BT

Diffuser les Connaissances et l'Innovation dans le Développement Logiciel d'Entreprise

Contribuez

Sujets

Sélectionner votre région

Accueil InfoQ Actualités LinkedIn publie QARK pour révéler les Failles de Sécurité dans les Apps Android

LinkedIn publie QARK pour révéler les Failles de Sécurité dans les Apps Android

Favoris

LinkedIn a publié récemment en Open Source QARK, un outil d'analyse statique ayant pour but de découvrir les failles de sécurité potentielles existantes dans les applications Android écrites en Java.

QARK a d'abord été introduit à DEFCON 23 en début de mois, puis rendu public sur GitHub peu de temps après. QARK utilise PLYJ, un outil Python pour analyser le code source Java, et Beautiful Soup pour l'analyse du fichier manifeste d'Android. Mais QARK peut également gérer les fichiers binaires, en utilisant de multiples décompilateurs et en fusionnant leurs résultats : Procyon, JD-Core, CFR, DEX2JAR et APKTool. L'éventail des problèmes recherchés comprend :

  • Composants exportés par inadvertance
  • Composants exportés mal protégés
  • Intents vulnérables à l'interception ou à l'écoute
  • Mauvaise validation du certificat X.509
  • Création de fichiers accessibles en lecture ou en écriture par tout le monde
  • Activités qui peuvent laisser fuiter des données
  • Utilisation d'Intents Sticky
  • Pending Intents créées de manière non-sécurisée
  • Envoi non-sécurisé d'Intents Broadcast
  • Clés privées intégrées dans le code source
  • Utilisation de cryptographie faible ou mal adaptée
  • Configurations de WebView potentiellement exploitables
  • Préférences d'Activités Exportées
  • Tapjacking
  • Applications qui permettent des sauvegardes
  • Applications qui sont débogables
  • Applications qui supportent des versions obsolètes de l'API, avec des vulnérabilités connues

Lorsqu'il décèle une vulnérabilité possible, QARK fournit une explication et un lien vers une page web avec plus de détails sur la question. L'outil peut créer un APK testable et des commandes ADB qui peuvent être émises pour montrer comment les vulnérabilités trouvées peuvent être exploitées.

A l'avenir, ils ont l'intention d'étendre QARK pour découvrir les vulnérabilités liées au Bound Service et au Content Provider, les problèmes qui ne sont pas liés à Java/Android, l'analyse des fichiers ODEX, l'amélioration de l'extensibilité, l'analyse dynamique et bien d'autres.

Bien que Qark puisse être intégré dans la chaîne d'outils Android pour détecter automatiquement les problèmes, les auteurs recommandent de continuer à procéder à l'examen manuel des applications car il existe des catégories de vulnérabilités non détectables lors de l'analyse statique, ainsi que des vulnérabilités non encore couvertes par l'outil.

Evaluer cet article

Pertinence
Style

Contenu Éducatif

BT