Mobile

L’exploitation mobile dévoile les failles des applications et systèmes pour manipuler leurs fonctionnalités, contourner leurs protections et accéder à leurs données sensibles.

Sur Android comme sur iOS, cela inclut le reverse engineering pour étudier le code source, l’interception de trafic réseau pour capturer et manipuler les données échangées, et l’analyse des permissions pour identifier les mauvaises configurations. Ces techniques permettent de contourner les protections, accéder à des données sensibles et tester la résilience des applications face aux attaques.

Outils

• Émulateurs
  • Android Studio : Environnement de développement intégré avec un émulateur pour tester et déboguer des applications Android.
  • Genymotion : Émulateur rapide et flexible pour tester des applications Android sur divers appareils et versions.
  • Corellium : Émulateur payant pour iOS et Android, conçu pour les tests de sécurité et le développement avancé.
  • WayDroid : Exécution d’Android sur Linux pour des tests d’applications mobiles.
  • ReDroid : Exécution d’instances Android dans des conteneurs Docker pour une configuration rapide et modulaire.
• Frida : Framework d’instrumentation dynamique pour l’analyse et la manipulation des applications mobiles.
• Burp Suite : Analyse et manipulation des communications réseau des applications mobiles.
• APKTool : Outil de décompilation et modification des fichiers APK Android.
• MobSF : Analyse statique et dynamique des applications Android et iOS.
• Objection : Outil basé sur Frida pour bypasser les protections des applications mobiles.
• Magisk : Framework pour rooter les appareils Android et installer des modules personnalisés.
• Jadx : Décompilation et lecture des fichiers DEX Android.
• Drozer : Plateforme d’évaluation de la sécurité des applications Android.

Lectures

• Hactricks Mobile Pentesting : Recueil de techniques et d’outils pour tester la sécurité des applications mobiles.
• OWASP Mobile Security Testing Guide : Guide complet pour tester la sécurité des applications mobiles.
• Android Hacking 101 - TryHackMe : Guide pratique pour apprendre les bases de l’exploitation des applications Android.
• Android write-ups - 0xdf : Solutionnaires et articles détaillant l’exploitation de vulnérabilités sur Android.
• 8KSEC Blog : Articles approfondis sur la recherche et l’exploitation des failles mobiles.

Vidéos

• Three Ways to Hack Mobile Apps : Introduction aux méthodes courantes pour tester la sécurité des applications mobiles.
• Intercepting Android App Traffic with BurpSuite - IppSec : Tutoriel pour intercepter et manipuler le trafic réseau des applications Android avec Burp Suite.
• iOS Exploitation/Security Research Tutorials : Série avancée sur l’exploitation et la recherche en sécurité iOS.

Défis

• AllSafe Vulnerable App : Application vulnérable pour apprendre à identifier et exploiter des failles sur Android.
• OWASP iGoat : Application éducative pour tester et comprendre les vulnérabilités courantes sur iOS.
• hpAndro1337 Android Application Security : Environnement pour tester la sécurité des applications Android.
• HackTheBox Mobile Challenges : Défis spécifiques à l’exploitation des appareils mobiles.