I dag lever vi med tusenvis av apper på mobiltelefonene våre, og likevel er det få som egentlig vet hvordan de skal bruke dem. Hva gjør egentlig hver Android-app inni?Hvilke tillatelser bruker den, eller hvordan påvirker den enhetens ytelse og sikkerhet? For utviklere, sikkerhetsrevisorer og markedsføringsteam er det ikke lenger valgfritt å forstå og analysere Android-apper: det er en nøkkelkomponent for å lage pålitelige, raske og effektive produkter. respekter personvernet.
I denne artikkelen finner du en fullstendig oversikt over Analyse av Android-apper fra flere vinklerVerktøy for inspeksjon av APK-er og installerte apper, utviklingsverktøy som Android Studio APK Analyzer, revisjonsrammeverk som Inspectage, sikkerhetsmetoder som OWASP MAS og en omfattende oversikt over de viktigste mobilanalyseplattformene (Firebase, Contentsquare, Mixpanel, Countly, Localytics, RevenueCat, AppDynamics og AppsFlyer). Alt forklart på spansk (Spania), med en vennlig tone, men uten at det går på bekostning av teknisk nøyaktighet.
Hva er Android-appanalyse, og hva brukes det til?
Når vi snakker om å analysere Android-applikasjoner, kan vi referere til begge deler teknisk dissekere APK-en (tillatelser, kode, manifest, tjenester osv.) samt å studere bruksmålinger, brukeratferd, ytelse, feil eller til og med annonsesvindel. De er to forskjellige, men komplementære verdener: den tekniske siden sikrer at appen er sikker og robust; produktanalysesiden lar deg forstå om appen oppfyller sine forretningsmål.
Fra et teknisk synspunkt kan analysen deles inn i statisk analyse og dynamisk analyseStatisk overvåking studerer APK-en eller koden uten å kjøre den (dekompilering, tillatelsesanalyse, gjennomgang av AndroidManifest.xml osv.). Dynamisk overvåking observerer appens oppførsel mens den kjører, logger nettverkstrafikk, kall til sensitive API-er, bruk av kryptografi eller filoppretting.
Innen brukeropplevelse og forretningsanalyse er fokuset på Forstå hvordan folk bruker appen, hvor de står fast og hvorfor de konverterer eller forlater denDet er her systemer for sporing av hendelser, varmekart, øktregistrering, inntektsdashboards, konverteringstrakter og verktøy for mobil markedsføring kommer inn i bildet.
Verktøy for å analysere APK-er og installerte apper
For å begynne å forstå hva en Android-app gjør internt, finnes det spesialiserte verktøy som lar deg inspiser installerte APK-er eller lagrede .apk-filer på enheten. Disse verktøyene viser alt fra grunnleggende data (navn, versjon, størrelse) til svært fine detaljer som tillatelser, bakgrunnstjenester eller digital signatur.
En av de mest populære appene på dette området er en APK-analysator med åpen kildekode som kan skryte av å være den mest nedlastede APK-analyseappen på Google PlayDette verktøyet lar deg generere en svært komplett rapport over både allerede installerte apper og .apk-filer som ennå ikke er installert, noe som er flott for å sjekke en app før du gir den tilgang til enheten.
Den typiske rapporten inneholder informasjon som appnavn, versjon, minimumsversjoner og målversjoner av AndroidInstallasjons- og oppdateringsdatoer, sertifikat- og signeringsdata, brukte tillatelser (med beskrivelse), aktiviteter, tjenester, kringkastingsmottakere og innholdsleverandører. Den beskriver også maskinvarekrav (obligatorisk og valgfritt) og tilbyr fullversjonen av AndroidManifest.xml-filen med mulighet for å lagre den i et menneskelig lesbart format.
En annen nøkkelfunksjon er evnen til å Pakk ut APK-en til en installert app og lagre den på enhetens lagring, samt eksporter ikonet. Dette er nyttig for revisjon, sikkerhetskopiering, testing i isolerte miljøer eller rett og slett gjennomgang av en bestemt versjon før oppdatering.
