Sızma testi araçlarına geçmeden önce kısaca sizlere android uygulamalardan bahsetmek istiyorum. Android cihazlarda uygulamaların çalışabilmesi için .apk uzantılı dosyalar ile uygulamalar yüklenir. Günümüzde Native ve Hybrid olmak üzere iki türlü uygulaması bulunmaktadır. Native uygulama dediğimiz C++ veya Java dilini temel alan Android ile yazılan uygulamalardır. HTML,CSS, JavaScript tabanlı kodu yazıp bir çok platforma çıktı veren frameworkler ile geliştirildiğinde Hybrid uygulama olarak geçmektedir. Yazılmış bir uygulama apk haline getirildikten sonra android cihazlarda çalışmaya başlar.
Android güvenlik testleri, Android uygulamalarındaki güvenlik açıklarını test etmek için güvenlik uzmanları tarafından sıkça yapılan testlerdir. Bu yazımda sizlerle android işletim sistemi için Kapsamlı Android sızma testi araçlarını ve kaynak listesi paylaşacağım. Dilerseniz aşağıda paylaştığım linklerdeki araçları kendinizde inceleyip, öğrenebilirsiniz. Dilerseniz sonraki yazılarımı takip edip, seçmiş olduğum bazı araçların nasıl kullanıldığını ve kendi test laboratuvar ortamını nasıl oluşturacağınızı öğrenebilirsiniz.

Online Analiz Araçları

  1. AndroTotal
  2. Tracedroid
  3. Visual Threat
  4. Mobile Malware Sandbox
  5. Appknox – Ücretli
  6. IBM Security AppScan Mobile Analyzer – Ücretli
  7. NVISO ApkScan
  8. AVC UnDroid
  9. Virustotal-Maksimum 128MB
  10. Fraunhofer App-ray – Ücretli
  11. AppCritique
  12. NowSecure Lab Automated – Hem Android hem de iOS mobil uygulamalarını test eden mobil uygulama güvenliği için kurumsal araç bir araçtır. Lab Automated, buluttaki gerçek cihazlarda dinamik ve statik analiz yaparak sonuçların dakikalar içinde geri dönmesini sağlar. Ücretli

Statik Analiz Araçları

  1. Androwarn – Bir Android uygulaması tarafından geliştirilen olası zararlı davranışlarla ilgili kullanıcıyı tespit edip uyarır.
  2. ApkAnalyser
  3. APKInspector
  4. Droid Intent Data Flow Analysis for Information Leakage
  5. DroidLegacy
  6. Several tools from PSU
  7. Smali CFG generator
  8. FlowDroid
  9. Android Decompiler – Ücretli
  10. PSCout
  11. Amandroid
  12. SmaliSCA
  13. CFGScanDroid
  14. Madrolyzer
  15. SPARTA
  16. ConDroid
  17. DroidRA
  18. RiskInDroid
  19. SUPER
  20. ClassyShark

Android Güvenlik Açığı Tarayıcıları

  1. QARK
  2. AndroBugs
  3. Nogotofail
  4. Devknox
  5. JAADAS

Dinamik Analiz Araçları

  1. Android DBI framework
  2. Androl4b– Android uygulamalarını değerlendirmek için bir Sanal Makine, Ters Mühendislik ve Kötü Amaçlı Yazılım Analizi
  3. Android Malware Analysis Toolkit
  4. Mobile-Security-Framework MobSF
  5. AppUse
  6. Cobradroid
  7. Droidbox
  8. Drozer
  9. Xposed
  10. Inspeckage
  11. Android Hooker
  12. ProbeDroid
  13. Android Tamer
  14. DECAF
  15. CuckooDroid
  16. Mem – Android hafıza analizi (root gerekli)
  17. Crowdroid
  18. AuditdAndroid
  19. AndroidSecurity Evaluation Framework
  20. Android Reverse Engineering
  21. Aurasium
  22. Android Linux Kernel modules
  23. Appie
  24. StaDynA
  25. DroidAnalytics
  26. Vezir Project
  27. MARA
  28. Taintdroid

Tersine Mühendislik Araçları

  1. Smali/Baksmali
  2. emacs syntax coloring for smali files
  3. vim syntax coloring for smali files
  4. AndBug
  5. Androguard
  6. Apktool
  7. Android Framework for Exploitation
  8. Bypass signature and permission checks for IPCs
  9. Android OpenDebug
  10. Dare – .dex to .class çevirici
  11. Dex2Jar – dex to jar çevirici
  12. Enjarify – Google’dan dex to jar çevirici
  13. Dedexer
  14. Fino
  15. Frida
  16. Indroid
  17. IntentSniffer
  18. Introspy
  19. Jad – Java decompiler
  20. JD-GUI – Java decompiler
  21. CFR – Java decompiler
  22. Krakatau – Java decompiler
  23. Procyon – Java decompiler
  24. FernFlower – Java decompiler
  25. Redexer – apk manüpülasyonu
  26. Smali viewer
  27. Simplify Android deobfuscator
  28. Bytecode viewer
  29. Radare2

Fuzz Test Araçları

  1. IntentFuzzer
  2. Radamsa Fuzzer
  3. Honggfuzz
  4. An Android port of the melkor ELF fuzzer
  5. Media Fuzzing Framework for Android
  6. AndroFuzz