Geekflare
Geekflare est soutenu par son public. Nous pouvons percevoir des commissions d'affiliation sur les liens d'achat présents sur ce site.
En Sécurité  |  Dernière mise à jour : 24 septembre 2023
Partager sur :
Invicti Web Application Security Scanner - la seule solution qui offre une vérification automatique des vulnérabilités avec Proof-Based Scanning™.

12 Scanner d'applications mobiles pour trouver des vulnérabilités de sécurité

Par
Mobile-App-Scanner-to-Find-Security-Vulnerabilities (en anglais)

Testez si votre application mobile présente des failles de sécurité et corrigez-les avant qu'elles ne nuisent à la réputation de votre entreprise.

L'utilisation des téléphones mobiles se développe, tout comme les applications mobiles. Il y a environ 2 millions d'applications sur l'App Store d'Apple et 2,5 millions sur Google Play. Les dernières études montrent que 38 % des applications iOS et 43 % des applications Android présentent des vulnérabilités à haut risque.

Il existe de nombreux types de vulnérabilités, dont voici quelques-uns des dangers:

  • Fuite de données personnelles sensibles (courriel, identifiant, IMEI, GPS, adresse MAC) sur le réseau
  • Communication sur le réseau avec peu ou pas de cryptage
  • Avoir un fichier lisible/écrivable par le monde entier
  • Exécution de code arbitraire
  • Logiciel malveillant

Si vous êtes le propriétaire, le développeur, vous devez faire tout ce qui est en votre pouvoir pour sécuriser votre application mobile.

Il existe de nombreux scanners de vulnérabilité de sécurité pour les sites web, et ce qui suit devrait vous aider à trouver les failles de sécurité dans les applications mobiles.

Quelques-unes des abréviations utilisées dans ce billet.

  • APK - Android Package Kit
  • IPA - archive d'application iPhone
  • IMEI - International mobile equipment identity (identité internationale de l'équipement mobile)
  • GPS - Système de positionnement global
  • MAC - Media access control (contrôle d'accès aux médias)
  • API - Interface de programmation d'applications
  • OWASP - Projet ouvert de sécurité des applications web

App-Ray

Tenez les vulnérabilités à distance en utilisant le scanner de sécurité d'App-Ray. Il peut vérifier vos applications mobiles à partir de sources inconnues et fournit une réputation grâce à l'intégration avec EMM-MDM/MAM. Le scanner peut détecter les menaces avant qu'elles n'endommagent vos données et vous empêche d'installer des applications malveillantes.

Intégrez l'analyse de vulnérabilité à vos applications dès leur conception. Leur API REST vous permet d'effectuer des analyses de manière automatique et élégante. Vous pouvez également déclencher des actions en cas de détection d'un problème afin de prévenir les risques éventuels.

Appray

App-Ray s'appuie sur des technologies avancées et de niveau militaire pour cartographier les données et analyser le trafic réseau, y compris les communications cryptées.

App-Ray utilise plusieurs techniques d'analyse - l'analyse statique, l'analyse dynamique et l'analyse comportementale. L'analyse statique du code est utilisée pour les problèmes de codage, les questions liées au cryptage, les fuites de données et les techniques anti-débogage.

De même, l'analyse dynamique et basée sur le comportement est effectuée pour les tests instrumentaux et non modifiés, l'accès aux fichiers de communication, etc.

App-Ray prend en charge les plateformes iOS et Android. Une fois l'analyse terminée, vous pouvez voir tous les détails techniques et télécharger les fichiers nécessaires, y compris le fichier PCAP.

Astra Pentest

Analysez et corrigez les faiblesses de sécurité de vos applications Android et iOS avec Astra Pentest et protégez-les contre tout type d'exploitation de vulnérabilité, de tentative de piratage ou de violation de données.

Scans-1

Le scanner de vulnérabilités complet d'Astra, de type hacker, ainsi que la solution de pentest automatisée et manuelle, prennent en compte, lors des tests, tous les aspects des paramètres de l'application mobile, y compris les suivants

  • L'architecture et la conception
  • Communication réseau et traitement des données
  • Stockage des données et confidentialité
  • Authentification et gestion des sessions
  • Erreurs de configuration dans le code ou les paramètres de construction

La plateforme de pénétration des vulnérabilités d'Astra, en constante évolution, effectue plus de 8000 cas de test pour aider à la détection des vulnérabilités. Le tableau de bord en constante évolution utilise de nouvelles informations sur les hacks et les CVE pour analyser les composants critiques de votre application mobile, tels que les API, la logique métier et les passerelles de paiement.

Sécurité codifiée

Détectez et corrigez rapidement les problèmes de sécurité à l'aide de Codifié. Il vous suffit de télécharger le code de votre application et d'utiliser le scanner pour le tester. Il fournit un rapport détaillé mettant en évidence les risques de sécurité.

