Тут зібрані інструменти, якими зазвичай користуються, коли потрібно перевірити безпеку мобільного застосунку. Android чи iOS – не так важливо, принципи схожі. Частину з них беруть для реверсу, частину – щоб подивитися, що відбувається всередині додатка під час роботи, а щось просто допомагає зрозуміти, як він поводиться поза лабораторними умовами.
Автоматично аналізує Android- і iOS-додатки, показує слабкі місця, проблеми з конфігураціями та підозрілі моменти в коді. Зручний як стартова точка перед глибшим ручним аналізом, особливо коли часу небагато.
Декомпілює dex-файли у читабельний Java-код, з яким уже можна нормально працювати. Дуже корисний для аналізу логіки, пошуку жорстко прописаних ключів або розуміння, як реалізовані певні функції.
Його часто використовують як проміжний крок перед роботою з Java-декомпіляторами. Добре підходить для швидких задач, коли потрібно без зайвих налаштувань дістатися до коду.
Використовують у реверс-інжинірингу, цифровій криміналістиці, аналізі бінарників і навіть під час розробки експлойтів. Він не з найпростіших у вході, але дає повний контроль і гнучкість, якщо потрібно розібратися на низькому рівні.
Дозволяє швидко запускати застосунки, імітувати різні пристрої та автоматизувати тести. Зручний як для розробників, так і для тестувальників, коли важливо подивитися, як додаток поводиться в реальному середовищі.
Часто використовують для обходу SSL-pinning, перехоплення функцій і дослідження внутрішньої логіки без перекомпіляції. Дуже потужний інструмент, який відкриває багато можливостей для глибокого аналізу безпеки.
Набір скриптів, який використовують для обходу SSL-pinning у мобільних застосунках. Він дозволяє перехоплювати HTTPS-трафік навіть тоді, коли розробники намагалися це заблокувати.
