Audit sécurité d'applications mobiles Android et iOS
Audit sécurité d'applications mobiles Android et iOS
Cybersécurité et IA > Cybersécurité
Objectifs
- Appréhender les problématiques sécurité des applications mobiles.
- Savoir effectuer une analyse statique.
- Utiliser Frida pour réaliser une analyse dynamique.
- Intercepter le trafic d’une application mobile.
Le programme de la formation
iOS
Présentation de l'écosystème iOS
Architecture iOS et fonctionnalités de sécurité
OWASP MSTG et MASVS
Techniques utilisées pour auditer une application
Jailbreak : histoire, types et évolution
Mise en place d'un environnement de test
Signature d'applications
Présentation de Corellium
Analyse statique d'applications iOS
Analyse des méta-données liées aux applications
Déchiffrement d'une application
Décompilation avec Hopper
- Travaux Pratiques
Automatisation de l'analyse statique avec MobSF
Déchiffrement d'une application récupérée de l'AppStore
Décompilation et retro-ingénierie d'une application
Android
Présentation de l'écosystème Android
Architecture d'Android (Composants et Sandboxing)
Structure et contenu d'un APK
Présentation de l'Android Manifest
Mise en place d'un environnement de test
- Travaux Pratiques : Développement d'une application Android
Analyse statique et modification d'applications Android
Décompilation d'une application avec JADX
Analyse statique avec apktool
Modification d’une application Android avec apktool
Signature d’une application Android
- Travaux Pratiques
Recherche et identification de secrets au sein d'une application
Modification d’une application Android
iOS
Analyse des données d'applications iOS
Les données sauvegardées par iTunes
- Travaux Pratiques : Récupération d'informations sensibles à partir d'une sauvegarde
Les données stockées sur le terminal
- Travaux Pratiques : Récupération d'informations sensibles / via les journaux
Analyse dynamique d'applications iOS
Interfaces et implémentations en Objective-C
Rétro-ingénierie d'une application pour contourner des fonctions de sécurité
- Travaux Pratiques : Décompilation, retro-ingénierie puis modification en mémoire d'une application avec Frida pour contourner une fonction de sécurité
Android
Analyse dynamique d'applications Android
Revue des différentes méthodes de stockage de données
- Shared Preferences
- Bases de données (SQLite)
- Stockage interne et externe
- Travaux Pratiques : Exploitation des faiblesses de chaque méthode
Comparaison de l'utilisation d'un émulateur ou d'un terminal physique
Techniques de détection d’un émulateur ou d'un équipement "rooté"
Revue des contrôles d’accès des composants Android
- Activities
- Content Providers
- Travaux Pratiques : Exploitation des faiblesses de contrôle d'accès
- Travaux Pratiques : Décompilation, rétro-ingénierie puis modification en mémoire d'une application avec Objection pour contourner une fonction de sécurité
iOS
Sécurité des communications des applications iOS
Interception du trafic réseau
Fonctionnement et implémentation du Certificate Pinning
Techniques de contournement du Certificate Pinning
- Travaux Pratiques
Interception de trafic non chiffré
Interception de trafic chiffré
Contournement du Certificate Pinning
Que faire sans terminal iOS jailbreaké ?
Analyse des sauvegardes et des journaux
Interception du trafic réseau
Side-loading d'application pour embarquer un framework d'analyse (Frida/Cycript/Objection)
Android
Sécurité des communications des applications
Revue des faiblesses courantes
Interception du trafic réseau
Fonctionnement et implémentation du Certificate Pinning
Techniques de contournement du Certificate Pinning
- Travaux Pratiques : Inteception de trafic chiffré et contournement du Certificate Pinning
Instrumentation d'applications Android avec Frida
Présentation de Frida
Création de scripts Frida pour instrumenter du code Java
Utilisation de Frida pour instrumenter du code natif
- Travaux Pratiques : Utilisation de Frida pour contourner des routines de détection de "root"
Public et Pré-requis de la formation
Administrateurs système ou réseau, Développeurs et Consultant en sécurité souhaitant acquérir des compétences en audit d’applications mobiles.
Avoir de bonne connaissance en informatique, connaissances en réseau (TCP/IP et HTTP) et Linux (savoir utiliser le terminal) et connaissances de base en sécurité.
Méthode pédagogique de la formation
Cours magistral.
Travaux pratiques.
29 Commentaires
Formation flexible en petit groupe
Très bonne formation! Organisation rapide et on est bien conseillé. Merci up up formation, je recommande fortement!!
Formation intéressante avec de bons échanges et une formatrice à l'écoute.
Merci up up concernant la flexibilite de mon planning
Bien.
Une organisation à la fois simple et professionnelle
bien mais surprenant concernant le paiement
Une formation adaptée à ce que je désirais m’a été trouvée avec succès
Bonne prestation Groupe sympathique
Société professionnelle, bon relationnel
Bonne formation
Simple et concis, une bonne présentation du concept
Je suis très satisfait d’UpUp. Le principe de la mutualisation est malin et très innovant. J’ai pu me former pour le 1/4 du prix initial de la formation. Je recommande.
Je suis particulièrement satisfaite de la formation surtout par la disponibilité de la formatrice et par le contenu du programme.
J'ai découvert cette plateforme très récemment. J'ai trouvé une formation près de chez moi dans le domaine recherché en quelques clics. Simple, efficace et rapide ! merci.
formation adaptée à mes besoins et mes horaires, je recommande vivement
Site clair. Offre complète
Claire facile d'acces ,rapide
Super formation. Merci beaucoup
Je recommande pour la qualité, la réactivité et la précision,
Simple, efficace, pratique !
très bonne formation très agréable merci
Site simple et facile d'utilisation.
Bonne formation
Site convivial facile d'accès et ergonomique prix intéressant
Excellente formation et concept innovant. Je recommande !
Upup est très professionnel, le site ergonomique.
Très clair, moderne et utile. N’hésitez pas à y aller, vous ne serez pas déçu
Un concept innovant. En mutualisant la formation, on assure un minimum de stagiaires par session.