https://github.com/fatihtuzunn/mobiletys
mobile application (ipa & apk) static analysis tool
https://github.com/fatihtuzunn/mobiletys
android-security ios-security mobile-application-security-testing static-analysis-tools
Last synced: 6 months ago
JSON representation
mobile application (ipa & apk) static analysis tool
- Host: GitHub
- URL: https://github.com/fatihtuzunn/mobiletys
- Owner: fatihtuzunn
- Created: 2025-05-11T17:40:03.000Z (11 months ago)
- Default Branch: main
- Last Pushed: 2025-05-11T17:52:51.000Z (11 months ago)
- Last Synced: 2025-05-11T18:35:25.489Z (11 months ago)
- Topics: android-security, ios-security, mobile-application-security-testing, static-analysis-tools
- Language: Python
- Homepage:
- Size: 0 Bytes
- Stars: 0
- Watchers: 1
- Forks: 0
- Open Issues: 0
-
Metadata Files:
- Readme: README.md
Awesome Lists containing this project
README
# 📱 Mobil Statik Analiz Aracı (APK & IPA)
Android ve iOS uygulama dosyaları (`.apk`, `.ipa`) üzerinde hızlı, hafif ve açıklayıcı statik analizler gerçekleştiren bir masaüstü güvenlik aracı.
## 🎯 Neden Bu Araç?
MobSF gibi araçlar güçlü olsalar da:
- Kurulumları karmaşık,
- Sonuçları fazla detaylı ve yorucu,
- iOS desteği oldukça sınırlı.
Bu araç:
- Docker veya emulator gerektirmez,
- Tek tıklamayla analiz başlatır,
- Hem iOS hem Android için sade ama anlamlı sonuçlar sunar.
## 🚀 Özellikler
### ✅ Android (APK)
- `AndroidManifest.xml` analizi (izinler, exported bileşenler, scheme’ler)
- Tehlikeli izinlerin tespiti ve renklendirilmiş tablo ile gösterimi
- Custom YARA kuralları ile `.dex`, `.smali` ve `.xml` içinde imza taraması
- Hardcoded API anahtarları, şüpheli stringler
- Zafiyet imzaları (ör. `Runtime.exec()`, `DexClassLoader`, `setJavaScriptEnabled(true)`)
- SHA1, SHA256, MD5 hash hesaplamaları
### 🍏 iOS (IPA)
- `Info.plist` analizi (ATS, debug flag, scheme, background modes)
- **iOS App Permissions (NSUsageDescription)** analizi, risk seviyelerine göre sınıflandırma
- `embedded.mobileprovision` dosyasından:
- Profil tipi (App Store, Ad-Hoc vs.)
- UDID tanımlı mı?
- Sertifika bitiş tarihi
- Entitlements içeriği
- `.entitlements` dosyasının ayrıştırılması ve analiz edilmesi
- `frida`, `cycript`, `.dylib` gibi şüpheli dosya tespiti
## 🧰 Teknoloji Yığını
- Python (Flask) → REST API
- Electron + Vanilla JavaScript → masaüstü GUI
- `zipfile`, `plistlib`, `re`, `yara-python` → dosya bazlı analiz
- Docker/emulator gerekmez, tüm analizler statik olarak çalışır
## 🖥️ Kurulum
```bash
git clone https://github.com/fatihtuzunn/mobiletys.git
cd mobiletys
```
### 1. Python API (Backend)
```bash
cd python-api
pip install -r requirements.txt
python app.py
```
### 2. Electron Uygulaması (Frontend)
```bash
cd electron-app
npm install
npm start
```
## 📸
## ✍️ Katkı ve İletişim
İstek, katkı ya da geri bildirim için LinkedIn üzerinden bana ulaşabilirsiniz.
Her türlü yapıcı geri bildirimi memnuniyetle karşılarım.
## ⚠️ Uyarı
Bu araç yalnızca **yasal testler**, eğitim amaçlı analizler ve kendi uygulamalarınızın güvenliğini denetlemek için geliştirilmiştir. Başkalarının uygulamalarını izinsiz analiz etmek **yasalara aykırıdır**.