Denne typen analysator inneholder vanligvis også spesifikke seksjoner for tillatelser og samlet statistikkPå den ene siden lar den deg liste opp alle tillatelsene som enhetens apper ber om, se hvilke apper som ber om hver tillatelse, se beskrivelsen og beskyttelsesnivået, og enkelt finne de mest privilegiekrevende appene. På den andre siden tilbyr den statistikk over samlingen av installerte apper: fordeling av mål-Android-versjoner, signaturtyper, gjennomsnittlig antall aktiviteter eller tillatelser per applikasjon, osv.
Android Studio APK Analyzer og apkanalyzer-verktøy
For de som utvikler i Android Studio, inneholder Googles egen plattform en Kraftig APK-analysator integrert i utviklingsmiljøetDette verktøyet kan åpnes ved å dra en APK eller apppakke til redigeringsvinduet, dobbeltklikke på APK-en i byggemappen eller fra byggemenyen under alternativet «Analyser APK». Det har også en kommandolinjeversjon kalt apk-analysator.
APK Analyzer lar deg utforske innholdet i filen hierarkisk, noe som internt ligner på en ZIP-fil med organiserte mapper og filerHver enhet (mappe eller fil) viser sin rå filstørrelse og et estimat av den komprimerte nedlastingsstørrelsen slik den leveres av Google Play, sammen med prosentandelen den representerer av den totale størrelsen. Dette hjelper med å raskt identifisere hvilke ressurser, biblioteker eller DEX-filer som bruker mest plass.
Et veldig interessant poeng er måten APK Analyzer Gjenoppbygg den endelige AndroidManifest.xml-filenI prosjekter med flere produktvarianter eller biblioteker med egne manifester, kombineres alle disse filene til én fil under kompilering. APK-en forblir i binært format, men parseren konverterer den tilbake til lesbar XML, som viser nøyaktig manifestet som systemet vil se på enheten og gjør det enklere å oppdage endringer introdusert av byggeprosessen.
Denne manifestvisningen inkluderer også lo-egenskaperDette varsler deg om feil og advarsler, for eksempel ukjente XML-skjemaer. Noen varsler (for eksempel de for uregistrerte skjemaer) kan trygt ignoreres og kan undertrykkes ved å legge til skjemaet i ignoreringslisten i Android Studio-innstillingene.
En annen grunnleggende komponent i APK Analyzer er DEX-filviseren, som tilbyr tellere for klasser, pakker, definerte og refererte metoderDette er nyttig, blant annet for å sjekke om du nærmer deg grensen på 64K metoder per DEX, avgjøre om du skal aktivere multidex, eller om avhengigheter må fjernes.
Klassetreet viser metoder definert i DEX og refererte metoder (inkludert de fra tredjepartsbiblioteker og standard Android- og Java-API-er). Verktøyet skiller mellom de to, noe som hjelper til med å forstå hvilken del av metodebudsjettet som skyldes tilpasset kode og hvilken del som skyldes avhengigheter.
DEX-visningen har også funksjoner filtre for å vise eller skjule felt, metoder og refererte metoderNår du utvider en klasse, kan du velge om du bare vil vise lokale definisjoner eller alle eksterne referanser. Elementer vist i kursiv indikerer referanser uten en definisjon i den DEX-en; det vil si metoder eller felt som ligger i andre DEX-filer eller i rammeverket.
For prosjekter som bruker obfuskering og kodereduksjon med ProGuard eller R8, tillater analysatoren lasting kartleggingsfiler (mapping.txt), seeds.txt og usage.txt kommer fra samme bygg. Når importen er fullført, aktiveres tilleggsfunksjoner: deobfuskering av navn for å gjenopprette de opprinnelige klassene og metodene, utheving av noder som ikke kan slettes (frø), og visning av noder som ble slettet under reduksjonsprosessen.
