OWASP MASTG项目中关于APK安全分析工具的更新与优化

在移动应用安全测试领域，APK文件的分析工具至关重要。OWASP MASTG（移动应用安全测试指南）项目近期针对APK分析工具进行了重要更新，决定弃用过时的APKEnum工具，转而推荐功能更强大的APKleaks工具。

背景与问题

APKEnum作为一款早期的APK分析工具，基于Python 2.7开发，但由于长期缺乏维护更新，已无法满足现代移动应用安全测试的需求。Python 2.7本身也已停止支持，这使得APKEnum在兼容性和功能性上都存在明显不足。

解决方案评估

项目团队评估了两款候选替代工具：APKLeakData和APKleaks。经过对主流通讯应用和社交平台等流行应用的测试比较，APKleaks展现出明显优势：

1. 功能全面性：APKleaks能够检测出更多类型的安全问题，包括授权信息、通用密钥、API密钥、IP地址、JSON Web Token等
2. 可扩展性：支持通过JSON配置文件添加自定义正则表达式规则，增强了检测的灵活性
3. 维护状态：基于Python 3开发，项目活跃度更高，维护及时

技术对比

以主流通讯应用和社交平台为例，两款工具的检测结果对比如下：

主流通讯应用检测结果对比

• APKleaks检测到7类安全问题
• APKLeakData仅检测到3类

社交平台检测结果对比

• APKleaks检测到7类安全问题
• APKLeakData仅检测到3类

实施与整合

OWASP MASTG项目已决定：

1. 移除所有对APKEnum的引用，并添加弃用说明
2. 将APKleaks正式纳入MASTG工具集
3. 更新相关技术文档和示例

APKleaks的使用方法简单高效，基本命令格式为：

apkleaks -f /path/to/file.apk -p regexed.json -o ~/Documents/apkleaks-results.txt

总结

这次工具更新体现了OWASP MASTG项目对移动应用安全测试领域最新技术发展的持续关注。APKleaks的引入将显著提升安全研究人员对APK文件中潜在安全风险的检测能力，特别是其支持自定义规则的特点，使得工具能够适应各种特殊检测需求，为移动应用安全评估提供了更加强大的支持。