Какие существуют приемы для обнаружения уязвимостей в мобильных приложениях?

Некоторые приёмы для обнаружения уязвимостей в мобильных приложениях:

• Использование инструментов Ostorlab. 2 Для проверки нужно загрузить файл приложения и дождаться завершения сканирования. 2 По окончании пользователь получает отчёт с категориями риска (высокий, средний и низкий) и информацией о возможности обеспечить полную безопасность приложения. 2
• Применение инструмента Appvigil. 2 Для проверки не нужно ничего устанавливать, всё обрабатывается в облаке Appvigil. 2 По окончании пользователь получает отчёт с описаниями возможных угроз и рекомендациями по их устранению. 2
• Использование инструмента AndroTotal. 2 Сервис проверяет файл на наличие вредоносного кода и вирусов, сравнивая результаты с базами наиболее известных антивирусников. 2
• Использование сервиса Akana. 2 Инструмент проверяет на наличие вредоносного кода, а также основные функции на уязвимость. 2 Если есть проблемы, им присваивается уровень опасности (высокий, средний или низкий). 2
• Использование фреймворка MobSF. 4 Его можно использовать онлайн или локально на компьютере. 4 После загрузки apk-файла приложения фреймворк выдаёт подробный отчёт по найденным уязвимостям со ссылками на статьи и примерами исправления кода. 4

Также для обнаружения уязвимостей можно использовать статический анализатор, например, taint-анализ. 5 Он находит все поля, вводимые пользователем, и помечает их маркером Tainted. 5 Эта метка автоматически растекается по коду, помечая собой всё, до чего может дотянуться. 5 После того как маркер распространился максимально далеко, программа-анализатор смотрит на место в коде, где происходит обращение к базе данных с помощью SQL-запроса. 5 Если данное обращение помечено маркером Tainted, то программа сообщает о наличии уязвимости. 5

Выбор приёма зависит от конкретных условий и целей проверки мобильного приложения.