Lorsque l’on parle de tests d’intrusion mobiles, les poils de certains auditeurs se hérissent lorsqu’il s’agit d’auditer une application iOS. En effet, la pomme croquée rend plus complexe l’analyse de ses applications que ses concurrents. Et pourtant ! Bien que moins documentée, la mise en place d’une analyse instrumentalisée des applications iOS est largement possible avec des outils facilement accessibles, laissez-vous juste guider !
1. Introduction
Au sein du MISC n°115 (« Exploitation avec Frida en environnement rooté et non rooté sous Android »), nous abordions certaines notions à propos de Frida (utilitaire client/serveur permettant notamment d’intercepter des appels à des fonctions et méthodes pour effectuer des modifications en mémoire). Nous abordions également la mise en place et l’utilisation au sein d’environnements rootés et non rootés (manuellement ou grâce à l’utilisation d’objection [objection]).
Le système d’exploitation Android étant plus ouvert, il est possible (et assez simple) de décompiler une application, y apporter les modifications souhaitées (inclusion d’un frida-gadget par exemple) et de recompiler l’application.
Néanmoins, même si plusieurs frameworks de développement mobile multiplateformes existent tels qu’Apache Cordova, Flutter, React Native, Xamarin, Unity, il n’est pas rare que les applications disposent de deux développements...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
