👾Méthodologie

Stockage

• Déterminer si des données sensibles sont partagées via des notifications (Chercher tout usage de la classe NotificationManager)

• Valider que le cache de clavier est désactivé dans les définitions d'activités (android:inputType="TextNoSuggestions")

• Vérifier l'implémentation des bakups

  • Vérifier si android:allowBackup="true" dans AndroidManifest.xml (automatique sauf si explicitement désactivé depuis Android 6.0)

  • Déterminer comment sont fais les backups (Auto-Backup ou clés/valeur)

  • Vérifier si des règles de backup sont en place (backup_rules.xml)

• Lister et analyser les occurences d'APIs et Permissions permettant de stocker des données sur des stockages externes (getExternalStoragePublicDirectory, getExternalStorageDirectory, getExternalFilesDir, MediaStore, WRITE_EXTERNAL_STORAGE, MANAGE_EXTERNAL_STORAGE)

• Vérifier si une bdd externe firebase/appspot est utilisée

• Analyser l'usage des APIs de Logging (Log, Logger, System.out.print, System.err.print, java.lang.Throwable#printStackTrace)

Crypto

• Lister les classes, interfaces, fonctions et exceptions de cryptographie et rechercher toute mauvaise pratique liée à leur usage

• Vérifier si des pseudorandom number generator (PRNG) sont utilisés pour protéger des données sensibles (java.util.Random par exemple)

• Vérifier si d'autres méthodes de randomisation non sécurisées sont utilisées pour protéger des données sensibles tels que des token basés sur le temps etc (exp: Date().getTime(), calendar.MILLISECOND)

• Valider la taille des clés de cryptographie (classes KeyGenerator et KeyPairGenerator)

• Chercher des clés codées en dur (classe SecretKeySpec)

• Déterminer si l'application utilise des algorithmes de chiffrement symétriques faibles (Cipher.getInstance, SecretKeyFactory.getInstance, KeyGenerator.getInstance)

• Déterminer si l'application utilise des modes de chiffrement symétriques faibles (Cipher.getInstance)

Authentification

• Si setUserAuthenticationRequired est utilisée, valider la durée pendant laquelle la clé est autorisée à être utilisée après une authentification réussie

• Vérifier si l'application utilise des mécanismes d'authentification biométriques (vérifier dans les permissions de l'application)

Réseau

• Vérifier si l'application utilise TrustManager et HostnameVerifier et valider s'ils sont correctement implémentés

• Valider si des custom trust anchors sont utilisés

  • Vérifier si ils autorisent des communications en clair

  • Vérifier si ils autorisent les certificats utilisateur

  • Vérifier si le certificate pinning est configuré

    • Vérifier la date d'expiration des pins

• Vérifier si les webviews ignorent les erreurs TLS

• Vérifier si l'application valide l'hostname Si l'application est basée sur le SDK Android, alors vérifier que la classe ProviderInstaller est appelée avec soit installIfNeeded ou installIfNeededAsync

• Vérifier la version TLS utilisée par l'application

• Rechercher si des url http:// sont utilisées dans le code

• Vérifier si le flag android:usesCleartextTraffic="true" est présent dans le fichier AndroidManifest.xml

Code

• Rechercher les occurences d'intents contenant des actions système (android.intent.action.*)

  • Lister les intents implicites

    • Vérifier la présence de vulnérabilité selon les capacités de chacun d'entre eux

• Vérifier la configuration du client WebViewClient

  • Rechercher les fonctions de callbacks shouldOverrideUrlLoading, shouldInterceptRequest

  • Vérifier si les WebViews sont autorisées à charger des pages suspicieuses

• Vérifier si le flag EnableSafeBrowsing est actif dans le fichier AndroidManifest.xml

• Vérifier si des CVE existes sur les versions des librairies tiers utilisées par l'application.

• Vérifier que les flags de sécurité relatifs aux librairies natives sont actifs (PIC, stack canaries...)

Plateforme

• Lister les content providers exportés

  • Déterminer si les données sont protégées par des permissions (android:permissions)

  • Déterminer si le android:protectionLevel à la valeur "signature"

  • Analyser comment sont utilisés les content providers dans le code

• Vérifier si le flag FLAG_SECURE est utilisé

• Lister les permissions de l'application

  • Vérifier comment les permissions sont utilisées dans le code

  • Vérifier si android:protectionLevel="normal" ou "dangerous" est utilisé

• Lister les deeplinks de l'application dans le fichier AndroidManifest.xml

• Identifier les services, activités, broadcast receivers etc exportés

  • Analyser le code lié à ces élements

• Lister les PendingIntents Lister les WebViews interpretant le code JavaScript

• Lister les WebViews utilisant un bridge natif

• Lister les WebViews comportant des configurations potentiellement dangereuses

• Lister les WebViews debuggables Vérifier le nettoyage des données liées aux WebViews

• Vérifier que les URL ouvertes dans des WebViews ne peuvent pas être contrôlées complètement ou partiellement par les utilisateurs

• Vérifier si l'application utilise des mécanismes anti-tapjacking

Résilience

• Vérifier la présence de symboles de debugging

• Vérifier la présence de code de debug

• Vérifier la présence de mécanismes anti-root

• Vérifier la présence de mécanismes anti-debug

• Vérifier la présence de checks d'intégrité

• Vérifier la présence de mécanismes anti-hooking/anti-reverse

• Vérifier la présence de mécanismes anti-emulateur

• Analyser le niveau d'obfuscation du code

• Vérifier la version de signature de l'application

• Vérifier le type de certificat avec lequel est signée l'application

• Vérifier l'algoritme de signature de l'application

• Vérifier la taille de la clé de chiffrement utilisée pour signer l'application

Stockage

• Tracer les appels de fonctions relatives aux notifications (setContentTitle ou setContentText de NotificationCompat.Builder)

• Regarder si le clavier fait des suggestions sur les champs sensibles

• Faire un backup après installation de l'application puis après utilisation de l'application et vérifier qu'aucune donnée sensible ne fuite

• Vérifier qu'aucune donnée sensible ne fuite dans la mémoire.

