QARK-Tool untuk Otomasi Assessment Android Apps

Selain Drozer-tools untuk melakukan assessment atas satu aplikasi Android, maka terdapat aplikasi gratis lainnya yang termasuk dalam the best tools.

Menurut pengembangnya, aplikasi QARK memiliki tujuan sebagai berikut:

Quick Android Review Kit – This tool is designed to look for several security related Android application vulnerabilities, either in source code or packaged APKs. The tool is also capable of creating “Proof-of-Concept” deployable APKs and/or ADB commands, capable of exploiting many of the vulnerabilities it finds.

Jika anda berminat untuk belajar menggunakan QARK, maka terdapat beberapa sumber referensi yang layak untuk dicoba:

http://resources.infosecinstitute.com/qark-a-tool-for-automated-android-app-assessments/#gref

https://github.com/linkedin/qark

https://www.slideshare.net/ChandanKumarSonkar/quick-android-review-kit-qark

http://jensklingenberg.de/allgemein/android-penetration-testing-with-qark/

Apktool Front End: APK Studio

Pada umumnya, para security analyst menggunakan APKTool untuk melakukan reverse-engineering serta manipulasi atas aplikasi Android (apk).  Proses dekompilasi file apk menjadi Dalvik Bytecode, men-generate signing keys, lalu signing file apk yang telah dimodifikasi semuanya dapat dilakukan dengan menggunakan APKTool.

Selain APKTool, kita juga bisa menggunakan APK studio dengan source code khusus yang dikembangkan oleh Vaibhav Pandey.  Prinsipnya APK Studio menyederhanakan proses disassembling dari file APK dengan Smali syntax-aware editor yang terintegrasi, dan dengan opsi one-click untuk melakukan rekompilasi dan signing aplikasi yang telah dimodifikasi dan akhirnya meng-install file APK ke dalam perangkat Android dengan menggunakan ADB.  Dengan kata lain, APK Studio menggunakan APKTool untuk disassembly, bersama dengan ADB serta jarsigner untuk signing file APK yang telah dimodifikasi.

Untuk proses signing dengan APK Studio, analis tetap harus menghasilkan keystore dengan keytool executable yang ada dalam Java Development Kit (JDK).  Selanjutnya APK Studio akan sign file APK dengan keystore, tetapi tidak secara otomatis menghasilkan keystore untuk analis.

http://www.vaibhavpandey.com/apkstudio/

Drozer: Security Assessment Tools untuk Android

Di hari minggu yang cerah ini, sejak pagi tadi saya kembali bermain-main dengan Drozer yaitu framework yang dikembangkan oleh MWR labs untuk menguji keamanan dari satu aplikasi berbasis sistem operasi Android.  Hingga saat ini, Drozer termasuk tools terbaik yang banyak digunakan oleh para security analyst untuk menguji keamanan satu aplikasi.

Saat ini saya sedang menguji satu aplikasi Android berupa web form yang umumnya digunakan untuk kuesioner.  Dengan menggunakan Drozer, saya bisa memanipulasi Android Intent yang menunjukkan adanya kelemahan dalam aplikasi tersebut.

Jika rekan-rekan berminat mempelajari tools tersebut, setidaknya ada 2 tautan yang menarik untuk dikaji:

https://labs.mwrinfosecurity.com/tools/drozer

Introduction to Drozer

Pentesting Mobile Application untuk perangkat Android

Sebelum melakukan analisis atas mobile apps untuk Android, tenaga analis harus memahami setidaknya empat komponen (components) fundamental dari aplikasi Android yaitu Activities, Services, Content Providers, dan Receivers. Serta Androd Intents sebagai mekanisme messaging antar komponen untuk dapat berinteraksi atau lebih dikenal sebagai Inter-Process Communication (IPC).

Seperti halnya pentesting mobile apps untuk iDevices (iOS), maka terdapat teknik dan tools untuk perangkat Android.  OWASP telah mengembangkan cheat sheet untuk dapat dijadikan acuan bagi para tenaga analis mobile apps yang tersaji pada URL sbb: https://www.owasp.org/index.php/Android_Testing_Cheat_Sheet

Analis bisa menggunakan beberapa tools untuk melakukan analisis atas mobile apps Android:

a. Androwarn;

Tools ini umumnya digunakan pada static analysis tool.  Androwarn akan membaca file APK dan memberikan laporan terkait potensi malicious behaviour termasuk: akses atas telephony identifier, akses atas device setting parameter, penyalahgunaan geolocation, akses dan manipulasi atas PIM data dan native code execution & filesystem binary execution.

b. Androsim;

Androsim dapat membandingkan 2 file APK untuk mengetahui sejumlah metode/code yang identik, mirip, baru atau dihapus dari kedua file APK tersebut.  Tool ini sangat berguna untuk:

  1. Mengindentifikasi app rip-offs yaitu ketika beberapa pengembang aplikasi memasukkan aplikasi mereka masing-masing pada Play Store yang pada kenyataannya bersumber dari satu aplikasi yang sama;
  2. Mengidentifikasi perbedaan dari 2 aplikasi.  Umumnya digunakan untuk mengidentifikasi perbedaan dari 2 mobile malware yang diduga berasal dari malware family yang sama atau untuk mengetahui 2 versi dari satu aplikasi.

c. Drozer Framework;

Tools ini merupakan client/server framework untuk mengevaluasi aplikasi Android yang terdiri atas Android application agent dan console component dari Windows/Linux.  Dengan tool ini, kita bisa menganalisis lebih jauh dari mekanisme Android IPC, mengetahui jumlah komponen dari aplikasi dan juga melakukan ‘crafting’ atas Intent messages atas services-services tertentu tanpa harus menulis Java code.