APKHunt es una completa herramienta de análisis estático de código para aplicaciones Android basada en el marco OWASP MASVS. Aunque APKHunt está pensado principalmente para desarrolladores de aplicaciones móviles y probadores de seguridad, cualquiera puede utilizarlo para identificar y abordar posibles vulnerabilidades de seguridad en el código.
Con APKHunt, los arquitectos o desarrolladores de software móvil pueden llevar a cabo revisiones exhaustivas del código para garantizar la seguridad e integridad de sus aplicaciones móviles, mientras que los evaluadores de seguridad pueden utilizar la herramienta para confirmar la integridad y coherencia de los resultados de sus pruebas. Tanto si eres un desarrollador que quiere crear aplicaciones seguras como un evaluador de seguridad informática (pentester) encargado de garantizar su seguridad, APKHunt puede ser un recurso inestimable para tu trabajo.
Características
- Cobertura de exploración: Cubre la mayoría de los casos de prueba relacionados con SAST (Static Application Security Testing) del marco OWASP MASVS.
- Escaneo de múltiples APK: Soporta el escaneo de múltiples archivos APK en una ruta o carpeta particular.
- Escaneo optimizado: Las reglas específicas están diseñadas para comprobar los sumideros de seguridad particulares, lo que resulta en un proceso de escaneo casi preciso.
- Baja tasa de falsos positivos: Diseñado para localizar y resaltar la ubicación exacta de posibles vulnerabilidades en el código fuente.
- Formato de salida: Los resultados se proporcionan en formato de archivo TXT para facilitar su lectura a los usuarios finales.
Instalación de APKHunt
Si tienes Git instalado, entonces ejecuta:
git clone https://github.com/Cyber-Buddy/APKHunt.git
cd apkhunt
go run apkhunt.go
Requisitos: Instalar Git, Golang, JADX y Dex2jar
sudo apt-get install git
sudo apt install golang-go
sudo apt-get install jadx
sudo apt-get install dex2jar
Uso de APKHunt
_ _ __ __ _ __ _ _ _
/ _ \ | _ _ \| | / / | | | | | |
/ /_\ \| |_/ /| |/ / | |_| | _ _ _ _ | |_
| _ || __/ | \ | _ || | | |/ _ \| _|
| | | || | | |\ \ | | | || |_| || | | || |_
\_| |_/\_| \_| \_/ \_| |_/\ _ _ /|_| |_|\_ _|
------------------------------------------------
OWASP MASVS Static Analyzer
APKHunt Usage:
go run APKHunt.go [options] {.apk file}
Options:
-h For help
-p Provide the apk file-path
-m Provide the folder-path for multiple apk scanning
-l For logging (.txt file)
Examples:
APKHunt.go -p /Downloads/android_app.apk
APKHunt.go -p /Downloads/android_app.apk -l
APKHunt.go -m /Downloads/android_apps/
APKHunt.go -m /Downloads/android_apps/ -l
Cobertura de Casos de Prueba de Seguridad
El OWASP MASVS (Mobile Application Security Verification Standard) es el estándar del sector para la seguridad de las aplicaciones móviles. Pueden utilizarlo los arquitectos y desarrolladores de software móvil que deseen desarrollar aplicaciones móviles seguras, así como los evaluadores de seguridad para garantizar la integridad y coherencia de los resultados de las pruebas.
. | OWASP MASVS |
---|---|
V1 | Requisitos de arquitectura, diseño y modelado de amenazas |
V2 | Almacenamiento de datos y requisitos de privacidad |
V3 | Requisitos de criptografía |
V4 | Requisitos de autenticación y gestión de sesiones |
V5 | Requisitos de comunicación en red |
V6 | Requisitos de interacción con el entorno |
V7 | Calidad del código y requisitos de construcción |
V8 | Requisitos de resiliencia e ingeniería inversa |
Demostración
APKHunt (este enlace se abre en una nueva ventana) por Cyber-Buddy (este enlace se abre en una nueva ventana)
APKHunt is a comprehensive static code analysis tool for Android apps that is based on the OWASP MASVS framework. Although APKHunt is intended primarily for mobile app developers and security testers, it can be used by anyone to identify and address potential security vulnerabilities in their code.