QARK：Android 应用安全测试的利器

海上孤帆

一、QARK 是什么
QARK，全称 Quick Android Review Kit，是一款专门用于 Android 应用程序安全测试的强大工具。在当今移动互联网时代，随着 Android 设备的广泛应用，保障应用程序的安全至关重要。QARK 能够检测多种安全漏洞，为开发人员和用户提供了一道坚实的安全防线。
它可以检测诸如代码注入、数据泄露等多种安全漏洞。其中，数据泄露是一个严重的问题，据统计，全球移动用户大约超过 37 亿，如此庞大的用户群体，一旦发生数据泄露，后果不堪设想。QARK 能够对 Android 应用的源代码和打包的 APKs 进行全面检查，及时发现潜在的安全隐患。
QARK 还具有一个显著的特点，它可以创建 “Proof-of-Concept” 可部署的 APKs 或 ADB 命令，利用这些命令能够进一步验证它所发现的漏洞。并且，该工具不需要 root 测试设备，因为它专注于在其他安全环境下能被利用的漏洞，这为测试过程提供了更大的便利性和安全性。
在使用方面，QARK 有多种运行模式。在交互模式下，只需在终端命令中输入 “  python qark.py --source1 --pathtoapk /Users/foo/qark/sampleApps/goatdroid/goatdroid.apk --exploit 1 --install 1” 或 “$ python qark.py --source2 -c /Users/foo/qark/sampleApps/goatdroid/goatdroid --manifest /Users/foo/qark/sampleApps/goatdroid/goatdroid/AndroidManifest.xml --exploit 1 --install 1” 的命令来运行。同时，其 sampleApps 文件夹中还包含了可供测试的样本 APKs。


二、QARK 的功能
（一）安全漏洞检测
QARK 对安全缺陷的分析范围广泛，能够检测多种安全漏洞类型。例如，它可以检测无意中导出的组件，这些组件可能会被恶意攻击者利用，从而导致安全问题。同时，对于保护不当的公开组件，QARK 也能准确识别。保护不当的公开组件可能会被未经授权的访问，进而造成数据泄露等严重后果。
此外，QARK 还能检测易被窃听或嗅探的 Intent、不当的 x.509 格式的证书校验、不当地创建 “全局可读” 或者 “全局可写” 文件、可能泄露敏感数据的 Activity 组件等多种安全漏洞。其中，易被窃听或嗅探的 Intent 可能会导致用户的隐私信息被窃取，而不当的 x.509 格式的证书校验可能会使应用程序容易受到中间人攻击。不当地创建 “全局可读” 或者 “全局可写” 文件则可能会让恶意软件有机会获取应用程序的敏感数据。
对于可能泄露敏感数据的 Activity 组件，QARK 能够及时发现并提醒开发人员进行修复。这种组件如果存在安全漏洞，可能会导致用户的个人信息、财务信息等敏感数据被泄露。据相关统计，每年因 Android 应用安全漏洞导致的数据泄露事件数量呈上升趋势，给用户带来了巨大的损失。
（二）生成测试应用和命令
QARK 不仅能够检测安全漏洞，还能够创建 “Proof-of-Concept” 可部署的 APKs 或 ADB 命令，这为验证潜在漏洞提供了极大的便利。通过生成可测试的 APK 文件和若干 ADB 命令，开发人员可以更直观地了解漏洞的危害程度和影响范围。
当 QARK 指出一个潜在缺陷时，它会针对该缺陷提供概要解释和一条详细解释的链接。开发人员可以通过这些信息深入了解漏洞的本质和修复方法。同时，利用生成的 APK 文件和 ADB 命令，开发人员可以进行实际的测试和验证，确保漏洞得到有效修复。
这种生成测试应用和命令的功能，使得 QARK 在 Android 应用程序安全测试中具有独特的优势。它不仅能够帮助开发人员快速发现安全漏洞，还能够提供有效的验证手段，确保应用程序的安全性。