Dialogboksen for filopplasting peker vanligvis automatisk til den vanlige banen (app/bygg/utdata/tilordninger/utgivelse/og søker etter eksakte navn eller navn som inneholder «mapping», «usage» eller «seeds» som slutter på .txt. Med denne informasjonen kan analysatoren vise beskyttede elementer i fet skrift og stryke over de som ikke lenger finnes i den endelige DEX-en.
DEX-visningen inkluderer også en hurtigmeny med svært kraftige funksjoner: Vis bytekoden (smali), søk etter bruksområder og generer ProGuard-bevaringsregler.Ved å velge en klasse, metode eller et felt kan du åpne en dialogboks med koden i en liten representasjon, starte et søk etter hvor symbolet brukes i hele DEX-en, eller automatisk generere en «keep»-regel for å forhindre at den reduseres i fremtidige bygg.
Utover koden lar APK Analyzer deg også sjekke den endelige versjonen av mange ressurser, for eksempel bilder, oppsett eller selve resources.arsc-filenFor eksempel kan du se lokaliserte strenger på forskjellige språk og i forskjellige konfigurasjoner, sjekke hvilken ressurs som har overskrevet hvilken i en gitt variant, eller se innholdet i binære filer som vanligvis ikke åpnes manuelt.
Til slutt inkluderer verktøyet en veldig nyttig funksjon for å gjennomgå bygg: sammenlign to APK-er eller apppakkerÅ laste inn den gjeldende versjonen og sammenligne den med et tidligere publisert artefakt gir en oversikt over størrelsesforskjellene per enhet, ideelt for å forstå hvor en økning i vekt mellom versjoner har kommet fra (nye bilderessurser, flere biblioteker, kodeendringer osv.).
Bruk mobilanalyse for å forstå brukeropplevelsen
Utover ren teknisk analyse er det viktig å ha verktøy som lar oss måle hva brukerne gjør i appenHvordan brukere navigerer på skjermene, hvor feil oppstår, hvilke kampanjer som gir trafikk av høy kvalitet og hvilke som ikke gjør det. Landskapet av mobile analyseplattformer er enormt, så det er viktig å definere forretningsbehovene dine tydelig før du velger en.
Et første filter innebærer å spørre deg selv om du, i tillegg til å innhente bruks- og ytelsesmålinger, trenger verktøyet fremme samarbeid mellom team (produkt, markedsføring, UX, utvikling, support) eller som lar deg analysere app- og mobilnettdata samtidig. Et annet viktig kriterium er integrasjon med andre løsninger du allerede bruker, for eksempel CRM-er, verktøy for markedsføringsautomatisering eller eksperimenteringsplattformer.
Blant de mest brukte løsningene i Android-økosystemet skiller Firebase seg ut som fleksibel utviklingsplattform, hosting og integrert analyseFirebase lar deg lage apper for Android, iOS og nett ved å utnytte database- og autentiseringsinfrastrukturen, samtidig som det tilbyr et robust system for analyse og feilrapportering.
I sin rolle som et analyseverktøy tillater Firebase samle kvantitative data om bruk, trafikk og interaksjon, generere automatiske og tilpassede hendelser (opptil flere hundre), overvåke hvor og hvor ofte appen feiler, og støtte markedsførings- eller produktbeslutninger med objektive data i stedet for antagelser.
En annen plattform med sterkt fokus på produkt- og digital opplevelse er Contentsquare, som går et skritt utover klassiske målinger og tilbud. detaljert kartlegging av kundereiser, varmekart, øktrepriser og feilanalyseMålet er å forstå ikke bare hva som skjer i appen, men også hvorfor visse atferder oppstår: hvor brukerne står fast, hvilke områder av grensesnittet de ignorerer, eller hvilke elementer som genererer frustrasjon.
Moduler som Reiser gir et globalt overblikk over fullføre reiser fra brukeren kommer inn til de forlater Appen eller mobilnettstedet analyseres, og viktige ruter som er verdt å optimalisere identifiseres. Varmekart visualiserer områdene som klikkes mest eller ignoreres mest, øktavspilling gjennomgår individuelle økter for å oppdage mønstre (for eksempel gjentatte klikk med sinne på samme handlingsfremmende oppfordring), og produktanalyser analyserer beregninger som funksjonsadopsjon, konverteringsfrekvens, anskaffelse og opplevd innsats.
