StaCoAn es una herramienta multiplataforma que ayuda a desarrolladores, cazadores de recompensas y hackers éticos a realizar análisis estáticos de aplicaciones móviles en el código de la aplicación para aplicaciones nativas de Android e iOS, según informaron investigadores de seguridad informática.
Esta herramienta buscará líneas interesantes en el código que pueden contener:
- Credenciales codificadas
- Claves de API
- URL de API
- Claves de descifrado
- Principales errores de codificación
Esta herramienta se creó con un gran enfoque en la usabilidad y la guía gráfica en la interfaz de usuario.
Características de la herramienta de análisis estático StaCoAn Mobile App
El concepto es que arrastre y suelte su archivo de aplicación móvil (un archivo .apk o .ipa) en la aplicación StaCoAn y generará un informe visual y portátil para usted. Puede modificar la configuración y las listas de palabras para obtener una experiencia personalizada.
Los informes contienen un práctico visor de árbol para que pueda navegar fácilmente por la aplicación descompilada. También contiene las siguientes características:
- Concepto de saqueo: Aproximadamente equivalente a los hallazgos de valor de los marcadores.
- Listas de palabras: la aplicación usa listas de palabras para encontrar líneas interesantes en el código.
- Tipos de archivo: se procesará cualquier archivo fuente. Esto contiene archivos ‘.java’, ‘.js’, ‘.html’, ‘.xml’,….
- Diseño receptivo: los informes están diseñados para adaptarse a todas las pantallas.
Los expertos en seguridad informática dijeron que esto tiene limitaciones, esta herramienta tendrá problemas con el código ofuscado. Si es un desarrollador, intente compilar sin ofuscación activada antes de ejecutar esta herramienta.
Los investigadores han cubierto algunas otras herramientas de análisis estático, pero ninguna realmente enfocada en dispositivos móviles nativos, como:
– Yasca – Conjunto de herramientas de análisis estático multilingüe
– Brakeman – Escáner de Seguridad de Análisis Estático de Rieles
– RIPS – Análisis de código fuente estático para vulnerabilidades de PHP
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad