Android安全

android-security-awesome Awesome Lint Test

android安全相关资源的集合.

Tools

Online Analyzers

  1. AndroTotal
  2. Appknox -不免费
  3. AVC UnDroid
  4. Virustotal -最大128MB
  5. Fraunhofer App-ray -不免费
  6. AppCritique -上传您的Android APK,并获得全面的免费安全评估.
  7. NowSecure Lab Automated -用于对Android和iOS移动应用程序进行安全性测试的移动应用程序的企业工具. 实验室自动功能可对云中的真实设备进行动态和静态分析,以在几分钟内返回结果. 不免费
  8. AMAaaS -免费的Android恶意软件分析服务. 裸机服务具有针对Android应用程序的静态和动态分析的功能. 的产品 MalwarePot.
  9. App Detonator -引爆APK二进制文件以提供源代码级详细信息,包括应用程序作者,签名,构建和清单信息. 3分析/天免费配额.
  10. BitBaan
  11. ~~NVISO ApkScan -2019年10月31日日落〜
  12. Mobile Malware Sandbox
  13. IBM Security AppScan Mobile Analyzer -不免费
  14. Visual Threat -不再是Android应用分析器
  15. Tracedroid
  16. habo -10 /天
  17. CopperDroid
  18. SandDroid
  19. Stowaway
  20. Anubis
  21. Mobile app insight
  22. Mobile-Sandbox
  23. Ijiami
  24. Comdroid
  25. Android Sandbox
  26. Foresafe
  27. Dexter
  28. MobiSec Eacus
  29. Fireeye-最大60MB 15 /天

Static Analysis Tools

  1. Androwarn -检测并警告用户有关Android应用程序开发的潜在恶意行为.
  2. ApkAnalyser
  3. APKInspector
  4. Droid Intent Data Flow Analysis for Information Leakage
  5. DroidLegacy
  6. Smali CFG generator
  7. FlowDroid
  8. Android Decompiler –不免费
  9. PSCout -使用静态分析从Android OS源代码中提取权限规范的工具
  10. Amandroid
  11. SmaliSCA -Smali静态代码分析
  12. CFGScanDroid -扫描并比较CFG与恶意应用程序的CFG
  13. Madrolyzer -提取可操作的数据,例如C&C,电话号码等.
  14. SPARTA -验证(证明)应用满足信息流安全政策; 建立在 Checker Framework
  15. ConDroid -对应用程序执行符号+具体执行
  16. DroidRA
  17. RiskInDroid -一种可根据其权限计算Android应用程序风险的工具,并提供在线演示.
  18. SUPER -安全,统一,功能强大且可扩展的Rust Android Analyzer
  19. ClassyShark -独立的二进制检查工具,可以浏览任何Android可执行文件并显示重要信息.
  20. StaCoAn -跨平台工具,可帮助开发人员,漏洞赏金猎人和道德黑客在移动应用程序上执行静态代码分析. 创建此工具时,重点放在用户界面中的可用性和图形指导上.
  21. JAADAS -基于Soot和Scala的过程内和过程间联合程序分析工具可查找Android应用程序中的漏洞
  22. Quark-Engine -忽略不清的Android恶意软件计分系统
  23. One Step Decompiler -懒惰的Android APK反编译
  24. Several tools from PSU

App Vulnerability Scanners

  1. QARK -LinkedIn的QARK用于应用程序开发人员扫描应用程序是否存在安全问题
  2. AndroBugs
  3. Nogotofail
  4. Oversecured -移动应用程序漏洞扫描程序,专为安全研究人员和漏洞赏金黑客使用. 它还允许将集成到企业的DevOps流程中.
  5. Devknox -IDE插件,用于构建安全的Android应用. 不再维护了

