Un lab sécurité pour tester des app mobiles en moins de 15 minutes par Cyril Cérésola

Transcript

1. Sécurité des app mobiles : premier lab… @cceresola

2. Sécurité: Pourquoi faire du lab ?

3. Outillage: Androïd Virtual Device Manager

4. Outillage: Androïd Debug Bridge

5. Outillage: Androïd Debug Bridge

6. Outillage: DDMS (Dalvik Debug Monitor Server) - simuler la reception

   de SMS / Appels entrants - spoofer les données de geolocalisation

7. Audit « blackbox » : rappel sur les proxys source:

   http://www.linuxjournal.com/ connexion directe connexion proxyfiée

8. Audit « blackbox » : configuration proxy

9. Audit « blackbox » : configuration proxy - HTTP

10. Audit « blackbox » : le cas HTTPS /!\ Certificate

    pinning

11. Audit « blackbox » : installer le certificat de l’AC

    proxy

12. Goatdroid: une app pour s’entrainer… by OWASP

13. OWASP Goatdroid

14. OWASP Goatdroid

15. OWASP Goatdroid

16. Premiers pas avec de vraies app (iPhone 4S) : Feedly

17. Premiers pas avec de vraies app (iPhone 4S) : Feedly

18. Premiers pas avec de vraies app (iPhone 4S) : Speedtest.net

19. Premiers pas avec de vraies app (iPhone 4S) : British

    Airways

20. Premiers pas avec de vraies app (iPhone 4S) : British

    Airways

21. Premiers pas avec de vraies app : Pinterest 4.5 (iPhone)

22. Audit « whitebox » : APKs Extraction à partir du

    device dans /data/app et /data/app-private ou à partir du Playstore (https://fr.matlink.fr/script-python-r%C3%A9cup%C3%A9rer-apks-play-store.html)

23. Audit « whitebox » : AndroidManifest.xml C’est un fichier de

    configuration XML (binary) - permissions - activities - intents - content-providers

24. Audit « whitebox » : permissions – Justin Bieber Wallpaper

25. Audit « whitebox » : Content-Providers Utilisés pour des besoins

    fonctionnels liés à la persistence, l’utilisation offline,… API permettant de stocker, manipuler l’information (via URI) souvent: bases de données SQLite localisées dans /data/data/nom_de_l_application

26. Audit « whitebox » Decompilation

27. Audit « whitebox » : grep DEBUG printStackTrace username/userID/password/passwd/pwd/ key/encrypt/decrypt/MD5/MD4

    timeout/session.invalidate root/jailbreak test/demo/ sqlconnection/sqlevents/sqldemo/sqlconn/sqlt est account/URL/hostname/ipaddress Proxy …. sdcard, getExternalStorageDirectory(), getExternalFilesDir(), getExternalStoragePublicDirectory(), openFileOuputStream(),getSharedPreference s(), openOrCreateDatabase(),registerReceiver(), checkCallingPermission(), sendBroadCast(),startActivity(), startService(), SSLSocketFactory(), HostnameVerifier(),setJavascriptEnabled,setA llowContentAccess, setAllowFileAccess(), …

28. Audit « whitebox » : cibler l’audit de code -

    Authentication - Authorization - Session Management - Data Storage - Information Disclosure - Web Application Issues (injections) -Transport Layer Protection

29. Audit « whitebox » : Dog Wars « peta »

    - service Malveillant

30. Audit « whitebox » : Malware dog wars « peta

    »

31. Audit « whitebox » : Industrialiser

32. Audit « whitebox » : autres ressources

33. Audit « whitebox » : autres ressources

34. Merci de votre attention @cceresola