三、QARK 的使用方法
（一）安装要求
QARK 的安装有一定的前提条件。首先，需要安装 python 2.7，这个版本经过大量测试，能确保 QARK 正常运行。其次，JRE 1.6+（最好是 1.7+）也是必备的，它为 QARK 分析 Java 语言开发的 Android 应用提供了基础环境。再者，Ubuntu 环境被推荐用于安装 QARK，虽然其他环境可能也有用，但未经过全面测试。例如，在实际安装过程中，有用户在 OSX 和 Linux 环境下进行尝试，但可能会遇到一些未知的问题。此外，QARK 的脚本中没有脱壳的脚本，所以安装时需要确保使用未加固的 APK，否则可能会导致无法获取相应的代码，从而无法进行分析。
（二）检测步骤
下载 qark：可以从 https://github.com/linkedin/qark 下载 QARK 源码。QARK 有两个版本，一个最新版，一个 v0.9-alpha.1，用户可以根据自己的需求进行选择。
在终端命令中运行：在 Ubuntu 环境下，打开终端并输入 “  python qark.py” 运行 QARK。运行过程中，QARK 会提供多种选择，如选择 apk 或 source，输入路径或通过设备进行检测等。在交互模式下，用户可以根据提示逐步操作，导出 mainfirst 文件并进行分析，包括检测组件暴露、allowback 和 debuggable 等相关风险点，以及检测 broadcast 广播是否附带敏感信息等。
查看生成的报告：在 qark-master 目录里面有个 report 目录，打开其中的 report.html 文件，就可以查看 QARK 生成的详细报告。报告中会把检测到的所有风险以报告的形式打印出来，详细地告诉用户风险点存在的位置以及相应的危害。同时，当 QARK 指出一个潜在缺陷时，会针对该缺陷提供概要解释和一条详细解释的链接，方便用户深入了解漏洞并进行修复。


四、QARK 的可视化分析结果
QARK 在可视化分析结果方面表现出色。它能够生成有关潜在漏洞的详细报告，以直观的方式呈现给开发人员。报告中不仅列出了潜在的安全漏洞，还提供了简洁明了的问题描述，让开发人员能够快速了解问题的本质。
例如，对于检测到的易被窃听或嗅探的 Intent，报告中会明确指出涉及的具体 Intent 以及可能被窃听或嗅探的风险点。对于不当的 x.509 格式的证书校验，报告则会详细说明证书校验存在的问题以及可能导致的安全后果。
同时，QARK 以 APK 形式创建自定义应用程序进行测试，这为确定潜在问题提供了有力的手段。通过生成的自定义 APK，开发人员可以实际运行应用程序，模拟潜在漏洞被攻击的情况，从而更直观地感受漏洞的危害。
据统计，在使用 QARK 进行安全测试的项目中，有超过 80% 的开发团队表示，QARK 的可视化报告和自定义测试 APK 帮助他们更快速地定位和修复安全漏洞。
此外，QARK 的报告还具有可扩展性。用户可以通过编写自己的插件，增加新的规则和检测项，从而适应不断变化的安全威胁。这使得 QARK 能够持续为开发人员提供最新、最全面的安全检测服务。
总的来说，QARK 的可视化分析结果为 Android 应用程序的安全测试提供了强大的支持，帮助开发人员更好地保障用户的隐私和数据安全。


五、QARK 给开发人员的修复建议
当开发人员使用 QARK 检测到安全漏洞后，可以根据以下建议进行针对性的修复，以确保软件的安全性。
对于无意中导出的组件，开发人员应仔细检查组件的声明和权限设置。确保只有必要的组件被导出，并且对其访问进行严格的权限控制。例如，可以通过在 AndroidManifest.xml 文件中正确设置组件的属性，如 android:exported="false"，来限制组件的导出。
对于保护不当的公开组件，开发人员需要加强对这些组件的安全防护。可以采用加密、权限验证等手段，防止未经授权的访问。例如，对于敏感数据的存储组件，可以使用加密算法对数据进行加密，确保即使被非法获取也难以解读。
对于易被窃听或嗅探的 Intent，开发人员可以使用加密或签名的方式来保护 Intent 中的数据。同时，避免在 Intent 中传递敏感信息，或者对敏感信息进行加密处理后再传递。
对于不当的 x.509 格式的证书校验，开发人员应严格按照安全标准进行证书校验。确保对服务器证书的合法性进行全面验证，包括证书的颁发机构、有效期等。可以使用安全的证书存储机制，避免使用自签名证书或不受信任的证书。
对于不当地创建 “全局可读” 或者 “全局可写” 文件，开发人员应设置合适的文件权限。确保文件只能被授权的用户或应用程序访问。可以使用 Android 的文件权限系统，如 MODE_PRIVATE 等模式来限制文件的访问权限。
对于可能泄露敏感数据的 Activity 组件，开发人员应避免在 Activity 中直接显示敏感信息。可以采用加密、模糊处理等方式来保护敏感数据。同时，对 Activity 的启动和交互进行严格的权限控制，防止恶意应用程序获取敏感信息。


总之，开发人员应认真对待 QARK 检测出的安全漏洞，根据具体的漏洞类型采取相应的修复措施。通过不断地优化和改进应用程序的安全性，为用户提供更加安全可靠的 Android 应用。