Audits d'application mobile
Au cours d'un audit d'application mobile, l'objectif est de vérifier :
- La sécurité des données de l'utilisateur au sein du téléphone qui peut être un environnement hostile dans les cas suivants
- Vol du téléphone
- Installation d'application tierce malveillante
- Utilisation de l'application sur un réseau wifi dangereux
- La robustesse des serveurs sur lesquels l'application se connecte face à une attaque en conditions réelles
Nos audits concernent les applications mobiles à destination des terminaux Android ou iOS. Voici quelques exemples de points verifiés par nos auditeurs
Android
- Stockage des données
- Fichiers de préférence
- Analyse des Permissions
- Fichiers de logs
- Mauvais usage de la plateforme
- Analyse du manifest
- Audit des webviews
- Gestion du presse-papier
iOS
- Stockage des données
- Bases de données
- Permissions
- Données en mémoire
- Mauvais usage de la plateforme
- Schémas d'url personnalisés
- Webviews
- Systèmes d'authentification locaux
Commun
- Authentification et gestion des sessions
- Analyse statique et dynamique
- Session Hijacking
- Mécanismes d'anti-bruteforce
- Gestion et stockage des variables de session
- Chiffrement
- Clés de chiffrement présentes/générées en dur dans le code
- Utilisation du Keystore/Keychain
- Longueur des clés
- Robustesse des algorithmes
- Analyse des communications réseaux
- Analyse dynamique des connexions et données échangées
- Vérification des certificats
- SSL Pinning