安全审核-如何确保特定的android应用程序不会将我的数据发送到它的数据中心

Question

我们公司需要通过一项具体的安全审计。我们所有的第一线员工都使用我们公司提供的手机(由Intunes控制)，他们需要安装诸如CamScanner之类的应用程序来获取一些文档。

到目前为止，这些设备上只安装了该公司开发的应用程序。当安装CamScanner时，它请求存储权限，这似乎失败了安全审计。

有什么方法可以证明这个特定的软件不会随机访问设备存储(当应用程序在后台运行/没有活动)并将数据发送到他们的数据中心？

Answer 1

有什么方法可以证明这个特定的软件不会随机访问设备存储(当应用程序在后台运行/没有活动)并将数据发送到他们的数据中心？

首先，审计师应该提供数据被发送到数据中心的证据。基于应用程序可能将数据发送到数据中心的假设而失败的安全审计是无效的。审计应该是关于事实的。

网络流量

为了监视这个移动应用程序的可能HTTP流量，可以使用一个拦截器代理。此代理的证书被加载到电话中，并且应该受到信任，以便捕获TLS数据流。

配置电话以使用代理服务器，并将其指向运行代理的机器的IP地址。

边注:确保拦截代理服务器正在监听外部网络接口，以便接受来自电话的连接。任何基于web的流量现在都应该被捕获并显示在截取代理中。

当不期望HTTP用作通信协议时，分析通信流就会更加困难。如果是那样的话，我建议你用个苹果装置。通过WiFi将手机连接到设备上，并使用TCP转储来捕获其流量。

TCP转储允许您以PCAP格式存储网络捕获。可以将此PCAP加载到诸如Wireshark这样的工具中，以便分析所有通信量。

数据存储

首先，请求存储权限不应导致审计失败。应用程序(临时)将数据存储在存储设备上是完全合法的。

同样，应该证明应用程序可以恶意地在存储设备上做一些事情。

分析应用程序

在我看来，分析应用程序的最好方法是审查源代码。如果源代码可用，这是确定数据是否被发送到远程服务器以及是否会随机从存储设备读取数据的最佳和最快的方法。

如果应用程序源代码不可用，则可以对其进行分解和分析(我将暂时不遵守此规则，主要关注技术细节)。

结论

我再怎么强调也不为过:审计人员有责任证明应用程序执行恶意操作。假设一个应用程序可能是恶意的是不够的。

应向审计员提供一份对申请进行的安全评估报告。根据该报告，审计师可以声明应用程序是否恶意。

都是关于证据的！

Answer 2

一旦您能够监视设备的流量，检查它是否发送数据应该是相当容易的。通常，你需要一个有两个网络接口的pc，一个用于“互联网”，一个用于假热点。你监视中间的交通，你会看到交通的去向。(更简单的方法是使用ESP8266和https://github.com/martin-ger/esp_wifi_(中继器)静止，很难区分正常流量和应用流量。

或者，您可以拆解代码(请在此之前检查合法内容)，并查找任何试图建立连接的内容。

如果程序不是很大的话，我会选择第二种方法。这样你就可以完全确定在互联网上交换的内容。