- Сообщения
- 3.708
- Реакции
- 22.205
Что такое MobSF?
Представтьте, вам нужно какое-то ПО для смартфона, к примеру вы работаете кладменом, и где то на форуме или в сети нашли разного рода приложения для работы, но вы не знаете можно ли доверять этим приложениям что они собирают, какие разрешения с телефона используют, а вдруг вообще прям открытый бэкдор к смартфону, но вы не являетесь программистом и не знаете как посмотреть код и что скрывается в нём. Данное ПО поможет разобраться, что нужно приложению, какие данные передаёт, куда, и много всего другого интересного.Mobile Security Framework (MobSF) — это мощный автоматизированный фреймворк для анализа безопасности мобильных приложений. Он поддерживает анализ:
- Android (.apk, .aab)
- iOS (.ipa)
- Кодовых архивов (ZIP, TAR, директории с исходниками)
- Web API
Возможности MobSF
1. Статический анализ
- Автоматический анализ кода (Java, Kotlin, Swift, Objective-C)
- Проверка разрешений, активностей, провайдеров
- Распознавание уязвимостей (например, неправильное использование WebView, отсутствие защиты данных и т.д.)
- Отчёты по OWASP Mobile Top 10
2. Динамический анализ (Android)
- Запуск приложения в песочнице (нужен эмулятор)
- Отслеживание поведения: файловая система, сетевые запросы, системные вызовы
- Захват трафика (в том числе HTTPS)
- Журналирование и скриншоты активности
3. API-тестирование
- Тестирование REST API, которые использует приложение
- Проверка наличия уязвимостей: XSS, SQLi, IDOR и других
4. Отчёты и визуализация
- Красочные и структурированные отчёты
- Форматы: HTML, JSON, PDF
- Сводки по каждой угрозе, рекомендации по устранению
Использование MobSF
1. Статический анализ:
- Перетащи .apk, .ipa, .zip файл в веб-интерфейс.
- MobSF распакует и проанализирует приложение.
- Результаты появятся в интерактивном отчёте.
2. Динамический анализ (только Android):
- Нужна предварительная установка Android-эмулятора.
- MobSF использует встроенный MobSF Dynamic Analyzer (автоматически запускает приложение).
- Нужно включить AVD или Genymotion, подключить adb.
3. API Security Testing:
- Перейди во вкладку API Scanner.
- Введи конечную точку (endpoint) API.
- MobSF выполнит серию автоматических тестов безопасности.
Установка MobSF (на Ubuntu/Debian виртуалку или VPS хост)
1. Установка зависимостей:
Добавление репозиториев Docker
Bash:
sudo install -m 0755 -d /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/debian/gpg | sudo tee /etc/apt/keyrings/docker.asc > /dev/null
sudo chmod a+r /etc/apt/keyrings/docker.asc
echo "deb [signed-by=/etc/apt/keyrings/docker.asc] https://download.docker.com/linux/debian $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
Bash:
sudo apt update
sudo apt install -y docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin docker-compose
Bash:
sudo usermod -aG docker $USER
newgrp docker2. Установка MobSF:
Bash:
docker pull opensecurity/mobile-security-framework-mobsf:latest3. Запуск приложения:
Bash:
docker run -it --rm -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latestНебольшой обзор приложения
Здесь нас встречает окно авторизации.
Стандартный логин и пароль: mobsf/mobsf
И на выбор в меню уже есть:
Recent scan - передущие сканирования
Static Analyzer - Статический анализ ПО (основной раздел)
Dynamic Analyzer - Динамический анализ ПО (разбор приложения с виртуальной средой и его поведение там)
Ну мы покажем основной раздел Статичного анализа
Стандартный логин и пароль: mobsf/mobsf
И на выбор в меню уже есть:
Recent scan - передущие сканирования
Static Analyzer - Статический анализ ПО (основной раздел)
Dynamic Analyzer - Динамический анализ ПО (разбор приложения с виртуальной средой и его поведение там)
Ну мы покажем основной раздел Статичного анализа
Загружаем сюда наше .apk или .ios приложение
И всё открывается основная страница с отчётом ПО
Далее лучше пользовться нейросетями или документацией для перевода всей аналитики.
EXPORTED COMPONENTS (экспортируемые компоненты)
Это компоненты Android-приложения, которые доступны извне, то есть потенциально могут быть вызваны другими приложениями или злоумышленником.| Категория | Кол-во | Что это значит |
|---|---|---|
| Activities | 1 / 20 | Только 1 из 20 activity (экраны приложения) доступна извне. |
| Services | 4 / 18 | 4 сервисов могут быть запущены другими приложениями. Это может быть риск, если они уязвимы. |
| Receivers | 4 / 14 | 4 broadcast receiver'а (приёмники системных событий, вроде SMS, сети и пр.) экспортированы. |
| Providers | 0 / 7 | Ни один content provider (доступ к базе данных) не экспортирован — это хорошо. |
SCAN OPTIONS (Опции анализа)
Rescan: перезапустить анализ.Scan Logs: просмотреть технические логи сканирования.Start Dynamic Analysis: включить динамический анализ (поведение приложения во время работы в эмуляторе).⚙️ Manage Suppressions: отключить/игнорировать определённые предупреждения.
DECOMPILED CODE (Декомпилированный код)
Здесь можно просмотреть и скачать исходный код приложения:AndroidManifest.xml— главный конфиг-файл Android, в котором указаны все разрешения и компоненты.</> View Source— просмотр Java-кода.</> View Smali— низкоуровневый Android-байт-код.⬇️ Download Java/Smali/APK— скачивание соответствующих файлов.
