Testez si votre application mobile en a défauts de sécurité et les corrige avant que cela ne nuise à la réputation de votre entreprise.
L'utilisation mobile se développe, tout comme les applications mobiles. Il existe environ 2 millions d'applications sur l'App Store d'Apple et 2.5 sur Google Play. Le dernier un article montre que 38 % des applications iOS et 43 % des applications Android présentaient des vulnérabilités à haut risque.
Il existe plusieurs types de vulnérabilités, et certaines dangers sont:
- Fuite de données personnelles sensibles de l'utilisateur (e-mail, informations d'identification, IMEI, GPS, adresse MAC) sur le réseau
- Communication sur le réseau avec peu ou pas de cryptage
- Avoir un fichier lisible / inscriptible dans le monde entier
- Exécution de code arbitraire
- Malware
Si vous êtes le propriétaire, le développeur, vous devez faire tout ce qu'il faut pour sécuriser votre application mobile.
Il y a plein de scanner de vulnérabilité de sécurité pour le site Web, et ce qui suit devrait vous aider à trouver les failles de sécurité dans les applications mobiles.
Certaines des abréviations utilisées dans cet article.
- APK - Kit de package Android
- IPA - Archive des applications iPhone
- IMEI - Identité internationale des équipements mobiles
- GPS - Système de positionnement global
- MAC - Contrôle d'accès aux médias
- API - Interface de programmation d'application
- OWASP - Projet de sécurité des applications Web ouvertes
App-Ray
Gardez les vulnérabilités à distance en utilisant le scanner de sécurité en App Ray. Il peut vérifier vos applications mobiles à partir de sources inconnues et fournit une réputation par intégration avec EMM-MDM / MAM. Le scanner peut détecter les menaces avant qu'elles n'endommagent vos données et vous empêche d'installer des applications malveillantes.
Intégrez vos applications à l'analyse de vulnérabilité lors de leur création. Leur API REST vous permet d'effectuer des analyses de manière automatique et élégante. Vous pouvez également déclencher des actions au cas où vous détecteriez un problème pour éviter d'éventuels risques.

Il exploite des technologies avancées et de niveau militaire pour cartographier les données et analyser le trafic réseau, y compris les communications cryptées.
App-Ray utilise plusieurs techniques d'analyse - analyse statique, dynamique et comportementale. L'analyse de code statique est utilisée pour les problèmes de codage, les problèmes liés au cryptage, les fuites de données et les techniques anti-débogage.
De même, une analyse dynamique et basée sur le comportement est effectuée pour les tests instrumentaux et non modifiés, l'accès aux fichiers de communication, etc.
App-Ray prend en charge les plates-formes iOS et Android. Une fois l'analyse terminée, vous pouvez voir tous les détails techniques et vous permettre de télécharger les fichiers nécessaires, y compris le fichier PCAP.
Astra Pentest
Analysez et corrigez les failles de sécurité de vos applications Android et iOS avec Astra Pentest et sécurisez-les contre tout type d'exploitation de vulnérabilité, de tentative de piratage ou de violation de données.

Le scanner de vulnérabilités complet d'Astra, la solution de pentesting automatisée et manuelle, tout en effectuant des tests, prend en compte tous les aspects des paramètres de l'application mobile, y compris :
- Architecture et design
- Communication réseau et traitement des données
- Stockage des données et confidentialité
- Authentification et gestion des sessions
- Erreurs de mauvaise configuration dans le code ou les paramètres de construction
La base de données de vulnérabilités en constante évolution d'Astra utilise de nouvelles informations sur les hacks et les CVE pour analyser les composants critiques de votre application mobile comme les API, la logique métier et les passerelles de paiement.
Codified Security
Détectez et résolvez rapidement les problèmes de sécurité en utilisant Codifié. Téléchargez simplement le code de votre application et utilisez le scanner pour le tester. Il donne un rapport détaillé mettant en évidence les risques de sécurité.
Codified est un scanner de sécurité en libre-service. Cela signifie que vous devez télécharger les fichiers de votre application sur sa plate-forme. Il est capable de s'intégrer parfaitement aux cycles de livraison. Vous pouvez créer vos règles pour les moteurs d'analyse statique et définir également des niveaux de conformité.

