앱 보안 테스트 도구

ADB (Android Debug Bridge)

이름에서 알 수 있듯이 ADB는 안드로이드 앱을 분석하기 위한 것이며 Android SDK Platform-Tools 패키지의 일부로 제공됩니다. 클라이언트, 데몬 및 서버의 세 가지 구성 요소가 있습니다. 클라이언트는 명령을 보내고 개발 시스템 또는 실제 모바일 디바이스에서 실행할 수 있으며 터미널을 통해 호출될 수 있습니다. 데몬은 백그라운드 프로세스로 디바이스에서 명령을 실행합니다. 서버는 개발 시스템에서 실행되며 클라이언트의 통신을 관리합니다. ADB를 사용하면 USB, Wi-Fi, Bluetooth 또는 기타 네트워킹 프로토콜을 통해 디바이스에서 시스템 이벤트를 실시간으로 모니터링 할 수 있습니다. ADB는 개발자에게 에뮬레이터 또는 실제 디바이스에서 앱을 테스트 할 수 있는 이점을 제공합니다.

사이트 방문하기: Android Debug Bridge

---

Androguard

Androguard는 Python 기반 리버스 엔지니어링 도구입니다. 이 테스트 도구는 앱에 멀웨어가 있는지 여부에 대해서 진단할 수 있습니다. 이 도구는 두 개의 APK 파일의 ‘차이’를 확인, 다양한 난독기(예를 들어, ProGuard 및 DexGuard)의 효율성 측정, 테스트 중인 앱이 불법적으로 수정 또는 변조되었는지 확인하는 등의 유용한 기능을 지원합니다.

---

ApkTool

ApkTool은 개발자가 비공개된 3rd party 안드로이드 앱을 열고 원본 형식과 매우 유사하게 변환할 수 있는 안드로이드용 리버스 엔지니어링 도구입니다. ApkTool을 이용하여, 개발자는 애플리케이션을 분석할 수 있을 뿐만 아니라 사용자 맞춤 수정으로 다시 빌드 할 수도 있습니다. 이것을 사용하면 리버스 엔지니어링 프로세스와 관련된 중복 작업이 간소화되기 때문에, 개발자가 선호하는 대표적인 도구라고 할 수 있습니다.

---

Appknox

앱의 잠재적인 보안 결함 및 취약성에 대해서 코드 바이너리를 정적 분석합니다. Appknox는 앱을 수동으로 테스트하여 심각한 보안 허점이나 민감한 데이터 유출, 멀웨어에 의한 공격 가능성이 있는 기타 잠재적 위험 요소를 찾는 윤리적 해커가 주로 사용하는 것으로 알려져 있습니다.

---

CharlesProxy

이 도구는 앱에서 모든 종류의 HTTP 관련 항목을 감시하고 디버깅하는데 도움이 됩니다. 안드로이드에만 국한되지 않으며 iOS와 같은 다른 운영 체제에서도 사용할 수 있습니다. 이 도구는 필요한 경우 앱이 네트워크와 상호 작용하는 방식을 검사하고 변경합니다.

---

ClassyShark

ClassyShark는 안드로이드용 바이너리 검사 도구입니다. 사용자는 모든 클래스, 멤버 및 종속성을 찾아보고 모든 앱의 메서드 수를 쉽게 확인할 수 있습니다. 또한 쉬운 브라우징을 하도록 패키지와 같은 편리한 파일 구조를 가지고 있습니다. 그리고 ‘Methods Count’ 탭은 앱의 각 패키지에 포함된 메소드의 수를 알려줍니다.

---

DevKnox

이 도구는 개발자가 코드의 보안을 향상시키는데 도움이 됩니다. IDE 상에서 몇 가지 알려진 보안 문제를 자동 수정합니다. 안드로이드 스튜디오에서 잘 작동하는 DevKnox는 사용자에게 실시간 보안 제안과 원 클릭 수정을 제공하여 생산성을 향상시키는데 도움을 줍니다.

Devknox의 독특한 점은 개발자가 WYSIWYG 편집기의 맞춤법 검사 기능과 마찬가지로, 코드 작성시 코드에서 보안 오류를 확인할 수 있다는 것입니다. 안드로이드 스튜디오 플러그인의 인기에도 불구하고, 개발사인 XYSEC Labs은 관련 개발을 중단하였습니다. 아마도 곧 오픈 소스 릴리스를 발표할 것으로 예상됩니다. 이 도구의 또다른 중요한 특징은 코드를 수정하기 위한 제안을 제공한다는 것입니다. 다른 정적 코드 분석기와 마찬가지로 개발자는 이 도구를 사용하여 바이너리 코드 파일을 전체적으로 스캔하고 보안 수정 사항을 얻을 수 있습니다. 이 도구에 의해서 확인 가능한 취약점으로는 자세한 로깅 기능, DES 암호화, 안전하지 않은 파일 액세스 모드, AES CBC 암호화, AES ECB 암호화, RSA 패딩 사용하지 않음, AES 암호화 대체, RSA 취약한 키 쌍 생성기, 예측 가능한 의사 난수 생성기, 암호화되지 않은 소켓, 가능한 탭재킹(Tapjacking) 공격 등이 있습니다.

사이트 방문하기: Devknox

---

Dex2Jar

Dex2Jar는 DEX 파일을 읽고 쓰고, 변환하거나 수정하는데 사용됩니다. 또한 사용자는 모든 DEX 파일을 클래스 파일로 변환하고 모든 파일을 JAR(Java Archive) 파일 형식으로 압축할 수 있습니다.

