苏州市科学技术局,Blackphone能否解决企业移动设

韩国放送通信委员会和韩国互联网振兴院近日表示,韩国电信与互联网机构将研发并推广旨在有效保障智能手机信息储存与传输安全的韩国加密函式库(cryptography libraries)和应用程序。 用于智能手机的加密函式库是将韩国本土加密技术改良为最适合于智能手机的技术,可用于处理文件、图片与视频及手机付款等的应用程序。有关人士称,韩国加密函式库与国外“公开密钥加密系统”(public key cryptosystem)相比,运转速度将提高60%左右。 据了解,KCC和KISA计划通过KISA官网(seed.kisa.or.kr)和韩国三家移动运营商(SKT、KT、LG U )程序开发网站向应用程序研发人员免费提供韩国加密函式库。应用程序研发人员可利用加密函式库开发出在智能手机上能安全储存并传输诸如地理位置信息、个人信息和金融信息等的应用程序。加密应用程序将设计成Android、iPhone、移动版Window三个版本,并通过三家移动运营商和苹果Appstore向用户免费提供。

作者:阿里聚安全
地址:https://zhuanlan.zhihu.com/p/25261296

近日,5G时代将迎来崭新的一页,因为有别于此前需要5G Mod加持的Moto Z3,目前真正意义上的首款5G手机三星Galaxy S10 5G已经在韩国市场开售。同时韩国运营商也将在本周五正式推出5G商用服务,也使得其成为了首批推出这一服务的国家。

新的Blackphone宣称提供业界最高的移动设备安全水平,但它是一款真正的企业级设备吗?就此,Michael Cobb进行了探讨。

动态分析工具

[Android

不换卡也无需换号就能用5G

图片 1

Hooker]()

此项目提供了各种工具和应用程序,可用于自动拦截和修改目标应用程序所做的任何API调用。

AppAudit- 在线工具(包括一个API)使用动态和静态分析检测应用程序中的隐藏数据泄漏。

BareDroid- 在Android设备上大规模支持裸机分析。

CuckooDroid- Cuckoo Sandbox的扩展,CuckooDroid带来了执行和分析Android应用程序到Cuckoo的功能。

Droidbox- DroidBox是开发来提供Android应用程序的动态分析

Droid-FF

  • Droid-FF是一个可扩展的模糊框架Android

Drozer- Drozer允许您通过承担应用程序的角色并与Dalvik VM,其他应用程序的IPC端点和基础操作系统交互来搜索应用程序和设备中的安全漏洞。

Marvin- Marvin是一个分析Android应用程序以搜索漏洞的系统,并允许通过其版本历史跟踪应用程序。

Inspeckage- Inspeckage是一个为Android应用程序提供动态分析的工具。通过应用hook到Android API的功能,Inspeckage将帮助您了解Android应用程序在运行时做什么。

PATDroid- 用于分析Android应用程序和系统本身的工具和数据结构集合。形成AppAudit的基础。

当然,目前国内的5G建设也在如火如荼的进行,根据此前各方公布的信息来看,各大运营商的5G网络试商用正在不断推进。中国电信近日宣布,其四川公司在现网环境下,通过现网无线基站和核心网设备试点版本的升级,已在成都率先打通了中国电信全国首个5G语音通话和视频通话。

我听说了最近发布的Blackphone,我也正在考虑投资这类技术,它的客户为少数面临高风险的手机用户,主要如高管和法律团队成员。尽管Blackphone还不是随处可见,但当它被广泛使用时,它会提高移动安全市场水准足以证明该应用场景下购买它的价值吗?

