Guillaume et moi-même avons écrit trois articles sur la sécurité des applications mobiles (tout le dossier en fait ;), qui ont été publiés dans le magazine MISC106 de novembre/décembre :
- Contournement de l’API Google Play Billing (for fun and profit ;)
- Auditer la sécurité d’une application iOS (avec et sans jailbreak)
- Présentation du Mobile Security Testing Guide de l’OWASP (devenu LA référence dans le domaine)
Comme à notre habitude nous aurions aimé opter pour une licence CC dans le but de mettre les articles à disposition au plus grand nombre dès l’expiration des droits d’auteur, mais cela n’a été possible que pour un seul des trois articles. Heureusement, il s’agit de l’article dont nous sommes le plus fiers: celui qui présente le contournement de l’API Google Play Billing ! Alors rendez-vous ici dans quelques mois pour le découvrir.
En attendant voici le synopsis de chaque article :
Contournement de l’API Google Play Billing
D’après le blog INVESP le montant global des paiements dits “in-app” représentaient environ 37 milliards de dollars (USD) en 2017 pour les applications mobiles (Android et Apple). Ce montant représente quasiment la moitié des revenus générés par les applications mobiles (48,2%), dépassant les revenus générés par les régies publicitaires (14%), ainsi que l’achat d’applications (37,8%). Il est donc important que la sécurité de ces paiements soit correctement implémentée afin d’éviter un manque à gagner pour les développeurs des applications. Dans le cadre de cet article, nous avons passé en revue 50 applications Android afin d’étudier le fonctionnement de l’API Google Play Billing et d’identifier les vulnérabilités liées à une mauvaise implémentation. Nous détaillerons en exemple des applications vulnérables.
Auditer la sécurité d’une application iOS
Auditer la sécurité d’une application iOS n’est toujours pas une tâche aisée. Force est de constater que la plupart des auditeurs, amateurs de bug bounty ou autres curieux préfèrent travailler sur les applications Android malgré les récentes protections ajoutées au système d’exploitation de Google. Nous allons malgré tout essayer de présenter une méthodologie qui rend possible l’analyse orientée sécurité d’une application iOS, même sans jailbreak. Un bref rappel sera effectué pour ensuite introduire quelques outils et documentations apparues ces derniers mois.
Présentation de l’OWASP Mobile Security Testing Guide
Paru en juin 2018, l’OWASP Mobile Security Testing Guide (MSTG) est devenu une référence pour appréhender et auditer la sécurité des applications mobiles (Android et iOS). Dans cet article, nous allons passer en revue le guide et présenter quelques exemples d’utilisation.
Bonne lecture !