移動網際網路統治了我們世界，移動端安全越來越重要。終端安全最重要的原則是"不訪問不安全的網站，不下載不明來源的應用，不安裝不信任的APP，不給APP不必要的許可權"。話雖如此，但是實際上有的時候，還需要安裝一些未知的APP，這是後怎麼辦呢？

這就需要對其先進行一下安全評估，現在有很多線上安全檢測平臺，比如360捉蟲獵手，企鵝家的金剛審計系統等。最近恰好要嘗試一個apk掃描的時候發現前些年搞的大量線上評估系統基本上都不能用了（360捉蟲獵手還ok）。所以，蟲蟲今天就給大家介紹下，基於開源的MobSF自建一個應用APP掃描雲平臺。

MobSF簡介

Mobile Security Framework（MobS，移動安全框架）是一種自動化多平臺移動應用程式，支援Android、iOS和Windows應用自動化測試。能夠進行靜態、動態分析，web API測試，惡意軟體分析和安全評估。MobSF支援對移動APP二進位制檔案，包括APK，IPA和APPX以及對壓縮的原始碼進行分析，提供Web介面進行任務管理和報告顯示，並提供REST API實現CI/CD或DevSecOps管道無縫整合。其中動態分析器可幫助我們執行執行時安全性評估和互動式檢測。

安裝部署安裝要求

進行靜態分析分析需要安裝以下條件：

Git，Python 3.6以上版本，JDK 8以上版本。

Linux下可以通過發行版的包管理軟體直接安裝，比如Ubuntu下可以用：

蘋果Mac OS使用者：

Windows使用者需要安裝Microsoft Visual C ++ Build Tools和OpenSSL

Windows App靜態分析需要Mac和Linux的Windows主機或Windows VM（略）。

為了生成PDF報告，需要單獨安裝wkhtmltopdf二進位制檔案。在Windows中，需要將包含wkhtmltopdf二進位制檔案的資料夾新增到環境變數PATH。

安裝

安裝過程很簡單，首先從MobSF倉庫clone下載原始碼：

git clone https://github.com /MobSF/Mobile-Security-Framework-MobSF.git

然後，在Linux和Mac OS下執行./setup.sh，Windows下執行setup.bat即可。

docker安裝：

MobSF 2.0也新增加了docker方式安裝，安裝執行非常方便。方便起見可以直接拉取官方映象：

也可以自己編譯映象或者需要額外功能要求的也必須找自編譯映象：

執行

Linux和Mac下通過：

Windows下執行：

然後預設會開啟一個8080伺服器監聽，通過瀏覽器訪問localhost:8080就可以訪問。

靜態分析

通過瀏覽器訪問localhost:8080，會彈出分析檔案上傳介面，可以把apk包通過拖放到虛線框裡或者通過Upload & Analyze選擇檔案就可以完成分析任務的設定。

左邊欄目各種分析專案，右邊窗體是該次分析的終結基本包括了四大元件掃描個數、export 情況），反編譯原始碼（java、smali）、mainfest 檔案分析、安全分析等。

本例中我上傳了GPS測試儀的apk，結果如下：

掃描專案設定和設計原始碼瀏覽：

應用簽名分析：

許可權和二進位制庫分析：

紅色提醒表示需要開放 定位許可權，有風險，非法應用可以竊取位置資訊，或者用它來消耗電池。

檔案清單分析：

可以被惡意資訊拷貝，拖庫。

動態分析

MobSF也支援動態分析，但是需要Genymotion模擬平臺的支援，通過它來啟動安卓虛擬機器VM。

MobSF動態分析需要Genymotion Android x86 VM 4.1至9.0版本。一般建議使用Android 7.0或更高版本。

首次執行時會自動MobSFyed Android 5及更高版本。對於小於5的Android版本，必須在第一次進行Dynamic Analysis之前執行Android執行時。單擊"動態分析"頁面中的MobSFy Android執行時按鈕以MobSFy Android執行時環境。

如果Dynamic Analyzer無法檢測的安卓裝置，可通過MobSF/settings.py檔案，手動配置ANALYZER_IDENTIFIER。

例如：

可以在Genymotion虛擬機器列表中找到安卓裝置的IP，預設埠為5555。

批量分析

除了通過Web介面人工進行單任務分析以外，MobSF支援通過命令列進行批量分析。

批量分析需要用mass_static_analysis.py工具，使用方法是 mass_static_analysis.py [-h] [-d 目錄] [-s IP埠]

其中-h表示使用幫助。

-d選項來制定需要掃描APP包和原始碼壓縮包所在的目錄。

-s 用來制定MobSF伺服器的地址和埠，比如127.0.0.1:8080

例如：

分析報告

可以以PDF匯出該次分析的報告，注意好像預設下對中文支援有問題：

總結

本文蟲蟲大家介紹了如何利用開源的MobSF平臺自己移動APP自動掃描平臺。MobSF功能強大的移動安全測試平臺，支援靜態，動態分析以Web API Fuzzer測試。MobSF支援docker一鍵部署，Web介面進行管理、匯出PDF分析報告，安裝和使用都非常方便友好。