- MobSF là framework bảo mật mobile mã nguồn mở miễn phí với 21.000 GitHub stars và 4,5 triệu Docker pulls.
- Phân tích tĩnh và động cho APK, IPA, APPX - không cần source code, tự host hoàn toàn.
- Tích hợp OWASP MASVS/MASTG, REST API, CI/CD pipeline qua mobsfscan CLI.
- Phiên bản v4.4.6 phát hành tháng 3/2026, vá lỗi SQL injection và SSO SAML hardening.
TL;DR
MobSF (Mobile Security Framework) là framework mã nguồn mở, miễn phí để kiểm thử bảo mật tự động cho ứng dụng Android, iOS và Windows Mobile. Ra mắt năm 2015 bởi Ajin Abraham, đến nay MobSF đạt 21.000 GitHub stars, 3.700 forks, 4,5 triệu Docker pulls và được trình bày tại Black Hat Arsenal ba lần. Phiên bản mới nhất v4.4.6 (tháng 3/2026) vá lỗi SQL injection trong SQLite DB viewer và hardening thêm SSO SAML.
Vấn đề nó giải quyết
Kiểm thử bảo mật mobile truyền thống có hai vấn đề lớn: chi phí cao và quy trình thủ công. Các công cụ thương mại như NowSecure hay Checkmarx đòi hỏi ngân sách từ hàng nghìn đến chục nghìn USD mỗi năm - rào cản thực sự với startups và nhóm nhỏ.
MobSF phá vỡ điều đó. Một lệnh Docker, upload APK hoặc IPA, nhận báo cáo bảo mật đầy đủ trong vài phút - hoàn toàn miễn phí. Quan trọng hơn: MobSF tự host, không có dữ liệu nào rời khỏi mạng nội bộ của bạn - điều các tổ chức xử lý dữ liệu nhạy cảm đặc biệt cần.
Cách hoạt động bên dưới
MobSF gồm hai engine chính hoạt động bổ sung cho nhau:
- Static Analyzer (SAST): Decompile binary không cần source code. Với Android, phân tích Java/Kotlin bytecode, AndroidManifest.xml, embedded resources. Với iOS, phân tích binary structure, Info.plist, bundled frameworks. Quét tự động: hardcoded credentials & API keys, weak cryptographic implementations, insecure data storage, dangerous permissions, SSL/TLS misconfigurations. Cho điểm 0-100 và xếp hạng A-F.
- Dynamic Analyzer: Sử dụng Frida cho runtime instrumentation - hook vào app đang chạy để theo dõi network traffic, file system operations, crypto function calls, API behavior thời gian thực. Hỗ trợ Android emulator và iOS (cần jailbroken device hoặc Corellium).
Toàn bộ tính năng UI đều có REST API tương ứng, cho phép tích hợp vào CI/CD pipeline hoàn toàn tự động. Ngoài ra, mobsfscan là CLI nhẹ để scan source code Java, Kotlin, Swift, Objective-C - output SARIF cho GitHub Actions, JSON, SonarQube.
Tính năng nổi bật
| Tính năng | Chi tiết |
|---|---|
| Static Analysis | APK, AAB, IPA, APPX - không cần source code |
| Dynamic Analysis | Frida runtime instrumentation cho Android & iOS |
| Malware Detection | Pattern matching IoCs, trackers, embedded payloads |
| OWASP Mapping | Map findings ra MASVS/MASTG - đăng ký MASTG-TOOL-0035 |
| SBOM & SDK Audit | Liệt kê toàn bộ third-party SDK kèm version trong binary |
| REST API | Toàn bộ tính năng đều có API - tích hợp pipeline dễ dàng |
| mobsfscan CLI | Lightweight scanner - output SARIF, JSON, SonarQube, HTML |
| PDF Reports | Export báo cáo đầy đủ cho audit và compliance |
Kể từ v4.3.0 (Jan 2025), MobSF hỗ trợ async scans và tích hợp malware lookup với VirusTotal, Triage, Hybrid Analysis. v4.0.0 thêm SSO/Okta và quét Android App Bundle (AAB).
MobSF vs. công cụ thương mại
MobSF là nền tảng khởi đầu xuất sắc, nhưng cần hiểu rõ giới hạn để dùng đúng chỗ:
| Tiêu chí | MobSF | Enterprise (Appknox, NowSecure) |
|---|---|---|
| Chi phí | Miễn phí (GPL v3.0) | Trả phí / SaaS |
| Real-device DAST | Không - chỉ emulator Android | Có |
| iOS dynamic analysis | Cần jailbroken/Corellium | Tích hợp sẵn |
| False positives | Cao - cần review thủ công | Được tune, noise thấp |
| Transitive deps | Không detect indirect deps | Full dependency tree + alerts |
| CI/CD integration | CLI/manual, cần custom script | Plug-and-play dashboards |
Mẹo thực tế: dùng Drozer bổ sung cho Android IPC/content provider testing, Apktool cho deep APK resource decoding khi MobSF chưa đủ.
Ai nên dùng ngay
- Pentesters cần một tool cover cả static lẫn dynamic cho Android & iOS
- Startups và nhóm nhỏ không có ngân sách cho commercial tools
- Tổ chức xử lý dữ liệu nhạy cảm muốn phân tích on-premises, không upload ra ngoài
- Malware analysts reverse engineer app từ third-party app stores hoặc unknown builds
- DevSecOps teams muốn auto-scan mỗi commit qua REST API hoặc mobsfscan CLI
- Developer mới muốn học security - báo cáo MobSF giải thích rõ tại sao mỗi lỗi nguy hiểm
Bắt đầu trong 3 bước
# 1. Pull và chạy qua Docker (cách nhanh nhất)
docker run -it --rm -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest
# 2. Mở http://localhost:8000 - login: mobsf / mobsf
# 3. Upload APK/IPA - static analysis bắt đầu tự động
# Cho CI/CD pipeline (nhẹ hơn, không cần full server):
pip install mobsfscan
mobsfscan /path/to/source/codeCài từ source yêu cầu Python 3.12+. iOS dynamic analysis cần thêm jailbroken device hoặc Corellium setup. Demo online tại mobsf.live để thử static analyzer không cần cài đặt.
Nguồn
Nguồn: GitHub MobSF, Official Docs, AppSecSanta MobSF 2026, Appknox Guide.