Analyse des vulnérabilités des apps mobile
Dans cet article, nous allons continuer avec l'analyse des applications Android. Dans les points suivants, nous allons réaliser une brève analyse de «InsecureBankV2». Comme son nom l'indique, il s'agit d'une application bancaire qui présente certaines vulnérabilités que nous devons trouver. Comme nous pouvons le voir dans son référentiel officiel, cette application présente un grand nombre de vulnérabilités. Cependant, dans cet article, nous n'allons nous en tenir qu'à l'étude de certains d'entre eux, en tant que preuve de concept.
Nous effectuerons une analyse statique superficielle et nous effectuerons une brève analyse dynamique de l'application, pour connaître son fonctionnement et ses caractéristiques afin de mesurer les comportements, en particulier dans les applications qui tentent de maintenir des connexions avec le monde extérieur.
Nous allons étudier comment échapper au système d'entrée ("login") de l'application, et nous pourrons effectuer des virements bancaires, entre autres, tout au long de la ligne de commande.
Login Bypass |
L'analyse dynamique consiste à étudier le comportement de l'application en pleine exécution. Lorsqu'une application s'exécute, elle devient un «processus» système. Pour réaliser ce type d'analyse, l'application à analyser doit être exécutée dans un environnement contrôlé, pouvoir la surveiller en temps réel, observant ainsi toutes les ressources auxquelles elle accède et les modifications qu'elle apporte au système.
Pour mener à bien cette partie de l'analyse, nous allons utiliser deux outils, tels que "MobSF" et "Wireshark".
Pour effectuer une analyse de vulnérabilité de l'application, en plus d'obtenir des informations sur ses fichiers et ses autorisations, nous allons utiliser MobSF. Mobile Security Framework (MobSF) peut être téléchargé à partir de son référentiel officiel. On pourrait le définir comme un framework destiné principalement à l'analyse des vulnérabilités dans les applications mobiles (Android / iOS / Windows). Parmi ses fonctionnalités figurent : l'analyse des logiciels malveillants et l'évaluation de la sécurité. Il est capable d'effectuer des analyses statiques et dynamiques. Prend en charge les fichiers binaires d'applications mobiles ainsi que le code source compressé. Permet des évaluations de sécurité hautement optimisées lors de l'exécution et des tests instrumentés interactifs.
Mobile Security Framework |
Grâce à l'utilisation de "Wireshark", nous allons aussi étudier le comportement de l'application au niveau des communications réseau qu'elle effectue.
Commentaires
Enregistrer un commentaire