Truegaze是一款专门针对Android和iOS应用程序的静态分析工具,该工具主要针对的是应用程序源代码之外的资源安全问题,例如字符串、第三方库和配置文件等等。广大研究人员可以利用Truegaze来对目标移动端应用程序进行安全检测与分析。
Truegaze工具的正常运行需要Python3环境,我们可以直接在requirements.txt文件中找到所有的依赖模块。该工具目前只在Python3.7环境下进行了测试,但理论上可以在所有的Python 3.x版本上运行,目前该工具还不支持Python2.x环境。
通过pip来安装Truegaze
pip install truegaze
truegaze
truegaze --version
手动安装Truegaze
https://github.com/nightwatchcybersecurity/truegaze
https://github.com/nightwatchcybersecurity/truegaze/releases
git clone https://github.com/nightwatchcybersecurity/truegaze.git
cd truegaze
pip -r requirements.txt
python -m truegaze.cli
枚举功能模块
truegaze list
扫描目标应用程序
truegaze scan com.dbe.com.apk
truegaze scan gbad.ipa
扫描多个应用程序
truegaze scan *.apk
truegaze scan *.ipa
工具架构
Truegaze是一款命令行工具,该工具由多个能够检测安全漏洞的功能模块组成,其中的每一个模块都可以执行单独的扫描任务,所有的扫描结果都可以直接打印输出在命令行工具中。