# Android App Security

**Repository Path**: fripSide/Android-App-Security

## Basic Information

- **Project Name**: Android App Security
- **Description**: Detecting vulnerabilities in Android Apps.
- **Primary Language**: Java
- **License**: Not specified
- **Default Branch**: master
- **Homepage**: None
- **GVP Project**: No

## Statistics

- **Stars**: 0
- **Forks**: 1
- **Created**: 2015-06-24
- **Last Updated**: 2022-04-02

## Categories & Tags

**Categories**: Uncategorized

**Tags**: None

## README


1. 目录说明：
   crawler 里面放app爬虫代码。
   doc 里面放相关文档，soot和flowdroid部分。
   src 里面放代码。

2. 任务说明：
   重写Soot Class load机制，来load任意APP,并基于FlowDroid，来实现对任意API直接调用的taint分析：
      - 抓取1w+ app
      - 检测完所有app，每次检测限制1000s，内存8g
   Google Play爬虫：
      - 从APKPure抓，有下到重打包app的风险
      - 利用AndroidMarket API，要绑定设备，每天有数量限制


3. 目的：
   基于FlowDroid和Soot来实现漏洞检测框架，基于框架只需写几百行代码，找出某些特殊的api的调用情况，利用FlowDroid的数据流分析来确定API调用关系，以及
   数据转义过程，看是否满足预设的规则。可支持漏洞类型：
   - ssl漏洞检测:
    	举例：asiacs15，
    	1. Soot遍历代码的控制流程图CFG，找到webview
    	2. 找到onSSLError

   - app的privacy leaks
   - SDK的privacy leaks和权限提升检测
   - app的组件劫持以及修复
   - 基于静态分析的恶意app的检测
   - app代码鲁棒性分析，由于开发者疏忽，程序中有些地方可能出现未处理的异常，从而导致程序crash掉。