逆向工程工具

Androguard- 反向工程,Android应用程序的恶意软件和好的软件分析

Android Apk decompiler

  • 在线反编译为Apk和Dex Android文件

Android loadble内核模块

  • 它主要用于在受控系统/仿真器上进行反转和调试。

AndBug- Android调试库

ApkTool- 用于反向工程Android Apk文件的工具

APK Studio- APK Studio是一个IDE,用于在单个用户界面中反编译/编辑然后重新编译Android应用程序二进制文件。

Bytecode-Viewer

  • 一个Java 8 Jar和Android APK反向工程套件(解码器,编辑器,调试器等)

ClassyShark- Android可执行文件浏览器,用于分析APK。

CodeInspect- 用于Android和Java应用程序的基于Jimple的反向工程框架。

dedex- 用于反汇编Android DEX文件的命令行工具。

dextra- dextra实用程序开始了它的生命,作为AOSP的dexdump和dx - dump的替代品,两者都相当基本,并产生丰富,但非结构化的输出。除了支持所有的功能,它还支持各种输出模式,特定类,方法和字段查找,以及确定静态字段值。我更新了它以支持ART

Dex2Jar- 使用android .dex和java .class文件的工具

dexdisassembler- 一个用于拆卸Android DEX文件的GTK工具。

Enjarify- Enjarify是一个工具,用于将Dalvik字节码转换为等效的Java字节码。这允许Java分析工具分析Android应用程序。

Fern Flower

  • FernFlower Java反编译器

Fino- Android小型检测工具

图片 2

奥巴马总统使用唯一一款NSA批准的Blackberry One手机,从而确保他的移动通信保持机密性,而我们其余的人可以使用什么手机才能确保安全呢?

Introspy-Android

Blackbox工具来帮助了解Android应用程序在运行时做什么,并帮助识别潜在的安全问题。

JD-Gui- 快速Java解压缩器,方便阅读java源代码

JEB

  • 交互Android Decompiler

Lobotomy- Lobotomy是一个Android安全工具包,将自动执行不同的Android评估和逆向工程任务。Lobotomy工具包的目标是提供一个控制台环境,允许用户加载其目标Android APK一次,然后拥有所有必要的工具,而不需要退出该环境。1.2版本将保持开源。

smali- Android的dex格式的汇编/反汇编程序

smali_emulator

  • 模拟由apktool生成的smali源文件,例如,以便在APKs中取消模糊处理和加密。

Strongdb- Strongdb是一个用Python编写的gdb插件,用于帮助调试Android Native程序。主要代码使用gdb Python API。

[Xenotix APK

值得一提的是,中国电信此次拨通的5G电话有个特点,即不换卡不换号就可以体验5G高速上网以及语音业务,因此对于许多想要第一时间体验5G的用户无疑是个福音。

随着Edward Snowden披露的NSA监听程度,公众关于移动设备安全的担忧急剧增加。这些担忧已转化为一个“巨大需求”,由SGP技术提供的、最新可用的防窃听Blackphone设备。总部在瑞士的SGP技术是西班牙智能手机制造商Geekphone和Silent Circle的合资企业。Silent Circle是一家安全通信公司,由PGP开发者Phil Zimmermann、前美国海报突击队成员(U.S. Navy SEAL)及安全专家Mike Janke,与苹果全盘加密技术开发者Jon Callas共同创建。最近一轮的资金筹集中看到其他有影响力的个人加入,给予这项业务更为强壮的基础—投资任何新技术领域时考虑的重要因素。

Reverser]()

一个开源的Android应用程序包(APK)反编译和反汇编由dex2jar,baksmali和jd-core

不过根据过去的经验,当年从3G到4G的变迁之中,在大家要升级到4G资费套餐时,往往需要到营业厅更换SIM卡,但并不需要更换号码。而在从4G到5G的升级之中,中国电信却告诉大家,既不需要换SIM卡也不需要不换号,这其中的差别到底在哪,难道是电信自主研发的独门秘籍,通过这种方式来招揽更多消费者吗?

