🏔️Analyse statique (iOS)
Outils
ProperTree
ProperTree créé une interface graphique permettant de lire les fichier plist sur des PC linux.
ressource: https://github.com/corpnewt/ProperTree
Méthodes de chiffrement/hashing faibles
L'utilisations incorrectes des algorithmes de chiffrement peuvent entraîner l'exposition de données sensibles, de clés provées, des broken authentication, une session non sécurisée ou encore une attaque par usurpation d'identité.
Commandes grep intéressantes
# Sur l'appareil
otool -Iv <app> | grep -w "_CC_MD5"
otool -Iv <app> | grep -w "_CC_SHA1"
# Sur pc attaquant
grep -iER "_CC_MD5"
grep -iER "_CC_SHA1"
Fonctions de randomisation faibles
# Sur l'appareil
otool -Iv <app> | grep -w "_random"
otool -Iv <app> | grep -w "_srand"
otool -Iv <app> | grep -w "_rand"
# Sur pc attaquant
grep -iER "_random"
grep -iER "_srand"
grep -iER "_rand"
Fonction sensibles
# Sur l'appareil
otool -Iv <app> | grep -w "_gets"
otool -Iv <app> | grep -w "_memcpy"
otool -Iv <app> | grep -w "_strncpy"
otool -Iv <app> | grep -w "_strlen"
otool -Iv <app> | grep -w "_vsnprintf"
otool -Iv <app> | grep -w "_sscanf"
otool -Iv <app> | grep -w "_strtok"
otool -Iv <app> | grep -w "_alloca"
otool -Iv <app> | grep -w "_sprintf"
otool -Iv <app> | grep -w "_printf"
otool -Iv <app> | grep -w "_vsprintf"
# Sur pc attaquant
grep -R "_gets"
grep -iER "_memcpy"
grep -iER "_strncpy"
grep -iER "_strlen"
grep -iER "_vsnprintf"
grep -iER "_sscanf"
grep -iER "_strtok"
grep -iER "_alloca"
grep -iER "_sprintf"
grep -iER "_printf"
grep -iER "_vsprintf"
Permissions
Comme pour les appreils android, iOS utilise un système de permissions pour demander l'approbation aux utilisateur d'utiliser une ressource telle que la caméra, les contacts ou des fichiers externes. Ces permissions sont définies dans le fichier info.plist
Dernière mise à jour
Cet article vous a-t-il été utile ?