Testez si votre application mobile en a failles de sécurité et le corrige avant qu’il ne nuise à la réputation de votre entreprise.

L’utilisation mobile est en croissance, donc les applications mobiles. Il existe environ 2 millions d’applications sur l’App Store d’Apple et 2,5 sur Google Play. Le dernier rechercher montre que 38 % des applications iOS et 43 % des applications Android présentaient des vulnérabilités à haut risque.

Il existe plusieurs types de vulnérabilités, et certaines des dangers sont:

  • Fuite de données personnelles sensibles de l’utilisateur (e-mail, informations d’identification, IMEI, GPS, adresse MAC) sur le réseau
  • Communication sur le réseau avec peu ou pas de cryptage
  • Avoir un fichier lisible/inscriptible par tout le monde
  • Exécution de code arbitraire
  • Logiciels malveillants

Si vous êtes le propriétaire, le développeur, vous devez faire tout ce qu’il faut pour sécuriser votre application mobile.

Il y a plein de scanner de vulnérabilité de sécurité pour le site Webet les éléments suivants devraient vous aider à trouver les failles de sécurité dans les applications mobiles.

Certaines des abréviations utilisées dans cet article.

  • APK – Kit de package Android
  • IPA – Archives des applications iPhone
  • IMEI – Identité internationale des équipements mobiles
  • GPS – Système de positionnement global
  • MAC – Contrôle d’accès aux médias
  • API – Interface de programmation d’applications
  • OWASP – Projet de sécurité des applications Web ouvertes

App Ray

Gardez les vulnérabilités à distance en utilisant le scanner de sécurité en App Ray. Il peut vérifier vos applications mobiles à partir de sources inconnues et fournit une réputation en s’intégrant à EMM-MDM/MAM. Le scanner peut détecter les menaces avant qu’elles n’endommagent vos données et vous empêche d’installer des applications malveillantes.

Intégrez vos applications à l’analyse des vulnérabilités lors de leur création. Leur API REST vous permet d’effectuer des analyses automatiquement et avec élégance. Vous pouvez également déclencher des actions au cas où vous détecteriez un problème pour prévenir d’éventuels risques.

Il exploite des technologies avancées et de niveau militaire pour cartographier les données et analyser le trafic réseau qui inclut également les communications cryptées.

App-Ray utilise plusieurs techniques d’analyse – analyse statique ainsi que dynamique et basée sur le comportement. L’analyse de code statique est utilisée pour les problèmes de codage, les problèmes liés au chiffrement, les fuites de données et les techniques anti-débogage.

De même, une analyse dynamique et basée sur le comportement est effectuée pour les tests instrumentaux et non modifiés, l’accès aux fichiers de communication, etc.

App-Ray prend en charge les plates-formes iOS et Android. Une fois le scan terminé, vous pouvez voir tous les détails techniques et vous permettre de télécharger les fichiers nécessaires, y compris le fichier PCAP.

Sécurité codifiée

Détectez et corrigez rapidement les problèmes de sécurité à l’aide de Codifié. Téléchargez simplement votre code d’application et utilisez le scanner pour le tester. Il donne un rapport détaillé mettant en évidence les risques de sécurité.

Codified est un scanner de sécurité en libre-service. Cela signifie que vous devez télécharger les fichiers de votre application sur sa plate-forme. Il est capable de s’intégrer de manière transparente aux cycles de livraison. Vous pouvez créer vos règles pour les moteurs d’analyse statique et également définir des niveaux de conformité.

Leurs rapports de sécurité sont professionnels et mettent en évidence des détails clairs sur tous les risques associés à vos applications mobiles. Il affiche également une liste des actions applicables que vous pouvez exécuter pour éviter les failles de sécurité.

Codified prend en charge les téléchargements IPA et APK. Il facilite les tests de bibliothèque statiques, dynamiques et tiers.

De plus, Codified s’intègre aux applications Phonegap, Xamarin et Hockey et prend également en charge les applications Java, Swift et Objective-C.

Cadre de sécurité mobile

L’application mobile automatisée et tout-en-un – Mobile security Framework (MobSF) peut être utilisé sur les appareils Windows, iOS et Android.

Vous pouvez utiliser l’application pour l’analyse des logiciels malveillants, les tests de pénétration, l’évaluation de la sécurité, etc. Elle peut effectuer les deux types d’analyse – statique et dynamique.

MobSF fournit des API REST afin que vous puissiez intégrer votre pipeline DevSecOps ou CI/CD de manière transparente. Il prend en charge les binaires d’applications mobiles tels que IPA, APK et APPX en plus des codes sources compressés. À l’aide de son analyseur dynamique, vous pouvez exécuter des évaluations pour la sécurité d’exécution ainsi que des tests instrumentés.

Dexcalibur

Dexcalibur est un scanner Android d’ingénierie inverse qui se concentre sur l’automatisation de l’instrumentation.

L’objectif de Dexcalibur est d’automatiser toutes les tâches ennuyeuses associées à l’instrumentation dynamique, notamment :

  • Recherche de choses intéressantes ou de motifs à accrocher
  • Traitez les données qu’un hook rassemble, comme un fichier dex, un chargeur de classe, une méthode invoquée, etc.
  • Décompiler les bytecodes interceptés
  • Écrire des codes de crochet
  • Gérer les messages de crochet

Le moteur d’analyse statique de Dexcalibur est également capable d’exécuter de petites pièces partielles. Son but est de rendre la fonction exécutée. Il peut également indiquer quelle fonction peut être exécutée en fonction de la profondeur de la pile d’appels ou de la valeur de configuration. Il vous aide à lire des versions de bytecode plus propres en supprimant les prédicats opaques et goto qui sont inutiles.

