💭 Jeremys Brain

Frida, Objection und Drozer

2 min read

Wenn es um Mobile App Security geht, sind drei Namen besonders bekannt: Frida, Objection und Drozer. Doch welches Tool ist das richtige für deine Analyse? In diesem Beitrag stelle ich dir die Unterschiede, Stärken und Einsatzgebiete der drei Tools vor – damit du gezielt das passende Werkzeug auswählen kannst.

🧪 Frida – Die Allzweckwaffe für dynamische Analyse

Frida ist ein dynamisches Instrumentierungs-Toolkit, das es dir erlaubt, Code zur Laufzeit zu beobachten und sogar zu verändern. Es funktioniert auf Android, iOS, Windows, Linux und macOS.

Was du mit Frida machen kannst:

  • Methoden hooken und manipulieren

  • API-Aufrufe loggen

  • Root-/Jailbreak-Erkennung aushebeln

  • SSL Pinning umgehen (manuell)

  • RAM nach Tokens oder Schlüsseln durchsuchen

Frida ist extrem mächtig, aber du musst dich mit JavaScript-Skripten auseinandersetzen, um es voll nutzen zu können.

⚙️ Objection – Frida-Power leicht gemacht

Objection ist ein Kommandozeilen-Tool, das auf Frida aufsetzt und viele Standardaufgaben automatisiert. Es richtet sich vor allem an Mobile Pentester, die effizient arbeiten wollen.

Typische Funktionen:

  • SSL Pinning umgehen (mit einem Befehl)

  • Root-/Jailbreak-Erkennung deaktivieren

  • Dateisystem durchsuchen (z. B. SQLite-Datenbanken, Keychain)

  • In-App-Daten anzeigen lassen (z. B. Strings, Methoden)

Ideal für Einsteiger, die schnell Ergebnisse wollen, ohne eigene Hooks zu schreiben.

📦 Drozer – Das Schweizer Taschenmesser für Android-Komponenten

Drozer ist spezialisiert auf die Analyse von Android-Kommunikation: Activities, Services, BroadcastReceiver und ContentProvider. Wenn du herausfinden willst, ob eine App z. B. unsichere IPC-Schnittstellen hat, ist Drozer dein Tool.

Einsatzbeispiele:

  • “Exported” Activities finden und direkt aufrufen

  • ContentProvider auslesen – sogar ohne Berechtigungen

  • Intents manipulieren und an Apps senden

  • Berechtigungs-Checks umgehen

Drozer funktioniert nur mit Android und erfordert Root-Zugriff oder einen installierten Drozer-Agenten.

Fazit: Das richtige Tool für den richtigen Zweck

Ziel der AnalyseBestes Tool
Methoden und Logik manipulierenFrida
Schnelle SicherheitschecksObjection
Android-Komponenten testenDrozer

Am besten führst du deine Mobile App Tests mit einer Kombination aus diesen Tools durch – je nachdem, welche Schwachstellen du aufdecken willst.

MobileSecurityAndroidPentestFridaObjectionDrozer

Mobile-Apps-Analyzing-Overview

Graph View