Contentsquare inkluderer også en feilanalysemodul som grupper tekniske og funksjonelle feil etter påvirkninghjelper til med å prioritere hvilke som skal fikses først, og effektkvantifiseringsfunksjoner for å oversette disse problemene til tap i konvertering, inntekter eller retensjon, noe som er veldig nyttig når man skal begrunne endringer overfor interessenter.
En interessant casestudie er den av et team som, ved hjelp av denne typen produktanalyse, bekreftet mistanken sin om at Signaturskjermen på mobile enheter var forvirrende for brukerne.Da de sammenlignet nett- og mobildata, så de at mobilkonverteringene var klart lavere, undersøkte mobilopplevelsen i detalj, redesignet signatursiden med en mobil-først-tilnærming og klarte å forbedre tilpasningen til ulike enheter betydelig.
Avansert brukersegmentering og atferdsanalyse
For å dykke dypere inn i brukeratferd, er noen plattformer svært spesialiserte i segmentering og kohortopprettingMixpanel er et av de mest kjente eksemplene, designet for både produkt og markedsføring, og fokusert på å visualisere konverteringsveier og analysere hvordan ulike brukergrupper oppfører seg.
I Mixpanel kan brukere grupperes i kohorter i henhold til handlinger utført eller attributter deltFor eksempel personer som har startet en betalingsplan de siste 30 dagene, brukere som har prøvd en spesifikk funksjon, eller kunder som har gjort minst to kjøp. Systemets styrke ligger i de tilpassede egenskapene og segmenteringslogikken, som tillater oppretting av komplekse segmenter.
Tilpassede egenskaper kan kombineres attributter for hendelser, brukere eller grupper i nye, mer generelle egenskaper. For eksempel gruppering av ulike UTM-kilder for sosiale medier (Facebook, Instagram, Twitter) under en «Sosial»-egenskap for å analysere deres kombinerte oppførsel. Segmenteringslogikk lar deg opprette segmenter som har utført spesifikke kombinasjoner av handlinger, for eksempel å kjøpe både produkt A og produkt B.
Et annet verktøy som skiller seg ut, denne gangen med et sterkt fokus på personvern, er Countly, en analyseløsning for mobil, nett og datamaskiner som kan distribueres på selskapets egen infrastruktur, noe som gir absolutt kontroll over dataeneDette er spesielt interessant for regulerte sektorer eller selskaper med strenge samsvarskrav.
Countly tilbyr forbedret sikkerhet, sanntidstilgang til detaljerte data (rike profiler, engasjementsmålinger på individnivå) og moduler rettet mot analysere kundelojalitet og oppdage kundefrafallMed «Compliance Hub» kan du administrere datainnsamling i henhold til samtykker, samt forespørsler om eksport eller sletting, i samsvar med personvernforskriftene.
Markedsførings- og abonnementsplattformer med integrert analyse
Når hovedmålet er mobilmarkedsføring, finnes det spesifikke løsninger som kombinerer måling, segmentering og kampanjegjennomføring på én enkelt plattform. Localytics er et godt eksempel: det integrerer applikasjonsanalyse med meldings- og personaliseringsverktøy, noe som gjør det svært attraktivt for markedsføringsteam som trenger et enhetlig system.
Localytics tilbyr detaljerte kampanjerapporter for visning Hvilke handlinger har størst innvirkning på konvertering, oppbevaring, avkastning på investering, kundefrafall og avinstallasjoner?De prediktive analysefunksjonene bidrar til å identifisere brukere med høy sannsynlighet for å konvertere eller avbryte, slik at det kan sendes personlige meldinger i riktig øyeblikk.
Plattformen inkluderer også smarte tilpasningsmoduler for opprett segmenter basert på profil, atferd og historikk og derfra lansere kampanjer og opplevelser tilpasset brukerens kontekst, noe som forbedrer budskapenes relevans betydelig.