Blackphone有望保持运营商及厂商中立,它运行在开源项目PrivatOS上,这是安卓系统的一个加固版本。它还配备一套应用软件以及其他用于安全优化的隐私工具。那些足够幸运已购买到它的用户,可获得语音、视频以及短信通信加密;文件安全传输、Web匿名浏览、Wi-Fi的智能禁用、远程擦除以及其他防窃取的特性。Blackphone用户还可以细粒度控制已安装的应用程序如何访问数据和手机功能。对于员工有存储和交流高度敏感信息需求的组织,这款产品值得评估。

取证工具

图片 3

正如我们在“心脏出血”漏洞缺陷所见,即使是仔细审核过的代码也可能存在严重漏洞,因此安全团队应该完成对Blackphone的风险评估,测试它是否如预期表现并符合企业安全策略要求。我们应该通过使用Wireshark一类网络分析工具,花时间去检查进、出流量,从而理解现实生活场景中通信的安全性。Blackphone的开发者承认它并非“NSA验证”,并且那些正被一部Blackphone呼叫的手机也需要具备相同的预防措施,从而提供完整的端到端安全。(Silent Circle应用分别支持加密iOS及安卓手机的电话和短信内容。)

bandicoot

一个Python工具箱,用于分析手机元数据。它提供了一个完整,易于使用的环境,数据科学家分析手机元数据。只需几行代码,加载数据集,可视化数据,执行分析和导出结果。

Android Connections Forensics- 使法庭调查员能够连接到其原始进程

Android Forensics- 开源Android Forensics应用程序和框架

Android Data Extractor Lite

当然不是,在万能的搜索引擎上我们发现,早在去年的同一时间,中国移动在数字中国建设峰会期间就做出过类似的表述:用户无需更换SIM卡就可以使用5G网络,不过移动依旧会为5G网络提供新的SIM卡,有需要的用户可以到营业厅进行更换。换句话说,其实在从4G到5G的升级中,不需要更换SIM卡和换号其实并非运营商的功劳。

如果市场对Blackphone强劲的初始需求一直持续,这也许有助于提升移动设备安全的市场水准,因为其他厂商不得不提供相似或更优的安全和隐私保护特性去避免失去市场份额。另一款已经在这个市场的安全手机是General Dynamics提供的Sectéra Edge,它是经认证可保护分级为“绝密”的无线语音通信、以及分级为“秘密”的电子邮件和站点访问。如果这类产品超出你的预算,可以考虑CellCrypt Mobile,它是一款可为安卓、黑莓、iPhone以及诺基亚智能手机提供端到端、实时加密的应用软件,对于设备没有特别的要求。

BitPim

一个程序,允许您查看和操纵数据在LG,三星,三洋和其他制造商的许多CDMA手机。

fridump- 一个开源内存转储工具,主要针对渗透测试人员和开发人员。

LiME- (以前称为DMD)是一个可加载内核模块(LKM),它允许从Linux和基于Linux的设备(如Android提供的设备)中获取易失性内存。

Open Source Android Forensics

Project RetroScope

P2P-ADB

  • 电话到手机Android Debug Bridge - 一个用于从其他手机“调试”手机的项目。

pySimReader

  • 它允许用户写出任意原始SMS PDU到SIM卡。

什么情况才需要换卡呢?

类似Blackphone这样的新型设备将要求安全意识的培训,这样用户知道如何最大限度发挥其特性,以保持数据和通信的安全,特别是因为智能手机安全的主要威胁仍是用户自身。我们必须执行可接受的使用策略,尤其是当它涉及到在终端防止窃听。还要注意的是,我们不应在可能被偷听的公共场所进行敏感对话。我们还应建立信息分级策略,规定交换某类信息可采用的方式,以防止不小心的对话泄露信息。

开发工具

[Android

要搞清楚这一切到底是怎么回事,先要明白为什么当初从3G到4G的升级时,用户需要更换SIM卡。事实上,SIM卡(Subscriber Identification Module )也被称为是用户身份识别卡,GSM数字移动设备则需要有这一设置才能进行通话。

【编辑推荐】

SDK]()

Android软件开发工具包(SDK)包括一整套开发工具。这些包括调试器,库,基于QEMU的手持机仿真器,文档,示例代码和教程。

Android NDK

  • NDK是一个工具集,允许您使用本地代码语言(如C和C )来实现应用程序的各个部分。

[ADT

图片 4

Bundle]()

