Giới thiệu chung về MobSF
Mobile Security Framework (MobSF) là một nền tảng nghiên cứu bảo mật mã nguồn mở dành cho các ứng dụng mobile trên nền tảng Android, iOS và Windows Mobile. Với hơn 20.900⭐ stars trên GitHub và 3.700+ forks, MobSF là một trong những công cụ phổ biến nhất cộng đồng bảo mật sử dụng để:
- Kiểm tra bảo mật ứng dụng mobile (Mobile Application Security)
- Kiểm thử thâm nhập (Penetration Testing)
- Phân tích mã độc (Malware Analysis)
- Phân tích quyền riêng tư (Privacy Analysis)
MobSF được phát triển chủ yếu bằng JavaScript (35.5%), Python (33.1%) và HTML (27.5%), chạy trên cả ba hệ điều hành macOS, Linux và Windows, yêu cầu Python 3.12+ và được phát hành theo giấy phép GPL-3.0.
Các chức năng chính của MobSF
MobSF cung cấp hai module phân tích cốt lõi lớn: Static Analyzer (Phân tích tĩnh) và Dynamic Analyzer (Phân tích động), cùng khả năng tích hợp DevSecOps/CI/CD mạnh mẽ.
1. Static Analyzer – Phân tích tĩnh
Trình phân tích tĩnh của MobSF hỗ trợ phân tích các file binary phổ biến và mã nguồn ứng dụng mobile. Cụ thể:
| Định dạng hỗ trợ | Nền tảng | Mô tả |
|---|---|---|
| APK | Android | Phân tích file APK đã build sẵn (Android Package) |
| IPA | iOS | Phân tích file IPA của ứng dụng iOS |
| APPX | Windows Mobile | Phân tích file APPX ứng dụng Windows Phone |
| Source Code | Android / iOS | Phân tích trực tiếp mã nguồn của ứng dụng |
Static Analysis – Android
Khi tải lên một file APK, MobSF sẽ tiến hành phân tích toàn diện bao gồm: phân tíchManifest, phát hiện lỗ hổng trong code, kiểm tra cấu hình bảo mật, tìm kiếm các key/API secret bị hardcode, và nhiều hơn nữa.
GIF minh họa quá trình phân tích tĩnh ứng dụng Android bằng MobSF — từ lúc tải file APK lên cho đến khi nhận báo cáo chi tiết.
Static Analysis – iOS
Tương tự với Android, MobSF hỗ trợ phân tích tĩnh file IPA của iOS, bao gồm kiểm tra binary protection, phân tích Info.plist, phát hiện các vấn đề bảo mật trong cấu hình ATS (App Transport Security), và phân tích Swift source code.
GIF minh họa quá trình phân tích tĩnh ứng dụng iOS (.ipa) trên MobSF.
2. Dynamic Analyzer – Phân tích động
Dynamic Analyzer của MobSF hỗ trợ cả Android và iOS, cung cấp một nền tảng cho:
- Kiểm thử tương tác có instrument (Interactive Instrumented Testing)
- Phân tích dữ liệu runtime (Runtime Data Analysis)
- Phân tích lưu lượng mạng (Network Traffic Analysis)
Dynamic Analysis – Android APK
GIF minh họa phân tích động ứng dụng Android — MobSF chạy ứng dụng trong môi trường emulator/device và theo dõi hành vi runtime.
Dynamic Analysis – iOS IPA
GIF minh họa phân tích động ứng dụng iOS — MobSF thực hiện instrument và giám sát ứng dụng chạy trên thiết bị iOS.
3. Web API Viewer – Xem và kiểm thử API
MobSF cung cấp Web API Viewer, cho phép người dùng xem, kiểm tra và phân tích toàn bộ các API call mà ứng dụng mobile thực hiện. Công cụ này có thể tích hợp với Burp Suite để thực hiện API fuzzing — một kỹ thuật kiểm thử bảo mật API bằng cách gửi các dữ liệu bất thường/độc hại.
GIF minh họa tính năng Web API Viewer và API fuzzing kết hợp với Burp Suite trên MobSF.
4. Tích hợp REST API và CLI Tools
MobSF cung cấp sẵn REST API và công cụ dòng lệnh (CLI), cho phép:
- Tự động hóa quy trình quét bảo mật
- Tích hợp vào các pipeline CI/CD
- Sử dụng trong quy trình DevSecOps
Công cụ mobsfscan cho CI/CD
Để tích hợp vào CI/CD pipeline, MobSF cung cấp riêng một công cụ gọi là mobsfscan — giúp quét mã nguồn ứng dụng mobile ngay trong quá trình build & deploy.