Leurs rapports de sécurité sont professionnels et mettent en évidence des détails clairs sur tous les risques associés à vos applications mobiles. Il affiche également une liste des actions applicables que vous pouvez exécuter pour empêcher les failles de sécurité.
Codified prend en charge les téléchargements IPA et APK. Il facilite les tests de bibliothèques statiques, dynamiques et tiers.
De plus, Codified s'intègre à l'application Phonegap, Xamarin et Hockey et prend également en charge les applications Java, Swift et Objective-C.
Mobile Security Framework
L'application mobile automatisée et tout-en-un – Mobile Security Framework (MobSF) peut être utilisé sur les appareils Windows, iOS et Android.

Vous pouvez utiliser l'application pour l'analyse des logiciels malveillants, les tests de pénétration, l'évaluation de la sécurité, etc. Elle peut effectuer les deux types d'analyse - statique et dynamique.
MobSF fournit des API REST afin que vous puissiez intégrer votre pipeline DevSecOps ou CI / CD de manière transparente. Il prend en charge les binaires d'applications mobiles tels que IPA, APK et APPX en plus des codes sources compressés. À l'aide de son analyseur dynamique, vous pouvez exécuter des évaluations de la sécurité d'exécution ainsi que des tests instrumentés.
Dexcalibur
Dexcalibur est un scanner Android de rétro-ingénierie qui se concentre sur l'automatisation de l'instrumentation.

Le but de Dexcalibur est d'automatiser toutes ces tâches ennuyeuses associées à l'instrumentation dynamique, notamment:
- Recherche de choses ou de modèles intéressants à accrocher
- Traitez les données qu'un hook rassemble comme un fichier dex, un chargeur de classe, une méthode invoquée, etc.
- Décompiler les bytecodes interceptés
- Écrire des codes de hook
- Gérer les messages hook
Le moteur d'analyse statique de Dexcalibur est également capable d'exécuter de petites pièces partielles. Son but est de rendre la fonction exécutée. Il peut également rendre quelle fonction peut être exécutée en fonction de la profondeur de la pile d'appels ou de la valeur de configuration. Il vous aide à lire des versions de bytecode plus propres en supprimant les prédicats opaques et goto qui sont inutiles.
StaCoAn
StaCoAn est un excellent outil qui aide les développeurs, les pirates éthiques et bug-prime chasseurs pour effectuer une analyse de code statique pour les applications mobiles. Cet outil multiplateforme analyse les lignes écrites sur un code contenant des clés d'API, des URL d'API, des informations d'identification codées en dur, des clés de déchiffrement, des erreurs de codage, etc.
L'objectif derrière la création de cet outil était de fournir un meilleur guidage graphique et une meilleure convivialité dans l'interface utilisateur. À l'heure actuelle, StaCoAn ne prend en charge que les fichiers APK et les fichiers IPA seront bientôt disponibles.

Comme vous pouvez le deviner, il est open-source.
StaCoAn inclut une fonctionnalité de glisser-déposer pour votre fichier d'application mobile afin que vous puissiez générer un rapport portable et visuel. Vous pouvez même personnaliser les listes de mots et les paramètres pour une meilleure expérience. Ces rapports sont faciles à parcourir à travers une application décompilée.
En utilisant la "fonction de butin", vous pouvez mettre en signet des découvertes précieuses. Vous pouvez également afficher toutes vos découvertes sur la page fournie.
StaCoAn prend en charge différents types de fichiers tels que les fichiers Java, js, XML et HTML. Sa base de données est livrée avec une visionneuse de table dans laquelle vous pouvez rechercher des mots-clés dans les fichiers de base de données.
Runtime Mobile Security
L'interface puissante de Runtime Mobile Security (RMS) vous aide à manipuler les applications iOS et Android lors de l'exécution. Ici, vous pouvez tout accrocher en un rien de temps, vider les classes chargées, tracer les arguments de la méthode et renvoyer une valeur, y compris des scripts personnalisés, etc.
Pour le moment RMS, ils l'ont testé sur macOS et il prend en charge des appareils tels que l'iPhone 7, l'interface Web Chrome, Amazon Fire Stick 4K et l'émulateur AVD. Il peut prendre en charge Linux et Windows avec des ajustements mineurs.

