Audit d’applications Android, Java ne répond plus !
Lorsque l’on parle de tests d’intrusion sur Android, l’esprit de la plupart des auditeurs s’envole vers les outils apktool ou encore dex2jar pour la partie analyse statique. Mais qu’en est-il lorsque les applications ne sont pas développées en Java ou Kotlin ? L’objectif de cet article est de présenter une méthodologie alternative pour les cas de figure moins courants. La méthodologie « classique » des tests d'intrusion mobiles se décompose généralement en 3 parties : l’analyse statique, l’analyse dynamique ainsi que l’analyse des flux réseau. Au sein de cet article, nous nous concentrerons sur une petite partie de l’analyse statique : l’audit du code source de l’application. Le décor étant planté, dépêchons-nous, je n’ai que quelques heures !