---

QARK(Quick Android Review Kit)

QARK는 Quick Android Review Kit의 약자이며 또 다른 유용한 보안 도구입니다. 소스 코드뿐만 아니라 앱의 패키지에서도 일반적인 보안 취약성을 찾는데 도움이 됩니다. 사용자에게 취약성에 대한 깊이있는 설명을 많이 제공합니다.

QARK는 앱의 소스 코드 또는 패키지된 APK 파일을 분석하기 위한 중요한 커뮤니티 지원(아파치 라이센스 지원) 도구입니다. 개발자는 QARK 분석을 실행하여 소스의 보안 취약성을 확인할 수 있습니다. 이 도구의 유용한 점은 에뮬레이터나 실제 디바이스를 테스트하기 위해 ADB 명령을 실행할 수 있다는 것입니다. ADB와 달리 앱이 안전한 환경에서 실행시 취약성을 확인해야 하기 때문에 디바이스를 루팅 할 필요가 없습니다. 이 파이썬 기반 도구는 윈도우, 리눅스 및 OSX에서 사용할 수 있습니다. QARK는 다음과 같은 취약점을 식별합니다.

• 부주의하게 송출된(exported) 컴포넌트
• 부적절하게 보호된 송출(exported) 컴포넌트
• 차단 또는 도청에 취약한 인텐트(Intent)
• 부적절한 x.509 인증서 유효성 검사
• 아무나 읽고 쓸수 있는(world-readable/world-writable) 파일 생성
• 데이터 누수 가능성이 있는 액티비티(Activity)
• 스티키 인텐트(Sticky Intent) 사용
• 안전하지 않은 펜딩 인텐트(Pending Intent)
• 안전하지 않은 브로드캐스트 인텐트(Broadcast Intent) 보내기
• 소스에 포함된 개인 키
• 낮은 수준 또는 부적절한 암호화 사용
• 잠재적으로 악용 가능한 웹뷰(WebView) 구성
• 송출된 환경설정(Preference Activity)
• 탭재킹(Tapjacking)
• 백업을 가능하게하는 앱
• 디버깅 가능한 앱
• 알려진 취약점을 가진 예전 API 버전을 지원하는 앱

---

ZAP (Zed Attack Proxy)

OWASP ZAP 도구 라고도 불리우는 이 도구는 OWASP 재단에서 개발 및 소유하며 Apache 2 라이센스하에 라이센스를 받았습니다. 하지만 이 도구는 Paros Proxy의 오픈 소스 버전의 포크이기도 합니다. 주로 숙련된 보안 개발자를 대상으로 하며, 모의 침투 테스트를 위한 가장 인기 있는 앱 보안 도구 중 하나로 간주됩니다. ZAP은 자신을 웹앱의 모든 요청과 수신된 모든 응답을 듣는 중간자 프록시(man-in-the-middle proxy)로 정의하고 있습니다. 자동화된 스캐너 및 기타 애드온을 사용하면 취약점을 자동 또는 수동으로 검색할 수 있습니다. 액티브 스캔 기능을 통해 개발자는 선택된 대상에 대해 알려진 공격을 시작할 수 있습니다. 또한 모든 요청과 응답이 앱 속도를 늦추지 않도록 백그라운드에서 스캔되는 검색 규칙 전달을 지원합니다. 웹 사이트는 주기적으로 업데이트되는 애드온 형태로 모든 검색 규칙의 저장소를 유지합니다.

사이트 방문하기: Zed Attack Proxy

---

ImmuniWeb 모바일 앱 보안 테스트

이 무료 온라인 테스트 도구는 안드로이드 및 iOS 플랫폼의 기본 및 하이브리드 앱을 분석합니다. 다른 취약점 중에서도 OWASP Mobile Top 10 결함에 대해서 테스트를 수행합니다. 다음에 나열된 테스트를 앱에 적용합니다.

• 정적 애플리케이션 보안 테스트(SAST)
• 동적 애플리케이션 보안 테스트(DAST)
• 악성 기능 및 개인 정보 보호를 위한 동작 테스트(Behavior Testing)
• 소프트웨어 구성 분석(SCA)
• 모바일 애플리케이션 발신 트래픽
• 모바일 앱 외부 커뮤니케이션

또한 웹 서비스 및 모바일 서비스의 API를 테스트하기 위해 MobileSuite라는 고급 도구 세트를 제공하지만 유료입니다.

사이트 방문하기: ImmuniWeb

---

Drozer

개발자가 다른 앱이나 OS와 상호 작용하면서 안드로이드 프로세스간 통신 말단(endpoint)을 통과할 때 안드로이드 앱이 충분히 안전한지 확인하려면 Drozer에서 테스트 해야 합니다. Drozer의 중요한 기능은 개발자가 테스트하려는 디바이스에서 안드로이드 공개용 악성 공격자를 구현할 수 있다는 것입니다. 알려진 취약점을 기반으로 악성 파일 및 웹 페이지를 작성하여 악성 에이전트를 만듭니다. Drozer 에이전트가 테스트 중인 취약한 앱을 사용하여 디바이스에 전체 에이전트를 설치하려 한다면, 개발자에게 경보를 표시하고 보안 결함을 수정해야 합니다.

사이트 방문하기: Drozer

---

모바일 보안 프레임 워크 / MobSF

이것은 모의 침투 테스트, 악성코드 분석 및 보안 평가 프레임워크를 위한 포괄적인 모바일 앱 테스트 도구로 정적/동적 분석을 수행할 수 있습니다. 소스 코드뿐만 아니라 바이너리상에서도 안드로이드, iOS, 윈도우 앱을 분석 할 수 있습니다. MobSF는 OWASP Mobile Top 10 취약점에 대해 앱을 테스트 할 수 있습니다.

사이트 방문하기: MobSF