FreeBuf前不久刚刚报道过,美 图秀秀、gReader、福昕PDF阅读器等14款Android应用易遭中间人攻击。7月3日,央视《新闻直播间》也用“黄金三分钟”介绍了安卓手机上存在的名为“寄生兽”的通用型安全漏洞,影响规模达到数以千万级的用户,市面上安卓90%APP都中招。
今年6月Android智能手机在美国的市场份额上升2.8%,达到64.9%。而这带给安卓开发者及用户更多的则是对移动安全及隐私问题的担忧。
如果你是正在开发手机应用的程序员,那你应该阅读一下OWASP手机-十大移动威胁。或许你会好奇哪些安全工具可以帮助你解决安卓应用程序日益增长的复杂性难题。嗯,其实是很多工具的。
这篇文章将介绍两个免费的静态分析工具,可以从集成开发环境(IDE)直接扫描你的代码。
Android Lint
这是个什么?
这是由IDE安卓官方提供的一个静态代码分析器。
它有什么用?
检测列表是相当长,而安全检测的数量却十分有限。通常重要的定期检测仍在使用这个工具。
安装包
没有!正如之前提到的,这是IDE 安卓工作时官方的,但是如果你只想要与安全相关的检测,你可以使用这个“只要安全”文件。
视频演示
FindBugs 与 Find Security Bugs插件
这是个什么?
FindBugs是一款受欢迎的静态分析引擎,广泛用于Java社区。发现安全漏洞(Find Security Bugs)是一该工具的一个插件,为分析提供了安全规范。
它有什么用?
安全插件FindSecBugs的主要焦点在于标记漏洞,比如应用程序中不安全的通讯、密码学的误用以及一些敏感部分。
安装包
FindBugs的安装及配置可以通过几个简单点击就能完成。如果你仍然坚持使用Eclipse(前官方IDE),Eclipse市场中也有一个相同的插件。
视频演示
这里有一个简短的视频,展示了FindBugs在安卓工作室的集成。
(注意:这里使用的是Find Security Bugs的一个旧版本)
接下来,我们再聊点什么呢?
不幸的是,程序客户端安全问题仅仅是冰山一角。你的应用程序后端也特别需要注意。毕竟,OWASP十大移动威胁的头号风险便是薄弱的服务器端控制。
另一个不错的建议便是在持续集成环境中将这两种工具结合使用。
BlackHat USA 2015 即将到来
我将在黑帽大会上展示FindBugs的安全插件,演示IntelliJ和SonarQube的集成。如果你已经使用了该工具,有任何问题都请不要犹豫地反馈给我。
如果你从事的是安卓开发工作,也不要错过在同一时间段的QARK的展示。
如果你有任何可以运用到安卓上的新安全规范,不要犹豫快去GitHub吧。
参考文献
OWASP:Source Code Analysis Tools 静态代码分析工具列表
NIST:Source Code Security Analyzers 另一些不错的按语言分类的工具列表
Android Lint:Android Lint的官方文件
Find Security Bugs:Github网站的FindBugs安全插件
Mobile Security Wiki:一个全面的资源列表,包括用于安卓的工具
*参考来源:blog,转载需注明来自FreeBuf黑客与极客(FreeBuf.COM)