Android开发工具(ADT)包是一个单一的下载,包含开发人员开始创建Android应用程序的一切。

Android Studio IDE或Eclipse IDE Android SDK工具 Android 5.0(Lollipop)平台 Android 5.0模拟器系统映像与Google API

Native Android Runtime Emulation- 本机Android仿真器。
静态分析工具
Amandroid

  • 一个数据流分析框架的Android应用程序的安全审查。

Androwarn

  • 另一个静态代码分析器的恶意Android应用程序

ApkAnalyser

  • 一个静态的虚拟分析工具,用于检查和验证Android应用程序的开发工作。

APKInspector- 一个强大的GUI工具,分析人员分析Android应用程序。

droid-hunter

  • Android应用程序漏洞分析和pentesting工具。

Error-Prone

  • 将常见的Java错误作为编译时错误

[FindBugs

需要指出的是,SIM卡并不是随移动通信设备一起出现的,在“0G”也就是前蜂巢式技术(Pre-cellular)时代,移动通信系统就没有SIM卡这种东西,而是严格的一机一号,换手机就必须换号码。同时,由于缺乏行之有效的数据加密方案,整个通讯系统的安全性相当之低。而SIM卡的主要作用之一,就是加强通讯数据的安全性,用于对用户的鉴权、通讯数据的加密,以及信息存储。

FindSecurityBugs]()

苏州市科学技术局,Blackphone能否解决企业移动设备安全问题。FindSecurityBugs是FindBugs的扩展,包括Java应用程序的安全规则。它会找到加密问题以及Android的具体问题。

早在2G时代就流行的普通SIM卡,在很长一段时间内确实令移动数据通讯的安全性提升了不少,不过随着时代的进步,老旧的加密机制也越来越不合时宜。由于SIM卡主要包含了IMSI(国际移动用户识别码)、KI值,以及加密算法和运营商信息等等,而且只支持EAP-SIM单向鉴权,即网络对SIM卡进行合法性鉴权,缺少用户对无线网络的反向认证,这一缺憾也给了“伪基站”钻空子的空间。

FlowDroid

FlowDroid是一个用于Android应用程序的上下文,对敏感对象和生命周期的静态分析工具。

Lint- Android lint工具是一个静态代码分析工具,检查您的Android项目源文件的潜在错误和优化改进正确性,安全性,性能,可用性,可访问性和国际化。

Smali CFGs

  • Smali控制流程图

Smali和Baksmali- smali / baksmali是dalvik使用的dex格式的汇编/反汇编器,Android的Java VM实现。

SPARTA- SPARTA项目(可靠可信应用程序的静态程序分析)正在构建一个工具集,以验证手机应用程序的安全性。

Thresher- thresher是一个静态分析工具,专门检查堆可达性。以便对由分析点报告的警报进行精确的符号分析。

VectorAttackScanner– 这种工具用于分析Android应用程序以检测攻击点,例如接收器,服务,进程和库

图片 5

hooking工具

ADBI- Android动态二进制测试(ADBI)是一种用于动态跟踪Android本机层的工具。

Cydia Substrate

  • 适用于Android的Cydia Substrate支持开发人员使用注入到目标进程内存中的Substrate扩展对现有软件进行更改。

Diff-GUI

  • 用于在Android上注入JavaScript的GUI(使用Frida)

Dynamic Dalvik Instrumentation Toolkit

  • 简单易用的Dalvik代码动态仪器工具包。

Frida

  • 注册JavaScript以探索Android上的本机应用

因此在从3G到4G的转型期,3GPP推出了一个新的移动通信协议——LTE。鉴于3G网络安全机制的漏洞,LTE的分层安全机制使得这一全新的鉴权方式诞生。4G LTE在WCDMA和TD-SCDMA上使用鉴权与键值协商流程的基础上,加入了一个新的加密密钥参数Kasme,在对于终端对网络的验证上也加强了措施,仅允许搭载 UIM(User Identity Model)用户识别模块的USIM卡,在完成对网络进行合法性认证后才接入网络。

