Testtool om veiligheid Android-apps te testen

Ontwikkelaars van de socialenetwerksite LinkedIn hebben een eerste testversie van een analysetooltje vrijgegeven waarmee de beveiliging van een Android-app kan worden getest. De software biedt bovendien een omschrijving met de mogelijke gevaren van de kwetsbaarheden.

LinkedIn noemt de tool QARK en biedt de software aan onder opensourcelicentie. Met QARK kunnen ontwikkelaars kwetsbaarheden vinden in Java-applicaties voor Android, zoals zwakke versleuteling of private keys die in de broncode zijn te vinden. Ze krijgen bij gevonden gevaren een omschrijving te zien wat er mis is. Bovendien schotelt QARK bronnen voor waar is te lezen wat eraan gedaan kan worden.

Om te controleren of de kwetsbaarheden ook daadwerkelijk te misbruiken zijn, genereert QARK adb-commando’s die daarvoor te gebruiken zijn. Mede daardoor creëert het tooltje feitelijk een testapplicatie waarmee beveiligingslekken in de Android-app zijn aan te tonen, zo schrijft beveiligingsonderzoeker Tony Trummer van LinkedIn.

Ondanks het automatiseren van het vinden van kwetsbaarheden, raadt Trummer organisaties aan altijd nog handmatige security audits uit te voeren. Volgens hem zijn er namelijk altijd onontdekte kwetsbaarheden die wel misbruikt kunnen worden. Daarnaast moeten serverside-api’s nog worden onderzocht en is, hoe logisch ook, ‘geen enkele tool perfect’.

De LinkedIn-ontwikkelaars zeggen de komende tijd flink aan QARK te sleutelen. Ze willen onder meer het aantal false positives en false negatives terugbrengen. Daarnaast willen ze het tooltje ook testprogramma’s die QARK genereert, automatisch laten testen op kwetsbaarheden. Ten slotte werken ze aan ondersteuning voor Windows, aangezien QARK voorlopig alleen op Mac en Linux draait.

Bron: Tweakers