是否有专门用于移动应用程序安全测试的移动电话？

Question

有些操作系统发行版，比如Kali，还有Hak5和它们的物理五点小工具。

我想知道是否有这样一部手机。如今，随着证书的固定和全新的Android安全功能的出现，人们很难在手机上进行最简单的约会。这有利于防止黑客攻击，但在白盒测试不是一种选择的情况下，这对道德黑客很难。而且，Genymotion并不总是很实用，有时也是有限的.

你知不知道是否有专门的或合适的电话用于这个目的？

Answer 1

为此目的而制造的手机存在吗？

据我所知没有。有些手机很容易根植，而另一些手机则很容易完全替换固件，并且具有经过良好测试的“自定义ROM”，这可能更易于使用。

创建一个经过修改的基本安卓映像相对容易，它允许用户通过标准运行时绕过证书验证(包括钉扎)检查(可能通过捆绑的OpenSSL或类似的应用程序进行自己的TLS验证，一般情况下更难绕过)。我不知道其中一个，但是这是人们使用自定义ROM所做的事情。您需要将每个设备的驱动程序等添加到基本映像中，但至少对于某些设备，这是一个解决问题的方法。

或者，您可以尝试创建系统库javax.net.ssl.TrustManager的修改版本--或者任何库处理网络安全配置 --可以将其安装到根系统中，但以其他方式存储系统，以禁用证书钉扎/切换到固定测试人员自己的证书。

我不知道有一个库能做到这一点，更别说是Android映像整合了这样的功能。这需要一些反向工程，尽管Android非常容易。如果有人已经这么做了(或者说很容易)，并且已经公开发布(或者愿意)，它可能会出现在一个电话黑客论坛/社区，比如xda-开发者。