• Assurez la sécurité des applications de la bonne manière! Détectez, protégez, surveillez, accélérez et plus encore…
  • Testez si votre application mobile en a défauts de sécurité et le corrige avant qu'il n'endommage la réputation de votre entreprise.

    L'utilisation mobile augmente, donc les applications mobiles. Il existe environ 2 millions d'applications sur l'App Store d'Apple et 2.5 sur Google Play. Le dernier un article montre que 38% des applications iOS et 43% des applications Android présentaient des vulnérabilités à haut risque.

    Il existe plusieurs types de vulnérabilités, et certaines dangers sont:

    • Fuite de données personnelles sensibles de l'utilisateur (e-mail, informations d'identification, IMEI, GPS, adresse MAC) sur le réseau
    • Communication sur le réseau avec peu ou pas de cryptage
    • Avoir un fichier lisible / inscriptible dans le monde entier
    • Exécution de code arbitraire
    • Malware

    Si vous êtes le propriétaire, le développeur, vous devez faire tout ce qu'il faut pour sécuriser votre application mobile.

    Il y a plein de scanner de vulnérabilité de sécurité pour le site Web, et ce qui suit devrait vous aider à trouver les failles de sécurité dans les applications mobiles.

    Certaines des abréviations utilisées dans cet article.

    • APK - Kit de package Android
    • IPA - Archive des applications iPhone
    • IMEI - Identité internationale des équipements mobiles
    • GPS - Système de positionnement global
    • MAC - Contrôle d'accès aux médias
    • API - Interface de programmation d'application
    • OWASP - Projet de sécurité des applications Web ouvertes

    App-Ray

    Gardez les vulnérabilités à distance en utilisant le scanner de sécurité en App-Ray. Il peut vérifier vos applications mobiles à partir de sources inconnues et fournit une réputation par intégration avec EMM-MDM / MAM. Le scanner peut détecter les menaces avant qu'elles n'endommagent vos données et vous empêche d'installer des applications malveillantes.

    Intégrez vos applications à l'analyse de vulnérabilité lors de leur création. Leur API REST vous permet d'effectuer des analyses de manière automatique et élégante. Vous pouvez également déclencher des actions au cas où vous détecteriez un problème pour éviter d'éventuels risques.

    Il exploite des technologies avancées et de niveau militaire pour cartographier les données et analyser le trafic réseau qui comprend également une communication cryptée.

    App-Ray utilise plusieurs techniques d'analyse - analyse statique, dynamique et comportementale. L'analyse de code statique est utilisée pour les problèmes de codage, les problèmes liés au cryptage, les fuites de données et les techniques anti-débogage.

    De même, une analyse dynamique et basée sur le comportement est effectuée pour les tests instrumentaux et non modifiés, l'accès aux fichiers de communication, etc.

    App-Ray prend en charge les plates-formes iOS et Android. Une fois l'analyse terminée, vous pouvez voir tous les détails techniques et vous permettre de télécharger les fichiers nécessaires, y compris le fichier PCAP.

    Codified Security

    Détectez et résolvez rapidement les problèmes de sécurité en utilisant Codifié. Téléchargez simplement le code de votre application et utilisez le scanner pour le tester. Il donne un rapport détaillé mettant en évidence les risques de sécurité.

    Codified est un scanner de sécurité en libre-service. Cela signifie que vous devez télécharger les fichiers de votre application sur sa plate-forme. Il est capable de s'intégrer parfaitement aux cycles de livraison. Vous pouvez créer vos règles pour les moteurs d'analyse statique et définir également des niveaux de conformité.

    Leurs rapports de sécurité sont professionnels et mettent en évidence des détails clairs sur tous les risques associés à vos applications mobiles. Il affiche également une liste des actions applicables que vous pouvez exécuter pour empêcher les failles de sécurité.

    Codified prend en charge les téléchargements IPA et APK. Il facilite les tests de bibliothèques statiques, dynamiques et tiers.

    De plus, Codified s'intègre à l'application Phonegap, Xamarin et Hockey et prend également en charge les applications Java, Swift et Objective-C.

    Mobile Security Framework

    L'application mobile automatisée et tout-en-un - Mobile Security Framework (MobSF) peut être utilisé sur les appareils Windows, iOS et Android.

    Vous pouvez utiliser l'application pour l'analyse des logiciels malveillants, les tests de stylet, l'évaluation de la sécurité, etc. Elle peut effectuer les deux types d'analyse - statique et dynamique.

    MobSF fournit des API REST afin que vous puissiez intégrer votre pipeline DevSecOps ou CI / CD de manière transparente. Il prend en charge les binaires d'applications mobiles tels que IPA, APK et APPX en plus des codes sources compressés. À l'aide de son analyseur dynamique, vous pouvez exécuter des évaluations de la sécurité d'exécution ainsi que des tests instrumentés.

    Dexcalibur

    Dexcalibur est un scanner Android de rétro-ingénierie qui se concentre sur l'automatisation de l'instrumentation.

    Le but de Dexcalibur est d'automatiser toutes ces tâches ennuyeuses associées à l'instrumentation dynamique, notamment:

    • Recherche de choses intéressantes ou de motifs à accrocher
    • Traitez les données qu'un hook rassemble comme un fichier dex, un chargeur de classe, une méthode invoquée, etc.
    • Décompiler les bytecodes interceptés
    • Écrire des codes de hook
    • Gérer les messages hook

    Le moteur d'analyse statique de Dexcalibur est également capable d'exécuter des morceaux partiels de smali. Son but est de rendre la fonction exécutée. Il peut également indiquer quelle fonction peut être exécutée en fonction de la profondeur de la pile d'appels ou de la valeur de configuration. Il vous aide à lire des versions de bytecode plus propres en supprimant les prédicats opaques et goto qui sont inutiles.

