device / emulador conectado via ADB (incluindo os apps do sistema) Procurar por problemas no Android Manifest Descompilar usando 3 ferramentas diferentes
projeto nos permite: - Descobrir frameworks / bibliotecas utilizadas - Obter chaves de SDK / Tokens de Acesso - Entender e descobrir lógicas de negócio - Descobrir e explorar vulnerabilidades no cliente e servidor
dados de apps, até então protegidos shell@android:/ $ ls /data/data opendir failed, Permission denied shell@android:/ $ su root@android:/ # ls /data/data :)
Preferences, Content Providers, SQLite) Instalar outras ferramentas como o Frida - www.frida.re Frida permite injetar código JavaScript para explorar apps nativos não só Android, como iOS, Windows, Mac, Linux...
Android e interagir com outros aplicativos, por meio do mecanismo de Comunicação Inter-Processo (IPC) do Android e do sistema operacional subjacente" labs.mwrinfosecurity.com/tools/drozer
- e possui versão comercial www.zetetic.net/sqlcipher/sqlcipher-for-android/ compile 'net.zetetic:android-database-sqlcipher:3.5.7@aar' STORAGE SQLCipher - SQLite
databaseFile.mkdirs(); SQLiteDatabase database = SQLiteDatabase.openOrCreateDatabase( databaseFile, "test123", null); database.execSQL("create table t1(a, b)"); database.execSQL("insert into t1(a, b) values(?, ?)", new Object[]{"one for the money", "two for the show"}); STORAGE SQLCipher - SQLite
CertificateChecker, DebugDetector, EmulatorDetector, TamperDetector) Custa caro, mas dependendo da criticidade do seu app, é um investimento que se paga! OFUSCAÇÃO Dexguard
int); public static int v(...); public static int i(...); public static int w(...); public static int d(...); public static int e(...); } github.com/JakeWharton/timber LOGGING