Codified est un scanner de sécurité en libre-service. Cela signifie que vous devez télécharger les fichiers de votre application sur sa plateforme. Il est capable de s'intégrer aux cycles de livraison de manière transparente. Vous pouvez créer vos propres règles pour les moteurs d'analyse statique et définir des niveaux de conformité.

codifié

Ses rapports de sécurité sont professionnels et mettent en évidence des détails clairs sur tous les risques associés à vos applications mobiles. Ils présentent également une liste d'actions applicables que vous pouvez exécuter pour prévenir les failles de sécurité.

Codified prend en charge les téléchargements IPA et APK. Il facilite les tests statiques, dynamiques et de bibliothèques tierces.

En outre, Codified s'intègre à Phonegap, Xamarin et Hockey app et prend également en charge les applications Java, Swift et Objective-C.

Cadre de sécurité mobile

L'application mobile automatisée et tout-en-un - Mobile Security Framework(MobSF) peut être utilisée sur les appareils Windows, iOS et Android.

mobsf

Vous pouvez utiliser l'application pour l'analyse des logiciels malveillants, les tests d'intrusion, l'évaluation de la sécurité, etc. Elle peut effectuer les deux types d'analyse - statique et dynamique.

MobSF fournit des API REST afin que vous puissiez intégrer votre pipeline DevSecOps ou CI/CD de manière transparente. Il prend en charge les binaires d'applications mobiles tels que IPA, APK et APPX, ainsi que les codes sources zippés. Grâce à son analyseur dynamique, vous pouvez exécuter des évaluations de la sécurité d'exécution ainsi que des tests instrumentés.

Dexcalibur

Dexcalibur est un scanner Android de rétro-ingénierie qui se concentre sur l'automatisation de l'instrumentation.

dexcalibur

L'objectif de Dexcalibur est d'automatiser toutes les tâches ennuyeuses associées à l'instrumentation dynamique, y compris :

  • La recherche de choses ou de modèles intéressants à hooker
  • Traiter les données qu'un hook recueille comme un fichier dex, un chargeur de classe, une méthode invoquée, etc.
  • Décompiler les bytecodes interceptés
  • Écrire des codes de crochet
  • Gérer les messages de hook

Le moteur d'analyse statique de Dexcalibur est également capable d'exécuter de petits morceaux partiels. Son but est de rendre la fonction exécutée. Il peut également rendre quelle fonction peut être exécutée en fonction de la profondeur de la pile d'appel ou de la valeur de configuration. Il vous aide à lire des versions de bytecode plus propres en supprimant les prédicats opaques et goto qui sont inutiles.

StaCoAn

StaCoAn est un excellent outil qui aide les développeurs, les hackers éthiques et les chasseurs de bogues à effectuer une analyse statique du code pour les applications mobiles. Cet outil multiplateforme analyse les lignes écrites sur un code contenant des clés d'API, des URL d'API, des identifiants codés en dur, des clés de décryptage, des erreurs de codage, etc.

L'objectif de la création de cet outil était de fournir un meilleur guidage graphique et une plus grande facilité d'utilisation dans l'interface utilisateur. Pour l'instant, StaCoAn ne prend en charge que les fichiers APK, et les fichiers IPA seront bientôt disponibles.

staconan-e1595773919556

Comme vous pouvez le deviner, il s'agit d'un logiciel libre.

StaCoAn inclut une fonction de glisser-déposer pour votre fichier d'application mobile afin que vous puissiez générer un rapport portable et visuel. Vous pouvez même personnaliser les listes de mots et les paramètres pour une meilleure expérience. Ces rapports sont faciles à parcourir à travers une application décompilée.

Grâce à la fonction "loot", vous pouvez mettre en signet les résultats les plus intéressants. Vous pouvez également visualiser tous vos résultats sur la page prévue à cet effet.

StaCoAn prend en charge différents types de fichiers tels que les fichiers Java, js, XML et HTML. Sa base de données s'accompagne d'un visualiseur de tableaux dans lequel vous pouvez rechercher des mots-clés dans les fichiers de la base de données.

Sécurité mobile en temps réel

L'interface puissante de Runtime Mobile Security(RMS) vous aide à manipuler les applications iOS et Android au moment de l'exécution. Ici, vous pouvez tout accrocher en un rien de temps, vider les classes chargées, tracer les arguments des méthodes et renvoyer une valeur, y compris les scripts personnalisés, etc.

