BT

LinkedIn publie QARK pour révéler les Failles de Sécurité dans les Apps Android

| par Abel Avram Suivre 10 Abonnés , traduit par Nicolas Frankel Suivre 7 Abonnés le 07 sept. 2015. Durée de lecture estimée: 2 minutes |

LinkedIn a publié récemment en Open Source QARK, un outil d'analyse statique ayant pour but de découvrir les failles de sécurité potentielles existantes dans les applications Android écrites en Java.

QARK a d'abord été introduit à DEFCON 23 en début de mois, puis rendu public sur GitHub peu de temps après. QARK utilise PLYJ, un outil Python pour analyser le code source Java, et Beautiful Soup pour l'analyse du fichier manifeste d'Android. Mais QARK peut également gérer les fichiers binaires, en utilisant de multiples décompilateurs et en fusionnant leurs résultats : Procyon, JD-Core, CFR, DEX2JAR et APKTool. L'éventail des problèmes recherchés comprend :

  • Composants exportés par inadvertance
  • Composants exportés mal protégés
  • Intents vulnérables à l'interception ou à l'écoute
  • Mauvaise validation du certificat X.509
  • Création de fichiers accessibles en lecture ou en écriture par tout le monde
  • Activités qui peuvent laisser fuiter des données
  • Utilisation d'Intents Sticky
  • Pending Intents créées de manière non-sécurisée
  • Envoi non-sécurisé d'Intents Broadcast
  • Clés privées intégrées dans le code source
  • Utilisation de cryptographie faible ou mal adaptée
  • Configurations de WebView potentiellement exploitables
  • Préférences d'Activités Exportées
  • Tapjacking
  • Applications qui permettent des sauvegardes
  • Applications qui sont débogables
  • Applications qui supportent des versions obsolètes de l'API, avec des vulnérabilités connues

Lorsqu'il décèle une vulnérabilité possible, QARK fournit une explication et un lien vers une page web avec plus de détails sur la question. L'outil peut créer un APK testable et des commandes ADB qui peuvent être émises pour montrer comment les vulnérabilités trouvées peuvent être exploitées.

A l'avenir, ils ont l'intention d'étendre QARK pour découvrir les vulnérabilités liées au Bound Service et au Content Provider, les problèmes qui ne sont pas liés à Java/Android, l'analyse des fichiers ODEX, l'amélioration de l'extensibilité, l'analyse dynamique et bien d'autres.

Bien que Qark puisse être intégré dans la chaîne d'outils Android pour détecter automatiquement les problèmes, les auteurs recommandent de continuer à procéder à l'examen manuel des applications car il existe des catégories de vulnérabilités non détectables lors de l'analyse statique, ainsi que des vulnérabilités non encore couvertes par l'outil.

Evaluer cet article

Pertinence
Style

Bonjour étranger!

Vous devez créer un compte InfoQ ou cliquez sur pour déposer des commentaires. Mais il y a bien d'autres avantages à s'enregistrer.

Tirez le meilleur d'InfoQ

Donnez-nous votre avis

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet
Commentaires de la Communauté

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

Discuter

Se connecter à InfoQ pour interagir sur ce qui vous importe le plus.


Récupérer votre mot de passe

Follow

Suivre vos sujets et éditeurs favoris

Bref aperçu des points saillants de l'industrie et sur le site.

Like

More signal, less noise

Créez votre propre flux en choisissant les sujets que vous souhaitez lire et les éditeurs dont vous désirez suivre les nouvelles.

Notifications

Restez à jour

Paramétrez vos notifications et ne ratez pas le contenu qui vous importe

BT