À l'aide de son moniteur d'API, vous pouvez surveiller plusieurs API Android classées en 20 types. Vous pouvez étendre la prise en charge en ajoutant des méthodes ou des classes supplémentaires au fichier JSON et même vérifier les fonctions natives comme ouvrir, fermer, écrire, lire, supprimer, dissocier, etc.
Un gestionnaire de fichiers est inclus afin que vous puissiez explorer les fichiers privés de l'application, et si nécessaire, vous pouvez les télécharger.
Ostorlab
Laboratoire d'Ostor vous permet d'analyser votre application Android ou iOS et de vous donner des informations détaillées sur les résultats.

Vous pouvez télécharger le fichier d'application APK ou IPA, et en quelques minutes, vous aurez le rapport d'analyse de sécurité.
Quixxi
Quixxi se concentre sur la fourniture d'analyses mobiles, la protection des applications mobiles et la récupération des pertes de revenus. Si vous cherchez simplement à faire un test de vulnérabilité, alors vous pouvez télécharger votre Fichier d'application Android ou iOS ici.

L'analyse peut prendre quelques minutes, et une fois terminée, vous obtiendrez un aperçu du rapport de vulnérabilité.
Cependant, si vous recherchez un Rapport détaillé, puis vous devez faire une inscription GRATUITE sur leur site Web.
SandDroid
SandDroid effectue une analyse statique et dynamique et vous donne un rapport complet. Vous pouvez télécharger des fichiers APK ou zip avec un maximum de 50 Mo.

SandDroid est développé par l'équipe de recherche Botnet et l'Université Xi'an Jiaotong. Il effectue actuellement des contrôles sur les éléments suivants.
- Taille du fichier / hachage, version du SDK
- Données réseau, composant, fonctionnalité de code, API sensible, analyse de la distribution IP
- Fuite de données, SMS, moniteur d'appel téléphonique
- Comportement à risque et score
QARK
Qark (Quick Android Review Kit) de LinkedIn vous aide à trouver plusieurs vulnérabilités Android dans le code source et les fichiers packagés.
QARK est gratuit et pour l'installer, il nécessite Python 2.7+, JRE 1.6 / 1.7 + et testé sur OSX / RHEL 6.6
Certaines des vulnérabilités suivantes sont détectables par QARK.
- taraudage
- Non conforme certificat x.509 validation
- Écoute
- La clé privée dans le code source
- Configurations WebView exploitables
- Versions de l'API obsolètes
- Fuite potentielle de données
- et beaucoup plus…
ImmuniWeb
Un scanner d'applications Android et iOS en ligne par ImmuniWeb testez l'application contre les 10 principales vulnérabilités mobiles OWASP.
Il effectue des tests de sécurité statiques et dynamiques et fournit un rapport exploitable.

Vous pouvez télécharger le rapport au format PDF, qui contient les résultats d'analyse détaillés.
Conclusion
J'espère que les scanners de vulnérabilité ci-dessus vous aideront à vérifier votre sécurité des applications mobiles afin que vous puissiez corriger les résultats. Si vous êtes un professionnel de la sécurité, vous pourriez être intéressé par apprentissage des tests de pénétration mobile. Voici 8 conseils pour meilleure sécurité mobile.