Pour l'instant, RMS l'a testé sur macOS, et il prend en charge des appareils tels que l'iPhone 7, l'interface web Chrome, l'Amazon Fire Stick 4K et l'émulateur AVD. Il pourrait prendre en charge Linux et Windows avec des ajustements mineurs.

rms

Grâce à son moniteur d'API, vous pouvez surveiller plusieurs API Android classées en 20 types. Vous pouvez étendre la prise en charge en ajoutant des méthodes ou des classes supplémentaires au fichier JSON et même vérifier les fonctions natives telles que l'ouverture, la fermeture, l'écriture, la lecture, la suppression, le découplage, etc.

Un gestionnaire de fichiers est inclus afin que vous puissiez explorer les fichiers privés de l'application, et si nécessaire, vous pouvez les télécharger.

Ostorlab

Ostorlab vous permet de scanner votre application Android ou iOS et vous donne des informations détaillées sur ce que vous avez trouvé.

ostorlab

Vous pouvez télécharger le fichier APK ou IPA de l'application et, en quelques minutes, vous obtiendrez le rapport d'analyse de sécurité.

Quixxi

Quixxi se concentre sur l'analyse mobile, la protection des applications mobiles et la récupération des pertes de revenus. Si vous souhaitez simplement effectuer un test de vulnérabilité, vous pouvez télécharger votre fichier d'application Android ou iOS ici.

qui

L'analyse peut prendre quelques minutes et, une fois terminée, vous obtiendrez un rapport de vulnérabilité.

Toutefois, si vous souhaitez obtenir un rapport complet, vous devez vous inscrire GRATUITEMENT sur leur site web.

SandDroid

SandDroid effectue des analyses statiques et dynamiques et vous fournit un rapport complet. Vous pouvez télécharger des fichiers APK ou zip d'une taille maximale de 50 Mo.

sanddroïde

SandDroid est développé par l'équipe de recherche sur les botnets et l'Université Xi'an Jiaotong. Il effectue actuellement des vérifications sur les éléments suivants.

  • Taille du fichier, version du SDK
  • Données du réseau, composants, caractéristiques du code, API sensibles, analyse de la distribution IP
  • Fuite de données, SMS, surveillance des appels téléphoniques
  • Comportement et score de risque

QARK

QARK (Quick Android Review Kit) de LinkedIn vous aide à trouver plusieurs vulnérabilités Android dans le code source et les fichiers empaquetés.

QARK est gratuit et son installation nécessite Python 2.7, JRE 1.6/1.7 et a été testé sur OSX/RHEL 6.6

Certaines des vulnérabilités suivantes peuvent être détectées par QARK.

  • Tapjacking
  • Mauvaise validation des certificats x.509
  • Écoute clandestine
  • Clé privée dans le code source
  • Configurations WebView exploitables
  • Versions obsolètes de l'API
  • Fuite potentielle de données
  • et bien plus encore...

ImmuniWeb

Un scanner d'applications Android et iOS en ligne par ImmuniWeb teste les applications contre les 10 principales vulnérabilités mobiles de l'OWASP.

Il effectue des tests de sécurité statiques et dynamiques et fournit un rapport exploitable.

ht-bridge-mobile-scanner

Vous pouvez télécharger le rapport au format PDF, qui contient les résultats détaillés de l'analyse.

Conclusion

J'espère que les scanners de vulnérabilité ci-dessus vous aideront à vérifier la sécurité de votre application mobile afin que vous puissiez corriger les éventuelles découvertes. Si vous êtes un professionnel de la sécurité, vous pourriez être intéressé par l'apprentissage des tests de pénétration mobiles. Voici 8 conseils pour une meilleure sécurité mobile.

  • Chandan Kumar
    Auteur
    Chandan Kumar est le fondateur de Geekflare. Il a aidé des millions de personnes à exceller dans le domaine numérique. Passionné de technologie, il s'est donné pour mission d'explorer le monde et d'amplifier la croissance des professionnels et des entreprises.
Merci à nos sponsors
Autres lectures sur la sécurité
Alimentez votre entreprise
Quelques outils et services pour aider votre entreprise à se développer.
  • Invicti
    Invicti utilise le Proof-Based Scanning™ pour vérifier automatiquement les vulnérabilités identifiées et générer des résultats exploitables en quelques heures seulement.
    Essayez Invicti
  • Brightdata
    Web scraping, proxy résidentiel, proxy manager, web unlocker, search engine crawler, et tout ce dont vous avez besoin pour collecter des données web.
    Essayez Brightdata
  • Lundi.com
    Monday.com est un système d'exploitation tout-en-un qui vous aide à gérer vos projets, vos tâches, votre travail, vos ventes, votre CRM, vos opérations, vos flux de travail et bien plus encore.
    Essayez le lundi
  • Intrus
    Intruder est un scanner de vulnérabilité en ligne qui détecte les faiblesses de votre infrastructure en matière de cybersécurité, afin d'éviter des violations de données coûteuses.
    Essayer l'intrus