StaCoAn

StaCoAn est un excellent outil qui aide les développeurs, les pirates éthiques et prime de bug chasseurs pour effectuer une analyse de code statique pour les applications mobiles. Cet outil multiplateforme analyse les lignes écrites sur un code contenant des clés d’API, des URL d’API, des informations d’identification codées en dur, des clés de déchiffrement, des erreurs de codage, etc.

L’objectif derrière la création de cet outil était de fournir un meilleur guidage graphique et une meilleure convivialité dans l’interface utilisateur. À l’heure actuelle, StaCoAn ne prend en charge que les fichiers APK et les fichiers IPA seront bientôt disponibles.

Comme vous pouvez le deviner, il est open-source.

StaCoAn inclut une fonctionnalité de glisser-déposer pour votre fichier d’application mobile afin que vous puissiez générer un rapport portable et visuel. Vous pouvez même personnaliser les listes de mots et les paramètres pour une meilleure expérience. Ces rapports sont faciles à parcourir à travers une application décompilée.

En utilisant la « fonction de butin », vous pouvez mettre en signet des découvertes précieuses. Vous pouvez également afficher toutes vos découvertes sur la page de butin fournie.

StaCoAn prend en charge différents types de fichiers tels que les fichiers Java, js, XML et HTML. Sa base de données est livrée avec une visionneuse de table dans laquelle vous pouvez rechercher des mots-clés dans les fichiers de base de données.

Sécurité mobile d’exécution

La puissante interface de Runtime Mobile Security (RMS) vous aide à manipuler les applications iOS et Android lors de l’exécution. Ici, vous pouvez tout accrocher en un rien de temps, vider les classes chargées, tracer les arguments de la méthode et renvoyer une valeur, inclure des scripts personnalisés, etc.

Pour le moment RMS, ils l’ont testé sur macOS, et il prend en charge des appareils tels que l’iPhone 7, l’interface Web Chrome, Amazone Fire Stick 4K et émulateur AVD. Il pourrait prendre en charge Linux et Windows avec des ajustements mineurs.

À l’aide de son moniteur d’API, vous pouvez surveiller plusieurs API Android classées en 20 types. Vous pouvez étendre la prise en charge en ajoutant des méthodes ou des classes supplémentaires au fichier JSON et même vérifier les fonctions natives comme ouvrir, fermer, écrire, lire, supprimer, dissocier, etc.

Un gestionnaire de fichiers est inclus afin que vous puissiez explorer les fichiers privés de l’application, et si nécessaire, vous pouvez les télécharger.

Ostorlab

Ostorlab vous permet de scanner votre application Android ou iOS et de vous donner des informations détaillées sur la découverte.

Vous pouvez télécharger le fichier d’application APK ou IPA, et en quelques minutes, vous aurez le rapport d’analyse de sécurité.

Quixxi

Quixxi se concentre sur la fourniture d’analyses mobiles, la protection des applications mobiles et la perte de revenus de récupération. Si vous cherchez simplement à faire un test de vulnérabilitévous pouvez ensuite télécharger votre Fichier d’application Android ou iOS ici.

L’analyse peut prendre quelques minutes, et une fois terminée, vous obtiendrez un aperçu du rapport de vulnérabilité.

Cependant, si vous cherchez un Rapport détailléalors vous devez vous inscrire GRATUITEMENT sur leur site Web.

SandDroid

SandDroid effectue une analyse statique et dynamique et vous donne un rapport complet. Vous pouvez télécharger des fichiers APK ou zip avec un maximum de 50 Mo.

SandDroid est développé par l’équipe de recherche Botnet et l’Université Xi’an Jiaotong. Il effectue actuellement des contrôles sur les éléments suivants.

  • Taille de fichier/hachage, version SDK
  • Données réseau, composant, fonctionnalité de code, API sensible, analyse de distribution IP
  • Fuite de données, SMS, moniteur d’appel téléphonique
  • Comportement à risque et score

QARK

QARK (Quick Android Review Kit) de LinkedIn vous aide à trouver plusieurs vulnérabilités Android dans le code source et les fichiers empaquetés.

QARK est gratuit et son installation nécessite Python 2.7+, JRE 1.6/1.7+ et testé sur OSX/RHEL 6.6

Certaines des vulnérabilités suivantes sont détectables par QARK.

  • Tapjacking
  • Validation incorrecte du certificat x.509
  • Écoute clandestine
  • La clé privée dans le code source
  • Configurations WebView exploitables
  • Versions d’API obsolètes
  • Fuite de données potentielle
  • et beaucoup plus…

ImmuniWeb

Un scanner d’applications Android et iOS en ligne par ImmuniWeb testez l’application contre les 10 principales vulnérabilités mobiles de l’OWASP.

Il effectue des tests de sécurité statiques et dynamiques et fournit un rapport exploitable.

Vous pouvez télécharger le rapport au format PDF, qui contient les résultats d’analyse détaillés.

Conclusion

J’espère que les scanners de vulnérabilité ci-dessus vous aideront à vérifier votre sécurité des applications mobiles afin que vous puissiez corriger le cas échéant. Si vous êtes un professionnel de la sécurité, vous pourriez être intéressé par test d’intrusion mobile.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.