Xposed框架

Xposed框架使您能够在运行时修改系统或应用程序方面和行为,而无需修改任何Android应用程序包(APK)。

更为重要的一点是,这一规则已经在3GPP组织的规范TS 33.401中被明确规定,“Access to E-UTRAN with a 2G SIM or a SIM application on a UICC shall not be granted(使用2G SIM或实体卡上的SIM应用程序访问LTE无线接入网,是不应被批准的)”。所以目前我们从三大运营商处获得的SIM卡,实际上都是UIM/SIM复合卡,各大手机厂商出售的智能手机产品也是支持GSM/WCDMA/TD-SCDMA/TD-LTE的多模产品。

在线分析

Android Observatory

  • Android Observatory是一个面向大量Android应用程序存储库的Web界面。它允许用户搜索或浏览成千上万的Android应用程序,并检索这些应用程序的原数据。

Android APK Decompiler

  • 解压APK文件变得容易。在线反编译。

AndroidTotal- AndroTotal是一个免费的服务,扫描可疑APK与多个手机防病毒应用程序。

Anubis- 未知二进制文件的恶意软件分析。

Akana- Akana是一个在线Android应用程序Interactive Analysis Enviroment(IAE),它结合一些插件来检查恶意应用程序。

App360Scan- 说明应用程序使用的权限,以及它可能对用户造成的危害。

CopperDroid- 它自动执行Android恶意软件的开箱即用的动态行为分析。

Dexter- Dexter是一个具有协作功能的交互式Android软件分析环境。

Eacus- Android Lite应用分析框架

[Mobile

图片 6

Sandbox]()

移动沙箱提供静态和动态恶意软件分析,结合Android应用程序的机器学习技术。

NVISO ApkScan

  • NVISO的ApkScan web应用程序允许您扫描Android应用程序的恶意软件。

Sandroid- 一个自动Android应用程序分析系统

[Virus

而且大家对于换卡这件事感受非常明显的原因还有一个因素,就是在3G升4G的同时期,标准的SIM卡,开始被新一代的MicroSIM/Mini-SIM,以及更新的Nano-SIM卡所取代。消费者对于从3G到4G的SIM卡,最直观的感受就是样式有了明显的变化。

Total]()

VirusTotal是一个免费的服务,可以分析可疑文件和URL,并有助于快速检测病毒,蠕虫,木马和各种恶意软件。

5G网络的鉴权流程基本没变

Android测试分发

Android Tamer- Android Tamer是一个虚拟/现场平台Android安全专业人士。

Androl4b- 基于Ubuntu Mate的Android安全虚拟机。它包括来自不同安全专家的最新框架,教程和实验室的集合,以及用于逆向工程和恶意软件分析的研究人员

Appie- 一个便携式软件包为Android Pentesting和一个真棒的替代现有的虚拟机。它是Android应用安全评估,Android Forensics,Android恶意软件分析所需的所有工具的一站式答案。

苏州市科学技术局,Blackphone能否解决企业移动设备安全问题。AppUse- AppUse是由AppSec Labs开发的VM(虚拟机)。

Mobisec- 移动安全测试环境

NowSecure Lab community edition

  • 它对移动应用程序进行动态分析(网络流量)

Santoku Linux- Santoku是一个操作系统,可以作为独立操作系统在VM外部运行。

Shadow OS

  • ShadowOS是一款由Fortify on Demand设计的免费工具,可帮助安全和QA团队测试Android应用程序的安全漏洞。它是一个基于KitKat的自定义操作系统,它拦截设备操作的特定区域,并使安全漏洞的测试应用程序更容易。

Vezir Project

  • 另一个Linux虚拟机的移动应用程序Pentesting和移动恶意软件分析。

至于5G不需要换号, 最重要的原因则是5G NR的注册鉴权流程与LTE相比变化不大,并且在认证协议上使用了EAP-AKA,以实现统一框架下的双向认证,可支持非3GPP的接入,并使用5G-AKA增强归属网络控制。而在USIM卡增加运营商设定的公钥之外,首次附着网络使用公钥加密IMSI,解决初始接入身份泄露问题,并提供空口和NAS层信令的加密和完整性保护。

