LinkedIn发布旨在检测Android应用漏洞的工具QARK

LinkedIn 最近开源了他的静态分析工具 QARK ，该工具用于分析那些用Java语言开发的Android应用中的潜在安全缺陷。

QARK的首秀是在8月23日的 DEFCON 23 上，之后便很快在GitHub上公布了源代码。QARK使用 PLYJ一个分析Java源码的Python工具，还使用了 Beautiful Soup 来分析Android manifest（配置文件）。而且，QARK通过使用多种反编译器（包括： Procyon , JD-Core , CFR , DEX2JAR , 和 APKTool ）并合并他们的分析结果，还可以处理编译后的二进制文件。QARK对安全缺陷的分析范围包括：

当QARK指出一个潜在缺陷的时候，会针对该缺陷，提供概要解释和一条详细解释的链接。它还可以创建可测试的APK文件和若干ADB命令，这些文件和命令能让你知道该缺陷会产生怎样的危害。

未来，LinkedIn打算扩展QARK，使它能够分析Bound Service和Content Provider缺陷，与Java/Android无关的缺陷，解析ODEX文件，改进自身的扩展性，动态分析等等。

当QARK可以被集成到Android工具链中，自动探测到问题和缺陷的时候，作者建议同时继续对应用进行人工审查，因为还有其他类型的缺陷是静态分析无能为力的，而且还有许多缺陷未能完全覆盖。

　　　　　　　　　　　　　 查看评论 回复