Innen abonnementsapper har RevenueCat blitt et nøkkelverktøy for mange team. Med en relativt enkel SDK-integrasjon tillater det administrere mobilabonnementer, samle inn målrettet analyse og til og med teste betalingsmurer uten å måtte oppfinne hjulet på nytt i hvert prosjekt.
RevenueCat tilbyr et dashbord fokusert på abonnementsmålinger: aktive prøveperioder, prøvekonverteringer, aktive brukere, inntekter og MRR. Det tilbyr også tilpassbare diagrammer med filtre og segmentering for eksempel å se hvordan gjentakende inntekter fordeles etter land eller etter plantype.
En av styrkene er A/B-testing av priser og betalingsmurer, noe som tillater Test forskjellige kombinasjoner av priser, pakker og kampanjer og mål effekten av hver variant på hele abonnementstrakten, fra det første besøket på betalingsmuren til langsiktig oppbevaring.
For observerbarhet av komplekse applikasjoner tilbyr AppDynamics en full-stack overvåkingstilnærming, som omfatter alt fra mikrotjenester og serverløse funksjoner til offentlige og private API-er, og til og med selve mobilappene. Målet er raskt oppdage ytelsesproblemer og finne rotårsakenenten det er i koden, i en avhengighet eller i en ekstern tjeneste.
AppDynamics lar deg korrelere data fra mobile enheter, nettlesere og tilpassede brukere til Sammenlign opplevelsen mellom ulike versjoner av appen og se hvor brukeropplevelsen lider. Den har bruksklare widgeter for å bygge detaljerte dashbord og en syntetisk overvåkingsmodul som simulerer brukerflyter og API-kall, og oppdager feil før de påvirker virkelige mennesker.
Til slutt fokuserer AppsFlyer spesifikt på markedsføringsteam som trenger å måle, tilskrive og beskytte mobilkampanjene sine. De tilbyr løsninger som spenner fra grunnleggende analyser til avanserte funksjoner, med særlig fokus på... oppdagelse av reklamesvindel (for eksempel roboter som genererer falske klikk).
I tillegg til svindelbeskyttelse lar AppsFlyer deg definere tilpassede hendelser i appen å koble KPI-er som avkastning på investering (ROI) eller livstidsverdi til spesifikke brukerhandlinger. Det inkluderer også trinnvise tester for å estimere hvor mange konverteringer som ville blitt oppnådd uten betalte kampanjer, og dermed måle den reelle effekten av annonseinvesteringer.
Som et supplement til all denne kvantitative analysen er det verdt å vurdere verktøy som AppFollow, som fokuserer på Overvåk rangeringer og anmeldelser i App Store og Google PlayTakket være sentimentanalyse er det mulig å se utviklingen i tonen i anmeldelsene og sammenligne perioder, noe som gir klare ledetråder til hvordan brukerne oppfatter kvaliteten og opplevelsen av applikasjonen.
Sikkerhetsrevisjon og avansert analyse med Inspectage
Når målet ikke så mye er markedsføring eller produkt, men revidere sikkerhet, analysere skadelig programvare eller gjennomgå den interne oppførselen til en appMer spesifikke rammeverk kommer inn i bildet. Et av de mest interessante i Android-økosystemet er Inspectage (Android Package Inspector), som fungerer som en Xposed-modul.
Inspectage setter opp en server på selve Android-enheten, tilgjengelig via adb fra datamaskinen, og lar deg se sanntidshendelser som oppstår på enheten mens appen kjørerI motsetning til andre analysemiljøer som MobSF eller AppMon, er den store fordelen at den lar deg observere hendelser uten å stoppe den dynamiske analysen og enkelt konfigurere hooks på spesifikke metoder.
Verktøyets kode er tilgjengelig på GitHub og kan også lastes ned som en APK fra Play Store eller Xposed-repositoriet. Når modulen er installert, aktiveres den i Xposed og kan sees i hovedgrensesnittet. serverstatus, nettverksgrensesnitt, port og adb-kommando kreves for å koble til fra den lokale maskinen.