Android Vulnerable应用程序

Android Challenges of Various Conferences/Events

Damn Vulnerable Android应用程序

  • DIVA(Damn不安全和易受攻击的应用程序)是一个应用程序故意设计为不安全。

Owasp Goatdroid项目

ExploitMe labs by SecurityCompass

InsecureBank V2

Sieve- Sieve是一个密码管理器应用程序,充满了安全漏洞。

图片 7

Android安全应用框架

[Android

而之所以能这么说,其实此前美国AT&T搞的“5G E”也能够证实这点。5G Evolution其实就是目前4G-LTE网络的升级版,也就是使用了千兆4G级别的LTE-A技术,包括了上下行载波加强、256QAM、4x4 MIMO等技术升级。

IMSI-Catcher-Detector]()

它是一个用于检测IMSI-Catchers的应用程序。IMSI捕获器是在目标移动电话和服务提供商的真实塔之间起作用的假移动塔(基站)。因此,他们被认为是中间人(MITM)攻击。在美国,IMSI捕捉器技术被称为“StingRay”。

Am I Vulnerable- AIV是一种Android安全应用,可通知用户在设备上安装的应用版本中发现的公开已知漏洞。

[Android Vulnerability Test

同时,5G解决换卡的烦恼,还与3G到4G时代的前车之鉴,给了3GPP很好的示范。5G NR在一些规范上参照,甚至是照搬了以往4G LTE中的一些可行方案,在一定程度上还可以起到了“后向兼容”的效果。5G安全防护架构延就沿用了此前4G LTE安全参考架构,相比之前增加了例如非3GPP接入、切片和虚拟网元的安全、网络开放接口安全,和安全管理等安全实体。

Suite]()

本着开放数据收集的精神,并在社区的帮助下,让我们对Android安全状态的一个脉搏。NowSecure提供了一个设备上的应用程序来测试最近的设备漏洞。

NetHunter

  • Kali Linux NetHunter项目是第一个用于Nexus设备的开源Android渗透测试平台。NetHunter支持无线802.11帧注入,一键式MANA Evil接入点设置,HID键盘(Teensy类攻击)以及BadUSB MITM攻击,并且建立在Kali Linux发行版和工具集的坚固肩膀上。

Koodous- Koodous是一个协作平台,将在线分析工具的功能与分析人员之间的社交互动相结合,通过一个庞大的APK存储库,专注于检测Android应用程序中的欺诈模式。您可以下载他们的Android应用程式,检查您的装置是否包含任何可疑应用程式。

[SecureMe

图片 8

Droid(SMD)]()

是一种安全应用程序,用于扫描现有应用程序,新安装和更新的应用程序已知的漏洞和安全问题的Android设备。

总的来说,相比于从2G/3G到4G的变化,5G和4G的网络鉴权在流程与逻辑上基本没有区别,更安全的5G在安全性提升上,主要靠运营商,并不是靠着UIM/SIM,而服务端的技术升级,也并不意味着客户端同样需要升级。

应用程序安全框架

AndroBugs- AndroBugs框架是一个Android漏洞分析系统,可帮助开发人员或黑客在Android应用程序中发现潜在的安全漏洞。其命令行界面和输出提供了极高的效率和精度。

AppMon- AppMon是一个运行时安全测试和分析框架macOS,iOS和Android应用程序。对于移动渗透测试人员来说,通过在运行时检查API调用来验证源代码扫描器的安全问题报告,来验证安全问题报告是非常有用的。还可用于监控应用程序的整体活动,并专注于看起来可疑的事情,例如数据泄露,凭据,令牌等。您可以使用预定义的脚本或者编写自己的在运行时修改应用程序的功能/逻辑,例如欺骗DeviceID ,欺骗GPS坐标,伪造应用内购买,绕过苹果的TouchID等。

AppRay- App-Ray查看您的应用程序,并帮助您了解他们真正做什么。在全自动测试中,App-Ray分析应用程序并突出显示漏洞,数据泄露和隐私泄露。

Mobile Security Framework (MobSF)