Dynamic Analysis Tools

  1. Android DBI frameowork
  2. Androl4b-用于评估Android应用程序,逆向工程和恶意软件分析的虚拟机
  3. House-房屋:带有Web GUI的运行时移动应用程序分析工具包,该工具包由Frida支持,用Python编写.
  4. Mobile-Security-Framework MobSF -移动安全框架是一种智能的,多合一的开源移动应用程序(Android / iOS)自动笔测试框架,能够执行静态,动态分析和Web API测试.
  5. AppUse –为渗透测试定制
  6. Droidbox
  7. Drozer
  8. Xposed -等效于执行基于存根的代码注入,但不对二进制文件进行任何修改
  9. Inspeckage -Android Package Inspector-具有api挂钩的动态分析,启动未导出的活动等. (放置模块)
  10. Android Hooker -动态Java代码检测(需要Substrate框架)
  11. ProbeDroid -动态Java代码检测
  12. Android Tamer -适用于Android安全专业人员的虚拟/实时平台
  13. DECAF -基于QEMU的动态可执行代码分析框架(DroidScope现在是DECAF的扩展)
  14. CuckooDroid -杜鹃沙箱的Android扩展
  15. Mem -Android的内存分析(需要root)
  16. Crowdroid –无法找到实际的工具
  17. AuditdAndroid – android port of auditd,不再处于主动开发状态
  18. Android Security Evaluation Framework -不再积极发展
  19. Aurasium –通过字节码重写和就地参考监视器为Android应用程序实施实用的安全策略.
  20. Android Linux Kernel modules
  21. Appie -Appie是已预先配置为充当Android Pentesting环境的软件包. 它是完全便携式的,可以在USB记忆棒或智能手机上携带. 这是Android应用程序安全评估中所需的所有工具的一站式答案,也是现有虚拟机的绝佳替代品.
  22. StaDynA -在存在动态代码更新功能(动态类加载和反射)的情况下支持安全应用分析的系统. 该工具结合了Android应用程序的静态和动态分析,以揭示隐藏/更新的行为并使用此信息扩展静态分析结果.
  23. DroidAnalytics -不完整
  24. Vezir Project -用于移动应用程序渗透测试和移动恶意软件分析的虚拟机
  25. MARA -移动应用反向工程与分析框架
  26. Taintdroid -需要AOSP编译
  27. ARTist -适用于Android应用程序和Android的Java中间件的灵活的开源工具和混合分析框架. 它基于Android运行时(ART)编译器,并在设备上编译期间修改代码.
  28. Android Malware Sandbox
  29. AndroPyTool -从Android APK提取静态和动态功能的工具. 它结合了各种著名的Android应用程序分析工具,例如DroidBox,FlowDroid,Strace,AndroGuard或VirusTotal分析.
  30. Runtime Mobile Security (RMS) -是功能强大的网络界面,可帮助您在运行时操作Android和iOS应用
  31. Android Malware Analysis Toolkit -(linux发行版)以前它曾经是 online analyzer
  32. Android Reverse Engineering – ARE(Android逆向工程)不再处于主动开发状态
  33. ViaLab Community Edition
  34. Mercury
  35. Cobradroid –用于恶意软件分析的自定义图像

Reverse Engineering

  1. Smali/Baksmali – APK反编译
  2. emacs syntax coloring for smali files
  3. vim syntax coloring for smali files
  4. AndBug
  5. Androguard –功能强大,可与其他工具很好地集成
  6. Apktool –对于编译/反编译非常有用(使用smali)
  7. Android Framework for Exploitation
  8. Bypass signature and permission checks for IPCs
  9. Android OpenDebug –使设备上的任何应用程序都可调试(使用Cydia基板).
  10. Dex2Jar -dex到jar转换器
  11. Enjarify -Google的dex到jar转换器
  12. Dedexer
  13. Fino
  14. Frida -注入JavaScript以探索应用程序并 GUI tool 为了它
  15. Indroid –螺纹注射套件
  16. IntentSniffer
  17. Introspy
  18. Jad -Java反编译器
  19. JD-GUI -Java反编译器
  20. CFR -Java反编译器
  21. Krakatau -Java反编译器
  22. FernFlower -Java反编译器
  23. Redexer – APK操作
  24. Simplify Android deobfuscator
  25. Bytecode viewer
  26. Radare2
  27. Jadx
  28. Dwarf -逆向工程的GUI
  29. Andromeda -另一个基本的命令行逆向工程工具
  30. apk-mitm -一个CLI应用程序,可准备Android APK文件进行HTTPS检查
  31. Noia -简单的Android应用程序沙箱文件浏览器工具
  32. Procyon -Java反编译器
  33. Smali viewer
  34. ZjDroid, fork/mirror
  35. Dare – .dex到.class转换器