SIGNER CERTIFICATE (Сертификат подписи APK)
Информация о цифровой подписи APK — важна для определения подлинности приложения.- v1/v2/v3 signature— методы подписи (новее — безопаснее).
- Здесь используется только v3, что хорошо.
- Subject — кто подписал приложение (в данном случае:
Max Messengerиз организацииLLC COMMUNICATION PLATFORM, RU, Moscow). - Valid From / To — срок действия подписи (2025–2050).
- Signature Algorithm — алгоритм шифрования (rsa с PKCS#1 v1.5).
Android Permissions
Этот пример — краткое описание опасных (dangerous) разрешений, выявленных при анализе APK-файла в Mobile Security Framework (MobSF). Разрешения классифицированы по категориям, с объяснением потенциальных рисков.️ Геолокация (Location)
| Разрешение | Назначение | Риск |
|---|---|---|
ACCESS_COARSE_LOCATION | Получение примерного местоположения через Wi-Fi и сотовую сеть. | Может использоваться для отслеживания пользователя. |
ACCESS_FINE_LOCATION | Точное местоположение через GPS. | Повышенный риск отслеживания. |
Аккаунты и аутентификация (Accounts & Credentials)
| Разрешение | Назначение | Риск |
|---|---|---|
AUTHENTICATE_ACCOUNTS | Работа с учётными записями и паролями. | Может быть использовано для кражи данных учётных записей. |
GET_ACCOUNTS | Список всех аккаунтов на устройстве. | Возможность отслеживать социальные и почтовые аккаунты. |
MANAGE_ACCOUNTS | Добавление/удаление аккаунтов, изменение паролей. | Потенциальный контроль над аккаунтами пользователя. |
USE_CREDENTIALS | Использование аутентификационных данных. | Может быть использовано для доступа к защищённым сервисам. |
Камера и микрофон (Camera & Microphone)
| Разрешение | Назначение | Риск |
|---|---|---|
CAMERA | Съёмка фото и видео. | Может использоваться скрыто для слежки. |
RECORD_AUDIO | Запись звука. | Могут записывать разговоры или окружение. |
Подключения и Bluetooth
| Разрешение | Назначение | Риск |
|---|---|---|
BLUETOOTH_CONNECT | Связь с Bluetooth-устройствами. | Может использоваться для передачи данных или атак. |
Доступ к файлам и мультимедиа
| Разрешение | Назначение | Риск |
|---|---|---|
READ_MEDIA_IMAGES | Доступ к изображениям. | Утечка личных фотографий. |
READ_MEDIA_VIDEO | Доступ к видео. | Утечка видеофайлов. |
READ_MEDIA_VISUAL_USER_SELECTED | Доступ к медиа, выбранным через пикер. | Чтение конкретных пользовательских файлов. |
WRITE_EXTERNAL_STORAGE | Запись/удаление внешних данных. | Возможна подмена файлов или шифрование (ransomware). |
Телефонные данные и вызовы
| Разрешение | Назначение | Риск |
|---|---|---|
READ_PHONE_NUMBERS | Чтение номера телефона. | Используется для идентификации SIM-карты/устройства. |
Контакты
| Разрешение | Назначение | Риск |
|---|---|---|
WRITE_CONTACTS | Изменение или удаление контактов. | Потенциальная потеря или изменение данных. |
Уведомления и системные окна
| Разрешение | Назначение | Риск |
|---|---|---|
POST_NOTIFICATIONS | Отправка уведомлений. | Возможность фишинга через ложные уведомления. |
SYSTEM_ALERT_WINDOW | Отображение поверх других окон. | Используется для фишинговых экранов и обмана пользователя. |
Установка и загрузка пакетов
| Разрешение | Назначение | Риск |
|---|---|---|
REQUEST_INSTALL_PACKAGES | Установка сторонних APK. | Могут устанавливаться вредоносные модули. |
API Endpoints
Что делает: Отображает все обнаруженные точки взаимодействия приложения с сервером. Показывает URL-адреса, методы (GET, POST и т.д.), параметры запросов и потенциально небезопасные вызовы. Полезно для поиска утечек данных, API-ключей и тестирования на уязвимости.Это потенциальные точки для MITM-атак.
Заключение
MobSF предоставляет огромный массив данных для анализа мобильных приложений, охватывая как статическую, так и динамическую аналитику. В рамках этого обзора мы рассмотрели лишь малую часть функционала, но даже она даёт понимание, насколько детально инструмент способен разложить приложение “по косточкам”.
Полный отчёт включает десятки разделов: от анализа разрешений и сетевых запросов до обнаружения уязвимостей, проблем конфигурации и потенциальных точек входа для атак. Для глубокого изучения рекомендуется ознакомиться с официальной документацией MobSF, где подробно описаны все блоки отчёта и принципы их интерпретации.
Если же нужно быстро разобраться в конкретном разделе или расшифровать сложные находки, на помощь всегда можно привлечь нейросети — они помогут автоматизировать рутинную интерпретацию и сократить время на анализ.
MobSF — это инструмент, который при грамотном подходе позволяет не только находить уязвимости, но и лучше понимать архитектуру и логику работы мобильных приложений, что делает его ценным помощником как для разработчиков, так и для специалистов по безопасности.