Appen viser en liste over apper på enheten, med muligheten til å velge bare brukerapper eller å inkludere systemapper også. Dette er tilgjengelig i sidemenyen. Konfigurer grensesnitt og port, aktiver autentisering med brukernavn og passord og juster andre serverparametere.
Etter at du har valgt og startet en app, starter den dynamiske analysen. En nettside som er vert for enheten åpnes fra datamaskinens nettleser, hvor en meny med knapper for [uklart - muligens "muligheter" eller "funksjoner"] vises. Last ned APK-en eller dataene fra intern lagring, ta skjermbilder, bruk forskjellige konfigurasjoner (som å deaktivere FLAG_SECURE, starte programmet på nytt, velge en proxy eller velge hvilke typer hendelser som skal registreres) og oppdatere resultater i sanntid.
Inspectage tilbyr også snarveier for å åpne en fane med LogCat, sjekke om appen eller modulen kjører, og skjule eller vise detaljpaneler. Appinformasjonspanelet vises pakkenavn, UID, GUID, sikkerhetskopieringsstatus og en TreeView-type tilgang til intern lagring, hvorfra filer kan lastes ned med ett klikk.
Hoveddelen av rapporten er organisert i forskjellige faner: én med aktiviteter, tillatelser, tjenester, innholdsleverandører, kringkastingsmottakere og delte biblioteker, med alternativer for å starte aktiviteter eller konsultere leverandører; en annen dedikert til SharedPreferences, som kan vises både i loggformat (for å forstå endringer i variabler over tid) og i filens nåværende tilstand.
En svært kraftig funksjon er opptaket av alle applikasjonens kryptografiske aktivitetDenne delen viser algoritmene, nøklene og den krypterte informasjonen som brukes. Fanen «Hash» inneholder alle verdiene som hash-funksjoner brukes på, og hvilken type funksjon som brukes i hvert tilfelle.
«Filsystem»-delen viser alle filene appen har samhandlet med, noe som er nyttig for å oppdage om den oppretter mistenkelige filer eller laster ned apper fra uoffisielle kilder. «IPC»-fanen viser kommunikasjonsforsøk mellom prosesser ved hjelp av intensjoner.
Fanen «Hooks» samler aktiviteten til alle metodene der tilpassede hooks er konfigurert. Det er relativt enkelt å lage dem takket være et grafisk grensesnitt der du kan Angi metoden for å avskjære og typen krokHooker kan defineres som endrer metodens inngangsparametere eller returverdi, noe som åpner døren for en rekke testscenarier.
Ytterligere funksjoner finner du i sidemenyen. manipulere fingeravtrykkverdier eller GPS-koordinater for enhetenDette bidrar til å omgå mekanismer for emulatordeteksjon eller lokasjonsforfalskning. I tillegg til det ovennevnte kan Inspectage logge databasespørringer, nettverkstrafikk, WebViews og andre ressurser som innholdsleverandører har tilgang til.
Takket være dette omfattende settet med funksjoner, regnes Inspectage som en Et svært omfattende verktøy for å redusere tiden for prøveanalyse, spesielt nyttig for de som starter med analyse av mobil skadelig programvare eller sikkerhetsrevisjoner av Android-apper.
Sikkerhetsmetoder, trusler og testlaboratorium
Den nåværende situasjonen, med milliarder av aktive Android-enheter og apper som håndterer sensitive data (bank, helse, utdanning osv.), gjør det avgjørende å ta sikkerhet gjennom hele appens livssyklusDet handler ikke bare om å unngå åpenbare feil, men om å overholde forskrifter som GDPR eller bransjestandarder som PCI DSS når man behandler betalinger.