• Prendre un snapshot des répértoires et fichiers externes avant et après usage de l'application puis les comparer pour vérifier la présence de données sensibles

• Tracer les lectures/écritures dans les fichiers externes en temps réel

• Prendre un snapshot des répértoires et fichiers internes avant et après usage de l'application puis les comparer pour vérifier la présence de données sensibles

• Tracer les lectures/écritures dans les fichiers internes en temps réel

• Vérifier les droits d'accès aux bdd firebase/appspot

• Utiliser logcat pour analyser les logs en temps réel (rechercher la présence de toute donnée sensible)

Crypto

• Tracer les méthodes de cryptographie avec frida et analyser les entrées/sorties, l'usage des clés de chiffrement, les protocoles utilisés etc.

• Tracer les méthodes de randomisation avec frida

Authentification

• Si l'application utilise la biométrie, tenter de la contourner avec des scripts frida.

Réseau

• Vérifier si l'application autorise les certificats auto-signés avec Burp Suite

• Vérifier si l'application autorise les certificats non trustés

• Vérifier si l'application accepte les hostnames incorrectes

• En cas de SSL Pinning, tenter de le contourner avec frida

• Hook la fonction java.security.Security.getProviders() et déterminer si le premier provider est GmsCore_OpenSSL

• Utiliser testssl.sh pour auditer les configurations TLS du/des domaine(s) utilisé(s) par l'application

• Utiliser Wireshark pour vérifier la version de TLS utilisée par l'application

• Utiliser Wireshark ou Burp Suite pour vérifier si des communications HTTP non chiffrées sont utilisées par l'application

Code

• Tracer les méthodes startActivityForResult et onActivityResult et inspecter les intents et leurs données

• Tracer les méthodes shouldOverrideUrlLoading, shouldInterceptRequest, getHost, getScheme, getPath et vérifier s'il existe des restrictions sur le chargement des pages web.

• Vérifier si l'application est fonctionnelle sur des versions précédentes

  • Si oui, vérifier si l'utilisateur est alerté et si il est possible d'ignorer cette alerte

• Rechercher des vulnérabilités de corruption de mémoire dans le code natif

• Rechercher des vulnérabilités de corruption de mémoire dans le code Java/Kotlin

Plateforme

• Vérifier s'il est possible d'accéder à des données sensibles depuis les content providers exportés

• Chercher des SQLi dans les providers exportés

• Chercher des path traversal dans les providers exportés

• Vérifier si il est possible de manipuler les services exportés

• Vérifier si il est possible de récupérer des informations sensibles au travers des broadcast receivers exportés

• Vérifier si il est possible de contourner des mécanismes d'authentification au travers de forced browsing en utilisant les activités exportées

• Vérifier si des données sensibles sont exposées depuis l'interface utilisateur de l'application

• Vérifier si la vue de l'application est remplacée lorsque l'application est mise en arrière plan

• Vérifier si les permissions listées sont utilisées ou non

• Pour chaque deeplink relevé

  • Vérifier les fichiers Digital Asset Links

    • Si ils sont présents

      • Sur chaque sous-domaine s'il y en a

      • À la racine de l'hostname si un wildcard est utilisé

      • Si ils ne sont pas en HTTP Si ils ne sont pas syntaxiquement corrects

      • Si on y retrouve bien le nom du package audité

      • Si il n'y a pas de redirection

  • S'ils permettent d'ouvrir une WebView, vérifier que les deeplinks sont correctement traités

    • Tracer la fonction Intent.getData

    • Fuzzing

• Analyser comment sont utilisées les WebViews dans l'application et vérifier si il est possible de les manipuler

• Tenter de superposer une application malveillante au dessus de l'application cible et vérifier si les boutons sont toujours accessibles

• Tester les attaques de type task hijacking / Standhogg

• Auditer les lecteurs de QR code

Résilience

• Ouvrir l'application avec un appareil rooté et vérifier le comportement de l'application au démarrage

  • Si l'application empêche le démarrage, tenter de bypasser la restriction avec frida

• Ouvrir l'application avec un émulateur et vérifier le comportement de l'application au démarrage

  • Si l'application empêche le démarrage, tenter de bypasser la restriction avec frida

• Vérifier si l'application détecte la présence d'outils de hooking/reverse

  • Si l'application empêche le démarrage, tenter de bypasser la restriction avec frida

• Attacher un debugger à l'application et vérifier son comportement

  • Si l'application empêche l'action, tenter de bypasser la restriction avec frida

• Ouvrir l'application avec un appareil sans mécanisme d'authentification et vérifier si elle fonctionne sans alerte ou protection particulière