Android应用程序APK的安全性分析

我正在从事一个项目，在这个项目中，我被要求手动对android应用程序APK进行安全分析，例如滥用手机标识符、暴露物理位置等等。负担在于我不知道如何去做。我知道如何将apk反编译成java类，但之后呢

---

我的问题：是否有进行此类分析的最佳实践、工具和通用指南？

虽然这是一个非常普遍的问题，需要广泛了解安全领域，但这里有一些选择

• 从dex->jar->java反编译应用程序，查看代码的模糊程度。更多信息请点击此处：
• 使用或其他方法截获通过WiFi路由器发送的数据包。如果数据包发送的是原始位置，您就知道出了问题。现实生活中的一个例子是：

---

非常感谢您的回复@Quinn。我意识到我的问题可能被认为是一般性的，但作为一名安全领域的学生和初学者，我对进行此类分析缺乏理解和经验。因此，我想知道如何进行手动分析，是否有一个通用的方法来这样做？或者它只是寻找可能的自愿行为并报告它们！每个安全研究人员都有自己的方法来发现漏洞。查找漏洞的“最佳方法”取决于软件类型和他们正在进行的活动。您表达了一些您应该处理的活动，上述方法是一个不错的开始。Hello@Quinn您能就其他易受攻击的应用程序向我提供建议吗，因为我多次尝试解码“HighThere”APK，但在使用APKtool时，我始终收到“无法解码arcs文件”错误，当我尝试使用dex2jar和JD-GUI手动解码步骤时，我有.java文件，但没有清单。显然，Apktool已更新以解码arcs文件：除非您非常精通java并且有大量时间，否则很可能无法解开java文件。不管怎样，你面前都有一项艰巨的任务。