5. Hỗ trợ Docker
MobSF hỗ trợ triển khai nhanh chóng bằng Docker chỉ với vài lệnh:
docker pull opensecurity/mobile-security-framework-mobsf:latest
docker run -it --rm -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest
# Default username and password: mobsf/mobsf
Sau khi chạy, bạn truy cập giao diện web tại http://localhost:8000 và đăng nhập bằng tài khoản mặc định mobsf/mobsf.
Tổng quan kiến trúc dự án
Cấu trúc thư mục chính của MobSF trên repository:
| Thư mục / File | Chức năng |
|---|---|
mobsf/ |
Thư mục chứa toàn bộ source code chính của MobSF |
docker/ |
Cấu hình Docker cho việc đóng gói và triển khai |
scripts/ |
Các script phụ trợ |
Dockerfile |
File Docker image build |
manage.py |
File quản lý chính (Django management command) |
run.sh / run.bat |
Script chạy MobSF trên Linux/macOS và Windows |
setup.sh / setup.bat |
Script cài đặt môi trường MobSF |
pyproject.toml |
Cấu hình dependency và project (sử dụng Poetry) |
MobSF được xây dựng trên nền Django ( framework Python) như có thể thấy từ file manage.py và sử dụng Poetry để quản lý dependency (pyproject.toml, poetry.lock).
Ngôn ngữ lập trình sử dụng
| Ngôn ngữ | Tỷ lệ | Vai trò |
|---|---|---|
| JavaScript | 35.5% | Xử lý front-end, giao diện web, tương tác người dùng |
| Python | 33.1% | Backend logic, engine phân tích, REST API |
| HTML | 27.5% | Giao diện web template |
| CSS | 3.3% | Định dạng giao diện |
| Shell / Batchfile | 0.4% | Script cài đặt và chạy trên đa nền tảng |
Các Topics (Chủ đề) trên GitHub
MobSF được gắn nhiều topic phản ánh phạm vi hoạt động:
- rest — Hỗ trợ REST API
- static-analysis — Phân tích tĩnh code
- apk — Hỗ trợ phân tích APK Android
- owasp — Tuân theo chuẩn OWASP
- dynamic-analysis — Phân tích động runtime
- web-security — Bảo mật web
- malware-analysis — Phân tích mã độc
- android-security / ios-security / windows-mobile-security — Bảo mật đa nền tảng mobile
- api-testing — Kiểm thử API
- cwe — Common Weakness Enumeration
- devsecops — Tích hợp DevSecOps
- runtime-security — Bảo mật runtime
- mstg / masvs / mastg — OWASP Mobile Security Testing Guide & Application Security Verification Standard
Đội ngũ phát triển
| Tên | Quốc gia |
|---|---|
| Ajin Abraham | 🇮🇳 Ấn Độ |
| Magaofei | 🇨🇳 Trung Quốc |
| Matan Dobrushin | 🇮🇱 Israel |
| Vincent Nadal | 🇫🇷 Pháp |
Thành tích & Công nhận
MobSF đã được công nhận bởi nhiều tổ chức bảo mật uy tín:
| Giải thưởng | Năm |
|---|---|
| ToolsWatch Rank 5 – Top Security Tools | 2016 |
| ToolsWatch Rank 9 – Top Security Tools | 2017 |
| Black Hat Arsenal – Asia | 2015 |
| Black Hat Arsenal – Asia | 2018 |
| Black Hat Arsenal – Europe | 2023 |
MobSF còn được đóng gói sẵn trong các distribution bảo mật nổi tiếng như Android Tamer, BlackArch và Pentoo.
Phiên bản mới nhất
Phiên bản ổn định mới nhất tính đến hiện tại là v4.4.6 (phát hành ngày 21/03/2026), với tổng cộng 52 releases và 2.027 commits trên branch master.
Tài liệu học tập & Hỗ trợ
- Try MobSF Static Analyzer Online: mobsf.live
- MobSF in CI/CD: mobsfscan
- Conference Presentations: Slides & Videos
- MobSF Online Course: OpSecX MAS
- Changelog: See Changelog
- Free Support: Kênh MobSF Slack
- Enterprise Support: Gói hỗ trợ doanh nghiệp tại opensecurity.in/#support
- Documentation chính thức: mobsf.github.io/docs
Source link: Mobile Security Framework – MobSF