  • 移动安全框架是一个智能的,一体化的开源移动应用程序(Android / iOS)自动笔测试框架,能够执行静态和动态分析。

Qark- 快速Android审查工具包 - 此工具旨在寻找几个安全相关的Android应用程序漏洞,无论是在源代码或打包APK。该工具还能够创建“概念验证”部署APK和/或ADB命令,能够利用它发现的许多漏洞。没有必要根植测试设备,因为此工具侧重于在其他安全条件下可以利用的漏洞。

SUPER- 安全,统一,强大和可扩展的Rust分析器可用于自动分析应用程序的漏洞。

当然,5G确实不需要换卡也不需要换号。但是问题来了,想要使用5G就要换手机呀,就是不知道手机该去哪儿领呢?

Android Malwares相关

backdoor-apk

  • 一个shell脚本,它简化了向任何Android APK文件添加后门的过程。

Contagio Mini Dump

  • Contagio mobile mini-dump提供了一个上传保管箱,可供您分享您的移动恶意软件样本。

Android Malwares Databases- 不再维护。

Android Malware Evaluating Tools

Maldrolyzer

  • 从Android恶意软件(C&C,电话号码等)中提取“可操作”数据的简单框架

Spreitzenbarth - Android-Malware

  • Families的列表及其主要功能。

教程

[Android Application Security

Series]()

一个简单和详细的Android应用程序安全系列。有益于Android安全专业人员和开发人员。

Android Forensics Course

ARM简介

Android Security Articles By Infosec Institute

Learning Android Bytecode

Android漏洞列表

Android Vulnerabilties

Android Vulnerability/Exploit List

Android CVE Details

Android安全库

Android Password Store

Android Pinning- Android上的证书固定的独立库项目。

Conceal By Facebook- Conceal提供了简单的Android API,用于执行快速加密和数据认证。

Dexguard- DexGuard是我们专门的优化和obfuscator的Android。创建更快,更紧凑,更难以破解的应用程序。

Encryption

  • 加密是一种向Android项目创建加密字符串的简单方法。

CWAC-Security

  • 帮助您帮助您的用户保护他们的数据

IOCipher- IOCipher是用于应用程序的虚拟加密磁盘,而不需要设备根目录。

[Java AES

Crypto]()

一个简单的Android类,用于加密和解密字符串,旨在避免大多数类的经典错误。

NetCipher- 这是一个Android图书馆项目,提供多种手段来提高移动应用程序的网络安全性。

OpenPGP API

  • OpenPGP API提供了执行OpenPGP操作(例如签名,加密,解密,验证等)的方法,无需后台线程的用户交互。

OWASP Java HTML Sanitizer

Proguard- ProGuard是一个免费的Java类文件缩小器,优化器,混淆器和预校验器。它检测和删除未使用的类,字段,方法和属性。

Spongy Castle

  • 为Android免费下载Bouncy Castle

SQL Cipher

  • SQLCipher是SQLite的开源扩展,为数据库文件提供透明的256位AES加密。

Secure Preferences

  • Android共享首选项封装比加密共享首选项的键和值。

Trusted Intents

  • 用于Android应用程序之间灵活的信任交互的库

最佳实践

NIST网络安全实践指南:“移动设备安全:云和混合构建”

Android安全概述

开发人员的Android安全提示

移动应用渗透测试备忘录

MobileAppReportCard:Microsoft Excel电子表格,用于对Android和iOS移动应用程序进行一致的安全评估

项目/ OWASP移动安全项目 - 十大移动控制

开发商PCI移动支付接受安全指南

Android中的安全编码

Android应用程序安全设计/安全编码指南

更多文章请关注公众号

欢迎加入微信交流群. 加我微信 "halen917", 拉你入群.

本文由9778818威尼斯官网发布于科技技术,转载请注明出处:苏州市科学技术局,Blackphone能否解决企业移动设

您可能还会对下面的文章感兴趣: