Android donanımınızı denetlemek için en iyi araçlar

  • Auditor, entegre tanılama ve adli bilişim araçlarının birleşimi, Android'de sistem bütünlüğünü doğrulamanıza ve değişiklikleri veya izinsiz girişleri tespit etmenize olanak tanır.
  • AIDA64, Device Info HW, CPU-Z veya DevCheck gibi uygulamalar donanımın detaylı bir röntgenini sunarken, Test Your Android veya Phone Doctor Plus gibi testler bileşenlerin gerçek durumunu değerlendirir.
  • Antutu, Geekbench, 3DMark, GFXBench ve PCMark gibi kıyaslama testleri, işlemci, grafik işlemci, pil ve depolama performansını ölçerek Android cihazınızı diğer cihazlarla karşılaştırmanıza yardımcı olur.
  • Güvenlik çerçeveleri ve araçları (OWASP MAS, MARA, Drozer, Burp Suite, MobSF, Appium, Espresso, UiAutomator, Robotium), söz konusu donanım üzerinde çalışan uygulamaların sağlamlığını ve güvenliğini değerlendirerek denetimi tamamlar.
Joaquin Romero

20 minutos

Android denetimi nasıl yapılır?

Telefonunuzun güvenliğine takıntılıysanız veya elinizde tuttuğunuz telefonun gerçekten güvenilir olup olmadığını bilmek istiyorsanız, Android donanımınızın denetlenmesi neredeyse zorunlu hale gelir. İkinci el telefonlar, olası saldırılar, gelişmiş casus yazılımlar ve giderek karmaşıklaşan uygulamalar arasında, Donanımı ve sistemi denetleyen ciddi araçlar Ayarlar'daki birkaç menüye bakmanın ötesinde.

İyi haber şu ki, bugün cihaz bütünlüğünden (ROM'uma müdahale edilmiş mi?) işlemci ve grafik işlemcisinin gerçek performansına kadar her şeyi kontrol etmek için çok güçlü uygulamalara ve çerçevelere sahibiz; bunlar arasında kamera, sensörler, bellek ve pil için teşhis işlemleri de yer alıyor. Bu makale boyunca şunları göreceğiz... Android donanımınızı denetlemek için en iyi araçlarBirbirlerini nasıl tamamladıklarını ve hangi durumlarda hangisini kullanmanın faydalı olduğunu açıklayın.

Android donanımınızı denetlemek neden bu kadar önemli?

Android, ROM'ları değiştirmenize, bootloader kilidini açmanıza, cihazınızı rootlamanıza ve neredeyse her şeyi değiştirmenize olanak tanıyan çok esnek bir sistemdir, ancak bu özgürlüğün bir bedeli vardır: Cep telefonlarının kullanıcının haberi olmadan değiştirilmesi alışılmadık bir durum değil.Bu, aygıt yazılımı değişikliklerini, sürüm düşürmelerini, değiştirilmiş katmanları veya hatta gelişmiş casus yazılım saldırılarını içerir.

İkinci el bir cep telefonu satın aldığınızda, kendi telefonunuzu ödünç verdiğinizde veya bir süre gözetimsiz bıraktığınızda, birinin bootloader kilidini açıp açmadığını, farklı bir ROM yükleyip yüklemediğini veya güvenlik mekanizmalarını devre dışı bırakıp bırakmadığını doğrudan öğrenmenin bir yolu yoktur. Donanımın ve işletim sisteminin bütünlüğünü kontrol edin. Bu durum artık teknik bir heves olmaktan çıkıp, özellikle hassas verilerle çalışıyorsanız veya yüksek risk profiline sahipseniz, temel bir koruma önlemi haline geliyor.

Android'in en son sürüme güncellenip güncellenmediğini nasıl anlarsınız?
İlgili makale:
Donanım teşhisi için en iyi Android uygulamaları

Auditor: Android'de donanım tabanlı saldırı tespiti

Dürüstlük odaklı araçlar arasında Auditor muhtemelen en ilgi çekici olanıdır. Hem Google Play'de hem de geliştiricisinin GitHub deposunda bulunan açık kaynaklı bir uygulamadır. Telefonun kendi donanımını kullanarak derinlemesine değişiklikleri tespit eder. Sistemde.

Auditor'ın konsepti basit ama güçlü: İzlemek istediğiniz telefon, uyumlu başka bir Android cihazla "eşleştiriliyor". Bir QR kodu iki cihazı birbirine bağlayarak bir bağlantı oluşturuyor. güvenli donanım deposunda kalıcı anahtar Denetlenecek mobil cihazın (Güvenilir Yürütme Ortamı) anahtarı. Bu anahtar, yalnızca işletim sistemine erişimi olan herhangi bir saldırganın erişemeyeceği bir konumdadır.

Eşleştirme tamamlandıktan sonra, Auditor şunları yapabilir: Önyükleyici kilidinin açılıp açılmadığını, ROM'un değiştirilip değiştirilmediğini veya sistemin modifiye edilip edilmediğini tespit edin. Hatta daha eski bir yazılım sürümüne geri dönülebilir. Eşleştirme sonrasında yapılan herhangi bir önemli değişiklik, denetim cihazında alarmı tetikler.

Kullanım koşulları

Bunu kullanmak için iki cihaza ihtiyacınız var: biri "Denetlenen" (izlemek istediğiniz telefon) olarak, diğeri ise "Denetleyici" (durumu periyodik olarak kontrol eden) olarak işlev görecektir. Her ikisi de desteklenen modeller listesinde yer almalıdır.Temel akış şu şekildedir:

  • Auditor uygulamasını her iki cep telefonuna da yükleyin.
  • Her biri için uygun rolü seçin (Denetlenen / Denetçi).
  • Denetçi tarafından gönderilen denetlenen kuruluşun QR kodunu tarayarak bağlantı kurun.
  • Denetlenen cihazda sistemin başlangıç ​​durumunu kaydedin.

Bundan sonra, kontrolleri düzenli olarak tekrarlayın. Kontroller arasında birisi sisteme dokunursa, Denetçi, durumdaki değişikliği tespit edecek ve sizi bilgilendirecektir.Buradaki kilit nokta, "İlk Kullanımda Güven" (TOFU) modelinde yatıyor: Cihazı ilk kullandığınızda ve internete bağlamadan önce yapılan ilk doğrulama, donanımın ve sistemin orijinal olduğuna güvenmek açısından kritik öneme sahip.

Denetçinin odak noktasının şu olduğunu belirtmek önemlidir: İşletim sisteminin bütünlüğünü ve cihazın kimliğini doğrulayın.Kötü amaçlı kullanıcı uygulamalarını taramada değil. Tehdit modeliniz uygulama düzeyinde casus yazılımları içeriyorsa, Auditor'ı diğer analiz teknikleriyle birleştirmeniz gerekecektir.

Casus yazılımları ve gelişmiş güvenlik açıklarını tespit etmeye yönelik araçlar

Pegasus, Predator ve KingsPawn gibi programlara ilişkin endişeler, cep telefonlarında casusluk izlerini tespit edebilen araçlara olan ilgiyi artırdı. Ancak, bu araçların sınırlamalarını anlamak önemlidir: Hiçbir halka açık tarayıcı, Android cihazınızın %100 temiz olduğunu garanti edemez.Sadece onlara güvenmek tehlikeli bir yanlış güvenlik hissi yaratabilir.

Bu alandaki araştırmalar, modern mobil sistemlerdeki birçok güvenlik açığının, özellikle de "sıfır tıklama" güvenlik açıklarının, Bunlar kalıcı değildir ve basit bir yeniden başlatmanın ardından kaybolurlar.Bu nedenle cihazınızı haftada en az bir kez, riskiniz yüksekse günlük olarak yeniden başlatmanız şiddetle tavsiye edilir. Bu, saldırganı cihazı sık sık yeniden enfekte etmeye zorlar.

Aşağıda göreceğimiz araçlardan biri olası bir uzlaşmaya işaret ediyorsa, bir sonraki adım "rahatlamak" değil, aksine şunları yapmaktır:

  • İletişim uzmanlarıİnsan hakları örgütleri (örneğin, profilinize uyuyorsanız Uluslararası Af Örgütü'nün Güvenlik Laboratuvarı), şirketinizin veya kamu kurumunuzun güvenlik ekipleri veya yerel güvenlik güçleri.
  • Değerlendirmek cihazı değiştir SIM/eSIM'i tamamen değiştirin.
  • Potansiyel olarak virüs bulaşmış yedeklemeleri geri yüklemekten kaçının.

Katılım göstergelerinin kritik sınırlamaları

Herkese açık casus yazılım doğrulama araçları, tehdit araştırma ekipleri tarafından paylaşılan IOC'lerle (Güvenlik İhlali Göstergeleri) çalışır. Bu şu anlama gelir:

1) Olumlu bir gösterge kesin kanıt değildir.Bu, geçmişte belirli bir web sitesini ziyaret etmiş olmak gibi basit bir nedene dayalı yanlış pozitif bir sonuç olabilir. Her zaman daha fazla analiz ve bağlam gerektirir.

2) Tüm göstergeler bilinmiyor.Birçok enfeksiyon kontrol merkezi özeldir veya henüz keşfedilmemiştir, bu nedenle "temiz" bir sonuç yanlış negatif olabilir. Bulguların olmaması, enfeksiyonun olmadığı anlamına gelmez.

Ciddi bir adli analiz, erişim gerektirir. Gizli göstergeler, uzmanlık bilgisi ve tehdit istihbaratı alanındaki deneyimAçık kaynaklı araçlar, yolun sonu değil, ilk filtredir.

Bilgisayardan gelen harici doğrulama araçları

Android donanımını denetlemek için adımlar

Cep telefonunda doğrudan çalışan uygulamalara ek olarak, bilgisayarda çalışan ve telefonu adli izler açısından tarayan yardımcı programlar da bulunmaktadır. Bu çözümler genellikle günlükleri, yedeklemeleri ve diğer belgeleri çıkarır. Daha sonra bu verileri şüpheli kalıplar açısından analiz ederler.

Mobil Doğrulama Araç Seti (MVT)

MVT, iOS yedeklemelerini ve daha az ölçüde Android yedeklemelerini analiz etme yeteneğiyle tanınmıştır. Potansiyeli özellikle Apple ekosisteminde çok belirgindir çünkü iTunes'un şifrelenmiş kopyaları çok büyük miktarda dosya içeriyor. Bu, çok sayıda aktiviteyi izlemeye olanak tanır.

Android'de işler daha karmaşıklaşıyor: sistem, adli amaçlar için yararlı olan çok daha az teşhis bilgisi saklıyor, bu nedenle mvt-android'in yetenekleri oldukça sınırlıdır.Bununla birlikte, bilinen eserleri yayınlanmış IOC'lerle ilişkilendirmek için değerli bir araç olmaya devam etmektedir.

iOS kullanıyorsanız ve yüksek riskli bir ortamda çalışıyorsanız, önerilen yaklaşım genellikle şunları içerir:

  • Oluşturmak düzenli yedeklemeler iTunes ile birlikte, yeni IOC'ler ortaya çıkarsa daha sonra MVT ile analiz edilebilmeleri için.
  • Kayıtları oluşturun ve muhafaza edin. sistem teşhisiBu, gelecekteki araştırmalar için paha biçilmez bir kaynak olabilir.
  • Etkinleştir Blok Modu saldırı yüzeyini azaltmak için.
Dosyalarınızı Google'a ihtiyaç duymadan özel bir bulut için Nextcloud ile senkronize edin.
İlgili makale:
Dosyalarınızı Google'a ihtiyaç duymadan özel bir bulut için Nextcloud ile senkronize edin.

MVT, cihazın jailbreak yapılmış veya rootlanmış olması durumunda daha derinlemesine analiz yapılmasına da olanak tanır, ancak tam olarak ne yaptığınızı bilmiyorsanız, Cihazı root veya jailbreak yoluyla açmak riski önemli ölçüde artırır. yeni saldırılar.

iOS'ta MVT için arayüz olarak iMazing

iOS ekosisteminde iMazing, MVT'nin üzerinde bir tür "kullanıcı dostu katman" sunar. Tarama işlemini otomatikleştirir ve kullanıcıya bu süreçte rehberlik eder. Kamuoyu katılım göstergeleriyle birlikte. Komut satırıyla boğuşmak zorunda kalmadan MVT'nin gücünden yararlanın.

Ancak, söylenen her şey... MVT sınırlamaları, yanlış pozitifler ve yanlış negatifler eşit şekilde geçerlidir. iMazing'de, sonuçların bağlamını anlamak ve olumsuz bir raporun her şeyin mükemmel olduğu anlamına geldiğini varsaymamak çok önemlidir.

Android cihazın kendisinde bütünlük doğrulaması

Gelişmiş adli bilişim araçlarının ötesinde, doğrudan cep telefonunuza yükleyebileceğiniz ve şu amaçlarla kullanabileceğiniz çözümler de mevcuttur... İşletim sisteminin kurcalanıp kurcalanmadığını veya eski sürüme düşürülüp düşürülmediğini kontrol edin.Daha önce de ele aldığımız Auditor, Android'deki en temsili örnektir.

Bu modelde, denetlenen telefon ve denetçi, donanım anahtar deposunda saklanan özel bir anahtar kullanarak ilk güven ilişkisini kurarlar. Bu ilk anlık görüntüden yola çıkarak, Sistemde veya güvenlik yapılandırmalarında yapılan sonraki ilgili değişiklikler tespit edilir. Yeni doğrulamalarda. Uzaktan onaylama, aşağıdaki gibi hizmetler tarafından gerçekleştirilir: Grafen işletim sistemi Bu gözetim daha da genişletiliyor.

Bu yaklaşım, örneğin şu durumlarda idealdir: Telefonunuzu genellikle gözetimsiz bırakıyorsunuz. Yoksa birilerinin geçici fiziksel erişimden yararlanarak bir şeyi "zorla" kurabileceğinden mi endişeleniyorsunuz?

Android donanımınızı röntgenleyen uygulamalar

Eğer istediğin buysa bileşenlerin ne olduğunu derinlemesine bilmek Telefonunuzun nasıl kurulduğunu, nasıl yapılandırıldığını ve nasıl davrandığını anlamak için Android, tam da bu amaç için tasarlanmış bir dizi uygulama sunar. PC dünyasından miras kalan klasiklerden, gerçek zamanlı izleme özelliğine sahip modern yardımcı programlara kadar, Hepsi de donanıma farklı bir bakış açısı sunuyor..

AIDA64: Her detayı görmenin olmazsa olmaz aracı

AIDA64, PC'lerde oldukça bilinen bir uygulamadır ve Android sürümü de büyük beğeni toplamıştır. Donanım ve yazılım bilgilerine danışmak için en kapsamlı araçlardan biri.İşlemciden ve grafik işlemciden bataryaya, ağa, sensörlere veya belleğe kadar çok detaylı bir teknik liste görüntüler.

Uygulama, işlemci frekanslarının gerçek zamanlı ölçümünü içeriyor. Ekran boyutları ve çözünürlüğü, piksel yoğunluğu, pil türü ve durumuWiFi ve hücresel ağ hakkında bilgi, SoC modeli, çekirdek sürümü, önyükleyici ve diğer birçok dahili ölçüm. Android telefonlarda, tabletlerde, TV'lerde ve saatlerde çalışır.

CPU-Z: İşlemci, RAM ve sensörlere ait teknik veriler

Windows sürümünden esinlenerek, CPU-Z Android için, size şunları sunmaya odaklanıyor: İşlemci, RAM, pil ve sensörler hakkında "teknik detay" düzeyinde veriler.Bilgileri CPU, Sistem, Bellek, Pil ve Sensörler sekmelerine ayırın.

Bu, SoC modelini, çekirdek sayısını ve diğer detayları görmenizi sağlar. Her bir çekirdeğin gerçek zamanlı frekansı, mimarisi, desteklenen komutlar ve GPU durumuCihazın beklendiği gibi çalışıp çalışmadığını veya donanımın üreticinin vaatleriyle örtüşüp örtüşmediğini kontrol etmek için çok kullanışlıdır.

DevCheck: İyi bir arayüzle gerçek zamanlı izleme

DevCheck, Material Design tabanlı bir panel kullanarak son derece görsel bir yaklaşım benimsiyor. her bir çekirdeğin yükü, CPU ve GPU frekansı, SoC ve pil sıcaklığıKullanılan bellek ve dolu depolama alanı.

Ek olarak, aşağıdaki konularda detaylı bilgiler düzenler: cihaz modeli, kameralar, ağ, sensörler ve işletim sistemiRoot erişimine sahip kullanıcılar daha da fazla dahili detaya erişebilir, bu da uygulamayı hem meraklı hem de ileri düzey kullanıcılar için oldukça ilgi çekici hale getirir.

Droid Donanım Bilgileri ve Cihazım: iyi organize edilmiş teknik özellikler

Droid Hardware Info, bilgileri Sistem, Aygıt, Bellek, Kamera, Sıcaklık, Pil ve Sensörler gibi bölümlere ayırarak oldukça yapılandırılmış bir teknik veri sayfası sunar. Arayüzü daha geleneksel olsa da, Çipset, üretici, model, yapı ve mimari bilgilerini listelemek için mükemmeldir. ve iç sıcaklıklar.

En önemli avantajlardan biri, şu olasılıktır: Tüm bu bilgileri bir dosyaya aktarın.Onarım işlemlerini belgelemek, ikinci el cep telefonu satışını hazırlamak veya cihazın teknik kaydını tutmak gerektiğinde kullanışlıdır.

"Cihazım – Cihaz Bilgileri" ise sadelik ve derinlik arasında bir denge kurmayı amaçlıyor. Özellikleri arasında şunlar yer alıyor: Veriler, cihaz ve sistem bilgilerinden ağ, sensör ve uygulamalara kadar net kategoriler halinde düzenlenmiştir.Bu, karmaşık menülerle uğraşmadan her şeyi bulup erişmek isteyen kullanıcılar için çok kullanışlı hale getiriyor.

Cihaz Bilgileri HW: Dahili bileşenlerin ve sürücülerin incelenmesi

Tipik CPU ve RAM listelemelerinin ötesine geçmek isteyenler için Device Info HW harika bir uygulama. Bu uygulama, işlemci ve RAM performansını en iyi şekilde göstermeyi amaçlıyor. Akıllı telefonun her bir fiziksel bileşenini ve ilgili kontrol cihazlarını doğru bir şekilde tanımlamak içinEkran, dokunmatik panel, kameralar, sensörler, LPDDR bellek türü, eMMC/UFS depolama çipi, ses, NFC, şarj cihazı, WiFi, pil…

Bu, CPU, GPU, sistem, bellek, pil, sensörler, bölümler ve sürücüler için ayrılmış sekmeler içerir. Birçok cihazda, şunları görüntüleyebilir: Gerçek RAM frekansları, I2C/SPI aygıt listesi, PMIC bilgileri (voltaj regülatörleri) ve bazı MTK veya Xiaomi gibi belirli terminallerde mühendislik menülerine erişim.

Root yetkileriyle, Android'in yeni modellerinde engellediği daha fazla alanı okuyabilirsiniz. Ayrıca, bu yetkiler şunlara da olanak tanır: HTML veya PDF formatında raporlar oluşturun, uzun basarak metin kopyalayın ve diğer cihazlardan çevrimiçi bir veritabanını sorgulayın. Verilerinizi yükleyerek bunları karşılaştırabilir ve işbirliği yapabilirsiniz.

Castro ve diğer görsel araçlar

Castro, her şeyden önce titiz tasarımıyla öne çıkıyor. Uygulamayı açar açmaz durumuna dair bir genel bakış sunuyor ve yan menüden, Bu sayede işlemci, grafik işlemci, bellek, sensörler, ağlar ve sistemler hakkında daha derinlemesine bilgi edinebilirsiniz.Ekranı sayesinde, telefonu kullanırken RAM veya depolama kullanımındaki değişiklikleri kolayca takip edebilirsiniz.

Ayrıca, donanımı, yazılımı, sensörleri, bağlantıyı ve uygulamaları tek bir arayüzde merkezileştiren Toralabs'ın Device Info gibi çözümler de bulduk. Bu tür uygulamalar şunlar için idealdir: Android cihazınızın eksiksiz bir "kimlik belgesine" sahip olun. Birkaç farklı araç kurmadan.

Cep telefonunuzun donanımını ve sağlığını fiziksel olarak test etmek için kullanılan uygulamalar.

Telefonunuzun hangi bileşenlere sahip olduğunu bilmek yeterli değil; çoğu durumda, şunları da bilmek önemlidir... eğer bu bileşenler gerçekten iyi çalışıyorsaBu, kullanılmış cep telefonları alırken veya satarken, tamir sonrası durumlarda veya bir sorun olduğundan şüpheleniyorsanız çok önemlidir.

Android'inizi Test Edin: Özellikleri ve Sensörleri Hızlıca Kontrol Edin

Test Your Android, herhangi bir kullanıcının birkaç dakika içinde cihazını kontrol edebilmesi için tasarlanmıştır. dokunmatik ekran, hoparlörler, mikrofon, kamera, temel sensörler ve diğer özellikler. Ayrıca el feneri, ses seviyesi ölçer ve barkod okuyucu gibi yardımcı programlar da içerir.

Zayıf noktası, çok sayıda açılır reklam göstermesidir. Test sonrasında detaylı raporların olmaması ve ölü piksel algılama modunun biraz yavaş olmasıYine de, her şeyin çalışıp çalışmadığını hızlıca kontrol etmek için oldukça kullanışlı.

Phone Doctor Plus ve Dr.Fone ile telefonla doğrulama.

Phone Doctor Plus daha çok teşhis ve optimizasyona odaklanmıştır. Uygulama yorumları pil, işlemci, iletişim çipi, GPS, ivmeölçer, jiroskop ve diğer sensörler, anormallikleri tespit etmek ve cihazınızı iyi durumda tutmanıza yardımcı olmak amacıyla kullanılmaktadır.

Dr.Fone paketi içerisinde şu işlevi buluyoruz: “Telefonla doğrulama”Bu araç, cihazın genel durumu hakkında bir rapor oluşturur: depolama kapasitesi ve sağlığı, pil durumu ve sıcaklığı, RAM vb. Hem bireysel kullanıcılar hem de ikinci el cihazları kontrol eden mağazalar için çok faydalıdır.

Entegre üretici teşhis ve profesyonel yazılım

Google Play'in ötesinde, birçok üretici şunları içerir: dahili teşhis menüleri veya önceden yüklenmiş uygulamalar Donanımı resmi olarak kontrol etmek, özellikle garanti kapsamındaki veya operatörlere bağlı cihazlar için oldukça önemlidir.

Örneğin, bazı Samsung cihazlarında *#0*# tuşlamak, ekran, sensörler, titreşim ve hoparlörler için bir test paneli açar (operatör devre dışı bırakmadıysa). Motorola genellikle Cihaz Yardımı uygulamasını donanım ve bağlantı teşhis bölümüyle entegre eder. Huawei, yerleşik modül olarak HwMMITest'i kullanır ve bu modüle Ayarlar'dan sistem uygulamaları aratarak erişilebilir.

Profesyonel alım satım ortamında, Phonecheck gibi yazılımlar öne çıkıyor ve şu performansı sergiliyor: Ses, kamera, ekran, batarya, sensör, bağlantı ve bileşen orijinalliğine ilişkin 80'den fazla otomatik kontrol.Çalıntı cep telefonlarının IMEI numaralarını, veritabanlarındaki durumlarını, operatör kilitlerini, bilinen onarım geçmişini içeren raporlar oluşturur ve özellikle büyük miktarlarda yenilenmiş cihaz söz konusu olduğunda güvenli silme ve kilit açma işlemlerini onaylar.

Gerçek gücü ölçmek: CPU, GPU ve pil performans testleri

Telefonunuzun performansının beklendiği gibi olup olmadığını öğrenmek istediğinizde, kıyaslama uygulamaları devreye girer. Bu araçlar, Android cihazınızı çeşitli testlere tabi tutar... yoğun iş yükleri, grafikler ve sistemve diğer modellerle karşılaştırmanıza olanak tanır.

Antutu ve Geekbench: Genel ve CPU performansı karşılaştırma testleri

Antutu Benchmark, en bilinen isimlerden biridir. CPU, GPU, RAM, kullanıcı deneyimi ve depolama için ayrı ayrı testler yaparak bir performans puanı üretir. genel ve kısmi puanlarTam bir bilimsel yöntem değil, ancak cihazınızı diğerleriyle karşılaştırmanıza ve fiyat aralığına uygun olup olmadığını görmenize yardımcı olur.

Geekbench daha çok işlemciye odaklanır: tek çekirdekli ve çok çekirdekli performansı ölçer. gerçek iş yüklerini simüle eden görevlerAyrıca GPU hesaplama testlerini de içerir. Avantajı, platformlar arası uyumlu olmasıdır; bu sayede Android cihazınızı iPhone'lar, bilgisayarlar ve diğer cihazlarla karşılaştırabilirsiniz.

3DMark, GFXBench ve PCMark: grafik ve gerçek dünya kullanımı

3DMark, grafik performansı konusunda uzmanlaşmıştır. Testleri arasında şunlar yer alır: Vahşi Yaşam veya Vahşi Yaşamın Aşırı Yönleri Modern oyunları hem kısa süreli çalıştırmalarda hem de uzun süreli stres testlerinde simüle ederek, aşırı ısınma nedeniyle performans düşüşü olup olmadığını inceliyorlar.

Cep telefonunuzu FTP sunucusu olarak nasıl kullanıp dosya aktarabilirsiniz?
İlgili makale:
Cep telefonunuzu güvenli bir dosya sunucusu olarak nasıl kullanabilirsiniz?

GFXBench, çok çeşitli testlerle (Aztek Harabeleri, Manhattan, T-Rex, vb.) grafik performansını bir adım daha ileri taşıyor. Kararlılığı, güç tüketimini ve GPU yeteneklerini analiz etmek OpenGL veya Vulkan gibi API'lerle çalışır. Ayrıca özel pil testleri de içerir.

PCMark farklı bir yaklaşım benimsiyor: sentetik yükler kullanmak yerine, görevler kullanıyor. Web tarama, video düzenleme, görüntü rötuşlama, yazma ve veri işleme Cihazın günlük kullanımda nasıl performans gösterdiğini ölçmek için kullanılır. Özellikle gerçekçi çalışma senaryolarında pil ömrünü karşılaştırmak için faydalıdır.

Tamamlayıcı araçlar ve hafıza testleri

Daha az popüler olsalar da yine de faydalı olan başka araçlar da var. Örneğin PassMark, CPU, disk, bellek ve hafif grafik performansını değerlendirir. Ayrıca, birden fazla terminalden gelen sonuçları içeren çevrimiçi bir veritabanı tutmaktadır. Disk Speed, dahili ve harici depolama birimlerinin okuma ve yazma hızlarını ölçmeye odaklanmaktadır.

AI Benchmark daha yeni bir çalışma ve şunlara odaklanıyor: Yapay zeka görevleri (yüz tanıma, görüntü sınıflandırma, metin okuma vb.)Bu, birçok modern SoC'de bulunan NPU'lardan ve özel hızlandırıcılardan yararlanarak gerçekleştirilir.

Ayrıca, donanım bilgilerini pratik yardımcı programlar ve mikrofon, Bluetooth ve el feneri için basit testlerle birleştiren CPU X gibi uygulamalardan ve toplam fiziksel ve sanal RAM kapasitesini gösteren RAM Booster gibi araçlardan da bahsetmekte fayda var. Sonuncu durumda, agresif "optimizasyon araçlarına" karşı dikkatli olun. Modern Android, belleği kendi başına iyi yönetir ve zorla kapatma aslında performansı kötüleştirebilir..

Android uygulamaları için güvenlik analizi araçları

"Donanımı denetlemek"ten bahsettiğimizde, aslında çoğu zaman şunu kastediyoruz: Cihazda veya verilerde risk oluşturmadığından emin olun; çalışan uygulamaların cihazı veya verileri tehlikeye atmadığından emin olun.İşte tam bu noktada, güvenli geliştirme ve sızma testleriyle yakından bağlantılı olan Android uygulama güvenliği denetimi dünyası devreye giriyor.

Android ekosistemi, ezici bir pazar payıyla mobil pazara hakim durumda. Bu durum, aşağıdakilerin ortaya çıkmasına yol açmıştır: Google Play ve diğer platformlarda milyonlarca uygulamaBu şirketlerin çoğu bankacılık, sağlık veya eğitim bilgileri gibi son derece hassas verilerle çalışmaktadır. Güvenliklerinin denetlenmesi, veri sızıntılarını, dolandırıcılığı ve düzenleyici cezaları (GDPR, PCI DSS, vb.) önlemek için çok önemlidir.

Mobil uygulamalardaki en büyük tehditler (OWASP Mobil İlk 10)

OWASP'ın Mobil En İyi 10 listesi, mobil uygulamaları etkileyen en yaygın tehditleri içeriyor. Bunlar arasında şunlar yer alıyor:

  • Platformun kötüye kullanımıİzinleri, güvenlik API'lerini veya parola mekanizmalarını göz ardı etmek.
  • Güvenli olmayan veri depolama: Veritabanları, günlükler veya şifrelenmemiş yerel depolama.
  • Güvensiz iletişim: Eski veya şifrelenmemiş protokollerin (eski SSL, düz HTTP) kullanımı.
  • Zayıf kimlik doğrulama ve yetkilendirmeYanlış oturum yönetimi, zayıf parolalar veya kontrollerin atlanması.
  • Yetersiz şifrelemeFiziksel bir saldırganın veya kötü amaçlı yazılımın hassas verilere erişmesine olanak tanır.
  • İstemci tarafında düşük kod kalitesi.Kötü uygulamalar, hata kontrolünün eksikliği, taşmalar.
  • Kod değişikliği ve gizli işlevsellikArka kapılar, unutulmuş hata ayıklama fonksiyonları, ayrıcalıklı hesaplar.
  • Tersine mühendislik İkili koddan gizli bilgileri çıkarmak veya iç mantığı anlamak.

OWASP MAS metodolojisi ve mobil güvenlik kontrol listesi

OWASP Mobil Uygulama Güvenliği (MAS) projesi, bir metodoloji ve ayrıntılı bir kontrol listesi sunmaktadır. Mimari, tasarım, gizlilik, kriptografi, kimlik doğrulama, iletişim, platform etkileşimi, kod kalitesi ve dayanıklılığı değerlendirin. Mobil uygulamalar için geliştirilen bu çerçeve, hem geliştiricilere hem de denetçilere uygulamaların tasarım açısından sağlam olmasını sağlamada yardımcı olur.

Uygulamaları denetlemek için statik, dinamik ve hibrit araçlar.

Bu denetimleri gerçekleştirmek için, statik analiz teknikleri (uygulamayı çalıştırmadan) ve dinamik teknikler (uygulamanın davranışını gerçek zamanlı olarak gözlemleyerek) birleştirilir.

Statik araçlar arasında şunlar öne çıkmaktadır:

  • Tarım ve Köyişleri BakanlığıAPK dosyalarının ayrıştırılması, derlemesinin çözülmesi, bulanıklaştırmanın giderilmesi, izinlerin ve metin dizelerinin çıkarılması için bir çerçeve.
  • APK AnalizörüAPK dosyasının izinlerini, etkinliklerini, sertifikalarını, imzalarını ve iç yapısını gösterir.
  • JAADALARİletişim kanallarını (IPC) analiz etmeye ve ortaya çıkan güvenlik açıklarını tespit etmeye odaklanmıştır.

Dinamik analizde şunları buluyoruz:

  • DrozerDalvik sanal makinesiyle, diğer uygulamalardan gelen IPC noktalarıyla ve sistemin kendisiyle etkileşime girerek güvenlik açıklarını arar.
  • Burp Süiti: Uygulama ile sunucuları arasındaki HTTP/HTTPS trafiğini yakalamaya ve yönetmeye olanak sağlayan web proxy'si.
  • Denetleme: Android API fonksiyonlarına kancalar uygular Bir uygulamanın gerçek zamanlı olarak neler yaptığını görün..

Ayrıca, Mobil Güvenlik Çerçevesi (MobSF) gibi hibrit çerçeveler, statik ve dinamik analizi birleştirerek bir uygulamanın davranışına ilişkin çok kapsamlı bir bakış açısı sağlar.

Denetim yapmak için kullanılan güvenlik açığı bulunan uygulamalar

Mobil güvenlik konusunda ciddi anlamda eğitim almak için, pratik yapmak şarttır. Saldırıya açık tasarlanmış savunmasız uygulamalarSıklıkla kullanılan bazı örnekler şunlardır:

  • GüvensizMağaza: Root erişimi gerektirmeden bile 19 adet istismar edilebilir güvenlik açığına sahip, Android için savunmasız bir çevrimiçi mağaza.
  • AndroKeçiKotlin ile yazılmış, 24 güvenlik açığı içeren ilk savunmasız uygulama.
  • InsecureBank V2Python tabanlı bir bankacılık uygulaması, 25 farklı güvenlik açığı içeriyor.
  • Çatlaklar MAS projesinden: Tersine mühendislik ve güvenlik sorunlarına odaklanan, zorluk derecesine göre düzenlenmiş bir dizi uygulama.

Android çerçeveleri ve test paketleri (uzman seviyesi)

Profesyonel Android uygulama test dünyasında, fonksiyonel ve arayüz testlerini otomatikleştirmeye odaklanan birçok başka araç da ortaya çıkmıştır; bunların çoğu aynı zamanda Bunlar kalite ve güvenlik süreçlerinde kullanılır..

Appium

Appium, test işlemlerini mümkün kılan, platformlar arası bir otomasyon çerçevesidir. Android ve iOS'ta yerel, web ve hibrit uygulamalar Java, JavaScript, Ruby, Python, PHP, C# veya Robot Framework gibi dilleri kullanarak.

NodeJS ve JSON Wire protokolüne dayalı bir HTTP sunucusu olarak çalışır ve hem fiziksel cihazları hem de emülatörleri destekler. Çok güçlüdür ve geniş bir topluluğa sahiptir, ancak İlk kurulumu karmaşık ve çalıştırılması da en hızlısı değil.Android ve iOS arasında aynı test kodunu yeniden kullanmak isteyen QA ekipleri için idealdir.

Espresso

Google tarafından geliştirilen Espresso, Android için çok popüler bir kullanıcı arayüzü test çerçevesidir. Geliştirme yaşam döngüsünün içine entegre edilmiş beyaz kutu testleri için tasarlanmıştır. Java veya Kotlin kullanır ve JUnit ile CI/CD sistemleriyle iyi entegre olur..

API'si basittir, bu da kısa bir öğrenme süreciyle kullanıcı arayüzü test senaryoları yazmanıza ve bunları çok hızlı bir şekilde çalıştırmanıza olanak tanır. Ancak, Sadece Android için çalışır ve dil desteğini Java/Kotlin ile sınırlandırır.Aynı proje içerisinde sağlam kullanıcı arayüzü testleri yürütmek isteyen geliştiriciler için harika bir seçenek.

UiAutomator ve Robotium

Google'ın bir diğer ürünü olan UiAutomator, Android SDK'nın bir parçasıdır ve şunlara olanak tanır: Uygulamalar arasında ve sistem düzeyinde fonksiyonel arayüz testleri. (fiziksel düğmeler, sistem menüleri vb.). En az Android 4.3 ve nispeten yeni API'ler gerektirir ve yalnızca Java/Kotlin'i destekler.

Robotium, yerel ve hibrit uygulamalar için gri kutu test otomasyon çerçevesidir. "Android için Selenium"a benzer şekilde, Hem kaynak kod hem de APK dosyalarıyla test yapılmasına olanak tanır.Hafif ve hızlıdır, Gradle veya Maven ile iyi entegre olur, ancak web bileşenlerini veya birden fazla uygulamanın eş zamanlı testini desteklemez.

Sürekli test ve paralel yürütme laboratuvarları

Appium, Espresso, UiAutomator veya Robotium gibi çerçeveler seçildikten sonra, birçok şirket bunları sürekli test platformlarına entegre etmeyi tercih eder. Bu sayede gerçek ve sanal cihazlardan oluşan veri kümelerinde yüzlerce testin paralel olarak çalıştırılması mümkün oluyor.Bu tür bir çözüm, tüm modelleri fiziksel olarak elinizde bulundurmanıza gerek kalmadan, çok çeşitli donanımlardaki performans ve uyumluluk sorunlarını keşfetmenize yardımcı olur.

Yüklemeden önce Android güncellemesini etkinleştirin
İlgili makale:
Android'de Tam Donanım Tanılaması: Adım Adım Kılavuz

Auditor ve MVT'den AIDA64, Device Info HW, grafiksel kıyaslama testleri ve test çerçevelerine kadar uzanan bu araç ekosisteminin tamamı, bir araya getirildiğinde oldukça sağlam bir araç kutusu oluşturmaktadır. Android donanımınızın bütünlüğünü, güvenliğini ve performansını doğrulayın..

Donanım tabanlı doğrulama, güvenlik açığı göstergelerinin analizi, bileşen teşhisi, gerçekçi kıyaslamalar ve uygulama denetimi için en iyi uygulamaları birleştirerek, ister yeni ister ikinci el olsun, cep telefonunuzun "tam röntgenine" çok yakın bir görünüm elde etmek mümkündür. Konuyla ilgili daha fazla kişinin bilgi sahibi olması için bilgileri paylaşın.


İlginizi çekebilir:
Android'de virüsler nasıl kaldırılır
Bizi Google Haberler'de takip edin