krok 6: Klonowanie repozytorium git
git clone https://github.com/MobSF/Mobile-Security-Framework-MobSF.git
Krok 7: Wejście do katalogu Mobile-Security-Framework-MobSF
cd Mobile-Security-Framework-MobSF
Krok 8: Instalacja ModSF
./setup.sh
Krok 9: Uruchomienie MobSF
./run.sh
Step 10: Wejście do interfejsu webowego MobSF
Efekt powinien wyglądać następująco:
Używanie narzędzia MobSF
Następnym krokiem potrzebnym do tego aby dokonać analizy statycznej kodu aplikacji mobilnej jest upload aplikacji, którą tester zamierza zbadać.
Po załadowaniu aplikacji to narzędzia, MobSF dokonuje statycznej analizy, której efekt jest dashboard pokazujący ogólny stan bezpieczeństwa frontendu.
Opcje MobSF
MobSF poza możliwością przeskanowania aplikacji mobilnej pod kątem bezpieczeństwa, posiada wiele różnego rodzaju przydatnych funkcji, takich jak m.in.:
– generowanie raportu,
– listę podatności wraz z oszacowanym poziomem ryzyka.
Ciekawą opcją jest też możliwość dokładnej lokalizacji problemu w kodzie per podatność.
W kolejnych artykułach przedstawiona zostanie analiza wyników, które MobSF pokaże na przykładowej aplikacji.
… [Trackback]
[…] Find More Info here to that Topic: wladcysieci.pl/2021/07/20/przygotowanie-srodowiska-do-testow-bezpieczenstwa-frontendu-aplikacji-mobilnej/ […]