    StaCoAn

    StaCoAn est un excellent outil qui aide les développeurs, les pirates éthiques et bug-prime chasseurs pour effectuer une analyse de code statique pour les applications mobiles. Cet outil multiplateforme analyse les lignes écrites sur un code contenant des clés d'API, des URL d'API, des informations d'identification codées en dur, des clés de déchiffrement, des erreurs de codage, etc.

    L'objectif derrière la création de cet outil était de fournir un meilleur guidage graphique et une meilleure convivialité dans l'interface utilisateur. À l'heure actuelle, StaCoAn ne prend en charge que les fichiers APK, et les fichiers IPA seraient bientôt disponibles.

    Comme vous pouvez le deviner, il est open-source.

    StaCoAn inclut une fonction de glisser-déposer pour votre fichier d'application mobile afin que vous puissiez générer un rapport portable et visuel. Vous pouvez même personnaliser les listes de mots et les paramètres pour une meilleure expérience. Ces rapports sont faciles à parcourir dans une application décompilée.

    En utilisant la «fonction de butin», vous pouvez ajouter des découvertes précieuses à vos favoris. Vous pouvez également afficher toutes vos découvertes sur la page de butin fournie.

    StaCoAn prend en charge différents types de fichiers tels que les fichiers Java, js, XML et HTML. Sa base de données est livrée avec une visionneuse de table dans laquelle vous pouvez rechercher des mots-clés dans les fichiers de base de données.

    Runtime Mobile Security

    L'interface puissante de Runtime Mobile Security (RMS) vous aide à manipuler les applications iOS et Android lors de l'exécution. Ici, vous pouvez tout raccorder en un rien de temps, vider les classes chargées, les arguments de méthode de trace et renvoyer une valeur, inclure des scripts personnalisés, etc.

    Pour le moment RMS, ils l'ont testé sur macOS et il prend en charge des appareils tels que l'iPhone 7, l'interface Web Chrome, Amazon Fire Stick 4K et l'émulateur AVD. Il peut prendre en charge Linux et Windows avec des ajustements mineurs.

    À l'aide de son moniteur d'API, vous pouvez surveiller plusieurs API Android classées en 20 types. Vous pouvez étendre la prise en charge en ajoutant des méthodes ou des classes supplémentaires au fichier JSON et même vérifier les fonctions natives comme ouvrir, fermer, écrire, lire, supprimer, dissocier, etc.

    Un gestionnaire de fichiers est inclus afin que vous puissiez explorer les fichiers privés de l'application, et si nécessaire, vous pouvez les télécharger.

    Ostorlab

    Laboratoire d'Ostor vous permet d'analyser votre application Android ou iOS et de vous donner des informations détaillées sur les résultats.

    Vous pouvez télécharger le fichier d'application APK ou IPA, et en quelques minutes, vous aurez le rapport d'analyse de sécurité.

     

    Quixxi

    Quixxi se concentre sur l'analyse mobile, la protection des applications mobiles et la récupération des pertes de revenus. Si vous cherchez juste à faire un test de vulnérabilité, alors vous pouvez télécharger votre Fichier d'application Android ou iOS ici.

    L'analyse peut prendre quelques minutes, et une fois terminée, vous obtiendrez un aperçu du rapport de vulnérabilité.

    Cependant, si vous recherchez un Rapport détaillé, puis vous devez faire une inscription GRATUITE sur leur site Web.

    SandDroid

    SandDroid effectue une analyse statique et dynamique et vous donne un rapport complet. Vous pouvez télécharger des fichiers APK ou zip avec un maximum de 50 Mo.

    SandDroid est développé par l'équipe de recherche Botnet et l'Université Xi'an Jiaotong. Il effectue actuellement des contrôles sur les éléments suivants.

    • Taille du fichier / hachage, version du SDK
    • Données réseau, composant, fonctionnalité de code, API sensible, analyse de la distribution IP
    • Fuite de données, SMS, moniteur d'appel téléphonique
    • Comportement à risque et score

    QARK

    Qark (Quick Android Review Kit) de LinkedIn vous aide à trouver plusieurs vulnérabilités Android dans le code source et les fichiers packagés.

    QARK est gratuit et pour l'installer, il nécessite Python 2.7+, JRE 1.6 / 1.7 + et testé sur OSX / RHEL 6.6

    Certaines des vulnérabilités suivantes sont détectables par QARK.

    • Tapjacking
    • Validation incorrecte du certificat x.509
    • Écoute
    • La clé privée dans le code source
    • Configurations WebView exploitables
    • Versions de l'API obsolètes
    • Fuite potentielle de données
    • et beaucoup plus…

    ImmuniWeb

    Un scanner d'applications Android et iOS en ligne par ImmuniWeb testez l'application contre les 10 principales vulnérabilités mobiles OWASP.

    Il effectue des tests de sécurité statiques et dynamiques et fournit un rapport exploitable.

    Vous pouvez télécharger le rapport au format PDF, qui contient les résultats d'analyse détaillés.

    Conclusion

    J'espère que les scanners de vulnérabilité ci-dessus vous aideront à vérifier votre sécurité des applications mobiles afin que vous puissiez corriger le cas échéant. Si vous êtes un professionnel de la sécurité, vous pourriez être intéressé par apprentissage des tests de pénétration mobile.