Android-applikasjoner er utsatt for en rekke trusler, hvorav mange adresseres i prosjekter som OWASP Mobil Topp 10Blant de mest kritiske problemene kan vi fremheve feil bruk av plattformen (manglende utnyttelse av innebygde sikkerhetsmekanismer, dårlig administrerte tillatelser, misbruk av eksponerte API-er), usikker datalagring (ukrypterte databaser, logger med sensitiv informasjon, dårlig beskyttede informasjonskapsler), eller usikker kommunikasjon (bruk av utdaterte protokoller eller ukryptert trafikk).
Problemer med dårlig autentisering og økthåndtering (svake passord, økter som ikke utløper, dårlig beskyttede tokener), utilstrekkelig kryptering som gir tilgang til data for fysiske angripere eller skadelig programvare, og autorisasjonsfeil som åpner døren for privilegieeskaleringer gjennom automatiserte angrep.
På utviklingssiden er klientsidekodekvalitet nøkkelen: dårlig praksis, mangel på feilkontroll eller dårlig implementerte sikkerhetsfunksjoner Disse kan føre til bufferoverløp og andre sårbarheter. I tillegg til dette kommer risikoen for kodemodifisering (ondsinnede binæroppdateringer, endrede ressurser osv.). Falske apper som utgir seg for å være den legitime), omvendt utvikling av APK-en og tilstedeværelsen av «skjulte» eller feilsøkingsfunksjoner som ikke er deaktivert i produksjon.
For å håndtere disse truslene foreslår OWASP Mobile Application Security (MAS)-prosjektet en metodikk og sjekkliste over sikkerhetskrav dekker flere domener: sikker arkitektur og design, personvern og datalagring, riktig kryptografi, autentisering og øktadministrasjon, sikker nettverkskommunikasjon, plattforminteraksjon, kodekvalitet og byggekonfigurasjon, og klientsidemotstandsmekanismer.
Evalueringen av disse kravene kombinerer vanligvis statisk og dynamisk analyse. I den statiske delen analyseres artefakter som kildekode, dekompilert kode, binærfiler og tilhørende filer Uten å kjøre appen kan potensielle sårbarheter utledes fra metadata, funksjonskall og programflyt. Verktøy som Mara (et analyserammeverk som tillater demontering og dekompilering av APK-er, defuzzifisering, strenganalyse, tillatelsesuttrekking osv.), selve APK Analyzer og løsninger som JAADAS for statisk IPC-analyse er spesielt nyttige på dette stadiet.
I dynamisk analyse kjører derimot appen i et kontrollert miljø, og oppførselen observeres under forskjellige forhold. Det er her verktøy som Drozer, som samhandler med den virtuelle Dalvik-maskinen, IPC-endepunktene og operativsystemet for å finne sårbarheter; Burp Suite, som fungerer som en webproxy for å fange opp og manipulere trafikk mellom app og server; og Inspectage, designet for å instrumentere og observere appen i sanntid ved hjelp av hooks på Android API-et.
Det finnes også hybride rammeverk som Mobile Security Framework (MobSF), som kombinerer statisk og dynamisk analyse og bidrar til å orkestrere mer omfattende revisjoner fra ett enkelt verktøy. For de som ønsker å øve, er en svært effektiv måte å lære på å jobbe med bevisst sårbare applikasjoner.
Blant disse øvingsappene er prosjekter som InsecureShop (en sårbar nettbutikk med nesten tjue utnyttbare feil, de fleste uten behov for root), AndroGoat (den første sårbare appen utviklet i Kotlin, med flere dusin forskjellige sårbarheter), InsecureBank V2 (en bankapp med en Python-backend, designet med flere svakheter) og Crackmes fra selve MAS-prosjektet, strukturert i flere CTF-lignende vanskelighetsgrader.
Kort sagt, analyse av Android-apper innebærer mye mer enn bare å se på tillatelser eller telle nedlastinger. Det innebærer å kombinere APK-inspeksjonsverktøy, dynamiske analysemiljøer, sikkerhetsmetoder og produkt- og markedsføringsanalyseplattformerNår alle disse delene integreres i appens livssyklus, blir resultatet sikrere og mer effektive applikasjoner som er i tråd med brukernes og bedriftens reelle behov.