Fuzz Testing

  1. IntentFuzzer
  2. Radamsa Fuzzer
  3. Honggfuzz
  4. An Android port of the melkor ELF fuzzer
  5. Media Fuzzing Framework for Android
  6. AndroFuzz

App Repackaging Detectors

  1. FSquaDRA -一种基于应用程序资源哈希比较检测重新打包的Android应用程序的工具.

Market Crawlers

  1. Google play crawler (Java)
  2. Google play crawler (Python)
  3. Google play crawler (Node) -获取应用详细信息并从官方Google Play商店下载应用.
  4. Aptoide downloader (Node) -从Aptoide第三方Android市场下载应用
  5. Appland downloader (Node) -从Appland第三方Android市场下载应用
  6. Apkpure -在线apk下载器. 还提供了自己的应用程序供下载.

Misc Tools

  1. smalihook
  2. AXMLPrinter2 -将二进制XML文件转换为人类可读的XML文件
  3. adb autocomplete
  4. mitmproxy
  5. dockerfile/androguard
  6. Android Vulnerability Test Suite -android-vts扫描设备中的漏洞集
  7. AppMon -AppMon是用于监视和篡改本地macOS,iOS和android应用程序的系统API调用的自动化框架. 它基于Frida.
  8. Internal Blue -基于Broadcom蓝牙控制器逆向工程的蓝牙实验框架
  9. Android Device Security Database -Android设备的安全功能数据库
  10. Android Mobile Device Hardening -AMDH扫描并强化设备设置,并根据权限列出有害的已安装应用程序.
  11. Opcodes table for quick reference
  12. APK-Downloader-现在好像死了
  13. Dalvik opcodes

Vulnerable Applications for practice

  1. Damn Insecure Vulnerable Application (DIVA)
  2. Vuldroid
  3. ExploitMe Android Labs
  4. GoatDroid
  5. Android InsecureBank

Academic/Research/Publications/Books

Research Papers

  1. Exploit Database
  2. Android security related presentations
  3. A good collection of static analysis papers

Books

  1. SEI CERT Android Secure Coding Standard

Others

  1. OWASP Mobile Security Testing Guide Manual
  2. doridori/Android-Security-Reference
  3. android app security checklist
  4. Mobile App Pentest Cheat Sheet
  5. Android Reverse Engineering 101 by Daniele Altomare (Web Archive link)
  6. Mobile Security Reading Room -一个阅览室,其中包含有关移动渗透测试,移动恶意软件,移动取证和所有与移动安全相关的主题的分类准确的技术阅读材料

Exploits/Vulnerabilities/Bugs

List

  1. Android Security Bulletins
  2. Android's reported security vulnerabilities
  3. Android Devices Security Patch Status
  4. AOSP - Issue tracker
  5. OWASP Mobile Top 10 2016
  6. Exploit Database -点击搜索
  7. Vulnerability Google Doc
  8. Google Android Security Team’s Classifications for Potentially Harmful Applications (Malware)

Malware

  1. androguard - Database Android Malwares wiki
  2. Android Malware Github repo
  3. Android Malware Genome Project -包含1260个恶意软件样本,这些样本被分为49个不同的恶意软件家族,免费用于研究目的.
  4. Contagio Mobile Malware Mini Dump
  5. VirusTotal Malware Intelligence Service -由VirusTotal提供支持,并非免费
  6. Drebin
  7. Kharon Malware Dataset -7种经过反向工程和记录的恶意软件
  8. Android Adware and General Malware Dataset
  9. Android PRAGuard Dataset -该数据集包含10479个样本,这些样本是通过使用七种不同的混淆技术对MalGenome和Contagio Minidump数据集进行混淆而获得的.
  10. AndroZoo -AndroZoo是从包括官方Google Play应用市场在内的多个来源收集的Android应用程序的集合.
  11. Admire

Bounty Programs

  1. Android Security Reward Program

How to report Security issues

  1. Android - reporting security issues
  2. Android Reports and Resources -Android Hackerone披露的报告和其他资源列表

Contributing

永远欢迎您的贡献!