BT

Accueil InfoQ Actualités LinkedIn publie QARK pour révéler les Failles de Sécurité dans les Apps Android

LinkedIn publie QARK pour révéler les Failles de Sécurité dans les Apps Android

Favoris

LinkedIn a publié récemment en Open Source QARK, un outil d'analyse statique ayant pour but de découvrir les failles de sécurité potentielles existantes dans les applications Android écrites en Java.

QARK a d'abord été introduit à DEFCON 23 en début de mois, puis rendu public sur GitHub peu de temps après. QARK utilise PLYJ, un outil Python pour analyser le code source Java, et Beautiful Soup pour l'analyse du fichier manifeste d'Android. Mais QARK peut également gérer les fichiers binaires, en utilisant de multiples décompilateurs et en fusionnant leurs résultats : Procyon, JD-Core, CFR, DEX2JAR et APKTool. L'éventail des problèmes recherchés comprend :

  • Composants exportés par inadvertance
  • Composants exportés mal protégés
  • Intents vulnérables à l'interception ou à l'écoute
  • Mauvaise validation du certificat X.509
  • Création de fichiers accessibles en lecture ou en écriture par tout le monde
  • Activités qui peuvent laisser fuiter des données
  • Utilisation d'Intents Sticky
  • Pending Intents créées de manière non-sécurisée
  • Envoi non-sécurisé d'Intents Broadcast
  • Clés privées intégrées dans le code source
  • Utilisation de cryptographie faible ou mal adaptée
  • Configurations de WebView potentiellement exploitables
  • Préférences d'Activités Exportées
  • Tapjacking
  • Applications qui permettent des sauvegardes
  • Applications qui sont débogables
  • Applications qui supportent des versions obsolètes de l'API, avec des vulnérabilités connues

Lorsqu'il décèle une vulnérabilité possible, QARK fournit une explication et un lien vers une page web avec plus de détails sur la question. L'outil peut créer un APK testable et des commandes ADB qui peuvent être émises pour montrer comment les vulnérabilités trouvées peuvent être exploitées.

A l'avenir, ils ont l'intention d'étendre QARK pour découvrir les vulnérabilités liées au Bound Service et au Content Provider, les problèmes qui ne sont pas liés à Java/Android, l'analyse des fichiers ODEX, l'amélioration de l'extensibilité, l'analyse dynamique et bien d'autres.

Bien que Qark puisse être intégré dans la chaîne d'outils Android pour détecter automatiquement les problèmes, les auteurs recommandent de continuer à procéder à l'examen manuel des applications car il existe des catégories de vulnérabilités non détectables lors de l'analyse statique, ainsi que des vulnérabilités non encore couvertes par l'outil.

Evaluer cet article

Pertinence
Style

Bonjour étranger!

Vous devez créer un compte InfoQ ou cliquez sur pour déposer des commentaires. Mais il y a bien d'autres avantages à s'enregistrer.

Tirez le meilleur d'InfoQ

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

Commentaires de la Communauté

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

BT

Votre profil est-il à jour? Merci de prendre un instant pour vérifier.

Note: en cas de modification de votre adresse email, une validation sera envoyée.

Nom de votre entreprise:
Rôle dans votre entreprise:
Taille de votre entreprise:
Pays/Zone:
État/Province/Région:
Vous allez recevoir un email pour confirmer la nouvelle adresse email. Ce pop-up va se fermer de lui-même dans quelques instants.