11 月 19 - 20 日 Apache Pulsar 社区年度盛会来啦,立即报名! 了解详情
写点什么

LinkedIn 发布旨在检测 Android 应用漏洞的工具 QARK

  • 2015-09-07
  • 本文字数:866 字

    阅读完需:约 3 分钟

LinkedIn 最近开源了他的静态分析工具 QARK ,该工具用于分析那些用 Java 语言开发的 Android 应用中的潜在安全缺陷。

QARK 的首秀是在 8 月 23 日的 DEFCON 23 上,之后便很快在 GitHub 上公布了源代码。QARK 使用 PLYJ ——一个分析 Java 源码的 Python 工具,还使用了 Beautiful Soup 来分析 Android manifest(配置文件)。而且,QARK 通过使用多种反编译器(包括: Procyon , JD-Core , CFR , DEX2JAR , 和 APKTool )并合并他们的分析结果,还可以处理编译后的二进制文件。QARK 对安全缺陷的分析范围包括:

  • 不经意公开的组件
  • 保护不当的公开组件
  • 易被窃听或嗅探的 Intent
  • 不当的 x.509 格式的证书校验
  • 不当地创建“全局可读”或者“全局可写”文件
  • 可能泄露敏感数据的 Activity 组件
  • 是否正确使用 Sticky Intent
  • 不安全地创建 Pending Intent
  • 发送未经安全保护的 Broadcast Intent
  • 源代码中嵌入了私钥
  • 使用了弱或不当的加密解密算法
  • 使用了有潜在安全问题的 WebView 配置项
  • 对其他应用公开的 Preference Activity
  • 触屏劫持
  • 允许备份的应用
  • 允许调试模式的应用
  • 应用中使用的过时的 API,其中包含了已知的缺陷

当 QARK 指出一个潜在缺陷的时候,会针对该缺陷,提供概要解释和一条详细解释的链接。它还可以创建可测试的 APK 文件和若干 ADB 命令,这些文件和命令能让你知道该缺陷会产生怎样的危害。

未来,LinkedIn 打算扩展 QARK,使它能够分析 Bound Service 和 Content Provider 缺陷,与 Java/Android 无关的缺陷,解析 ODEX 文件,改进自身的扩展性,动态分析等等。

当 QARK 可以被集成到 Android 工具链中,自动探测到问题和缺陷的时候,作者建议同时继续对应用进行人工审查,因为还有其他类型的缺陷是静态分析无能为力的,而且还有许多缺陷未能完全覆盖。

查看英文原文: LinkedIn Release QARK to Discover Security Holes in Android Apps


感谢张龙对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群InfoQ 好读者)。

2015-09-07 19:006450

评论

发布
暂无评论
发现更多内容

API安全问题的原因及挑战

阿泽🧸

API 11月月更

架构误区系列3:单元测试依赖外部环境

agnostic

测试 单元测试

跟着卷卷龙一起学Camera--低延迟05

卷卷龙

ISP camera 11月月更

Vue基础学习(六)

Studying_swz

Vue 11月月更

第九期 - 模块六

wuli洋

综合实验 配置三层 热备 生成树 ospf 和 rip 以及他们之间的重分发等将内网 全通

初学者

网络 11月月更

【愚公系列】2022年11月 微信小程序-app.json配置属性之debug

愚公搬代码

11月月更

功能强大的开源网络监控工具:LibreNMS,牛逼!

wljslmz

网络监控 11月月更 LibreNMS

SAP Hybris Category 显示在 Storefront 的判定条件

Jerry Wang

Java SAP Hybris commerce 11月月更

动态路由协议二

初学者

动态路由 11月月更

数据预处理和特征工程-数据预处理-特征选择-方差过滤

烧灯续昼2002

Python 机器学习 算法 sklearn 11月月更

阿里CTO程立:只有全面Serverless化才能实现真正的深度用云

Geek_2d6073

万万没想到,除了香农计划,Python3.11竟还有这么多性能提升!

Python猫

Python

判断浏览器里一个窗口加载完毕

按顺序打开页面 页面加载完毕 监听页面事件

基于 docker-compose 实现对 Nginx+Tomcat Web 服务的单机编排

忙着长大#

Docker-compose

部署vue项目到Linux服务器

Studying_swz

Linux Vue 11月月更

【LeetCode】最短的桥Java题解

Albert

算法 LeetCode 11月月更

支持日均亿级交易处理,腾讯云&金蝶“国产数据库联合解决方案”正式发布

科技热闻

常见的数据指标体系

穿过生命散发芬芳

数据指标 11月月更

2022-11-12:以下rust语言代码中,结构体S实现了crate::T1::T2的方法,如何获取方法列表?以下代码应该返回[“m1“,“m2“,“m5“],顺序不限。m3是S的方法,但并不属于c

福大大架构师每日一题

rust 福大大

跟着卷卷龙一起学Camera--低延迟06

卷卷龙

ISP camera 11月月更

mysql的一些基础知识

我是一个茶壶

MySQL 安全 11月月更

抖音"凶猛"的幕后英雄,火山引擎DataTester累计做过150万次A/B测试

字节跳动数据平台

字节跳动 算法 AB实验 产品优化 实验科学

Python进阶(三十)Python3实现随机数

No Silver Bullet

Python 随机数 11月月更

【设计模式】以国足的例子来解释代理模式,希望自己不要被退钱

游坦之

设计模式 11月月更

架构误区系列2:exactly once的消息中间件不需要考虑消息重投

agnostic

消息中间件

Kafka资料

Joseph295

极客时间运维进阶训练营第三周作业

忙着长大#

极客时间

TSDB助力风电监控

CnosDB

IoT 时序数据库 开源社区 CnosDB infra

跟着卷卷龙一起学Camera--噪声与去噪01

卷卷龙

ISP camera 11月月更

数据预处理和特征工程-特征选择-相关性过滤-卡方过滤

烧灯续昼2002

Python 机器学习 算法 sklearn 11月月更

LinkedIn发布旨在检测Android应用漏洞的工具QARK_开源_Abel Avram_InfoQ精选文章