Archives par mot-clé : Androick

Androïck Ver. 2.0 reconnu par l’OWASP

Cocorico ! Androïck version 2.0 vient de sortir. L’outil a été sélectionné par l’OWASP Mobile Security Project. C’est le seul outil français a avoir été sélectionné ! Derrière cette création, Florian Pradines, 20 ans, un étudiant en deuxième année à l’IUT informatique d’Aix-en-Provence (Aix-Marseille Université). En plus de ses études, le chercheur travaille pour la société Phonesec en tant qu’expert sécurité. La rédaction de Data Security Breach a posé quelques questions au jeune informaticien pour découvrir quelques petits secrets sur son outil.

[+] Datasecuritybreach.fr – Qu’est ce qu’Androïck ?

Florian Pradines- Androïck est un outil programmé en python qui permet d’apporter une aide à l’analyse forensic des applications Android stockés sur nos appareils. L’application récupère le fichier apk (en gros, le logiciel), les données qui sont stockées sur votre ordinateur. Ensuite, l’application analyse tous les fichiers récupérés à la recherche de bases de données et lorsqu’elle en trouve, elle les extrait au format csv afin d’en faciliter l’analyse. Un autre point intéressant est le fait qu’Androïck récupère aussi les fichiers et apk stockés sur la carte SD du téléphone. Il est aussi compatible avec les applications systèmes.

[+] Datasecuritybreach.fr – Pourquoi cette idée ?

Florian Pradines – Lorsque j’analysais des applications, une étape qui pouvait être longue était celle de récupérer toutes les données (apk, fichiers, etc…) sur mon ordinateur. Ensuite, il fallait que je trouve les bases de données pour les extraire et voir leur contenu. Sans compter que parfois, je perdais un peu de temps à chercher le nom exact du package pour pouvoir le récupérer. Cette étape n’est pas particulièrement intéressante et c’est là qu’intervient Androïck.

[+] Datasecuritybreach.fr – Etre choisi par Owasp, voilà de quoi être fier ?

Florian Pradines – Bien sûr, c’est une grande satisfaction et fierté. Je consacre du temps à ce projet et être choisi par l’OWASP va me permettre de pouvoir échanger avec d’autres personnes importantes sur la scène Android.

[+] Datasecuritybreach.fr – Evolution de l’outil ?

Florian Pradines – L’outil va bien sûr évoluer encore. Les prochaines fonctionnalités seront sûrement la décompilation automatique de l’application et la conversation au format jar, afin de gagner encore plus de temps sur l’analyse. Dans le futur, si le projet fonctionne aussi bien que je l’espère, une application Android pourrait voir le jour afin de faire certaines opérations directement sur son smartphone.

[+] Datasecuritybreach.fr – Autres projets ?

Florian Pradines – La sécurité iOS et Windows phone qui sont des acteurs importants du marché m’intéressent aussi. J’ai dans l’idée de faire de la recherche sur ces systèmes.

https://www.owasp.org/index.php/OWASP_Mobile_Security_Project#tab=Mobile_Tools https://www.owasp.org/index.php/Projects/OWASP_Androick_Project

Qui espionne le plus : iOS ou Android ?

Data Security Breach vient de finir de lire les résultats d’une analyse menée par BitDefender sur les comportements les plus intrusifs des applications Android et iOS. Après avoir analysé plusieurs centaines de milliers d’applications, l’étude révèle qu’elles sont tout aussi intrusives et indiscrètes sous iOS que sous Android. Alors que l’on pourrait penser l’un des deux systèmes d’exploitation plus intrusif que l’autre, il résulte que les données personnelles des utilisateurs d’appareils mobiles (contacts, adresses e-mail, localisation, etc.) sont aussi bien en danger sous Android que sous iOS. Le nombre d’applications analysées s’élève à 314 474 applications pour Android et 207 843 pour iOS.

Parmi ces comportements intrusifs et indiscrets, parfois intégrés par les développeurs d’applications eux-mêmes, DataSecurityBreach.fr a pu constater dans l’étude que 45,41 % des applications iOS intègrent des services de localisation contre 34,55 % sous Android. Avec une implantation et des formes d’utilisation similaires sur les deux plates-formes, ces ‘espions’ sont souvent demandés par les publicitaires et intégrés via des composants API (framework APIs) pour connaître les habitudes des utilisateurs. À ce stade de l’étude, seulement 7,69% des applications Android peuvent accéder à votre liste de contacts alors que les applications iOS se montrent davantage indiscrètes : 18,92 % sont techniquement capables de lire vos contacts. 14,58 % des applications Android peuvent divulguer l’identifiant de votre appareil et 5,73 % transmettre votre adresse e-mail. De nouveau, les applications iOS semblent recueillir plus de données personnelles que celles conçues pour Android.

Là aussi, ces informations sont très intéressantes pour les réseaux publicitaires et sont susceptibles d’être partagées ou revendues à des tiers pour, par exemple, l’envoi de publicités ciblées en fonction du comportement et du profil des utilisateurs. 8,82 % des applications Android analysées peuvent divulguer les numéros de téléphone d’un appareil à des publicitaires. Les applications intégrant Air Push et parfois LeaBolt permettent aux développeurs de recueillir, crypter et d’envoyer le numéro de téléphone à l’insu des utilisateurs.

Si la géolocalisation, l’accès aux contacts de l’appareil ou l’interaction avec les réseaux sociaux, peuvent être légitimes pour certaines fonctionnalités, ces comportements deviennent intrusifs lorsque les données personnelles de l’utilisateur ne sont pas indispensables au bon fonctionnement des applications mais collectées pour être monétisées par les développeurs. En d’autres termes, l’application ne devient gratuite qu’une fois ‘payée’ par l’utilisateur avec ses données personnelles. La situation est même pire, puisque payer l’application n’assure pas à l’utilisateur que ses données privées ne soient plus collectées ni même rendues à son propriétaire puisque déjà stockées dans des fichiers. De plus, la collecte de ces données est faite sans que l’utilisateur ait connaissance des autorisations accordées lors de l’installation de l’application. Que ce soit au moment de l’installation de l’application Android ou lors de son exécution pour une application iOS, l’utilisateur devrait lire attentivement les autorisations demandées.

Des applications qui peuvent aider à se sécuriser, Data Security Breach vous propose plusieurs solutions gratuites, pour Android et iOS, qui permettent d’être informés sur les risques d’atteinte à sa vie privée et ainsi se prémunir contre d’éventuels usages non désirés de ses informations personnelles. Des applications qui peuvent servir à protéger contre la collecte et l’utilisation de données personnelles par les autres application déjà présente sur le smartphone. D’abord, débutons par l’application de Bitdefender baptisée Clueful. Elle permet d’apprécier les données que pillent les applications. Possibilité d’effacer les plus dangereuses. Attention, Clueful collecte aussi des données personnelles, c’est du moins ce qu’indiquent les  conditions générales. Autre solution, celle proposée par AVG. Même principe, avec possibilité de détruire les applications malveillantes.

DataSecurityBreach.fr terminera avec Androick, un outil pour linux permettant d’aider les utilisateurs à analyser des applications Android. Il permet de récupérer le fichier apk, toutes les données (stockées sur le téléphone et carte SD), les bibliothèques et les bases de données (au format SQLite3 et CSV). C’est un projet récent, jeune et dynamique. L’auteur,  Florian Pradines, chercheur pour la société Phonesec,  a expliqué à Data Security Breach et zataz.com des ajouts de fonctionnalités d’ici un ou deux mois, notamment celle permettant de décompiler une application qui possède le flag « isEncrypted ».