I²Cx Mobile

I²Cx Mobile est une plateforme d’entraînement à la cybersécurité Mobile en cours de développement. Elle permet de découvrir l’ensemble des vulnérabilités applicatives Web du top 10 de l’OWASP. Au travers de la carte I²Cx Platform, il est également possible de se connecter à cette interface et ainsi démontrer les vulnérabilités d’application Android liées aux objets connectés.

Un large choix de vulnérabilités

Utilisation incorrecte d’une plateforme

Non-utilisation ou mauvaise implémentation des Intents d’Android, du TouchID ou Keychain d’iOS…

Communication non sécurisée

Communications non chiffrées, non authentifiées (handshake, versions SSL incorrectes, manquement de la protection des données personnelles (RGPD)

Mauvaises configurations cryptographiques

 Algorithmes de chiffrement faible, normes cryptographiques mal respectées

Désérialisation non sécurisée

 Buffer overflow, chaîne de caractères formatées, exécution de code sur les terminaux mobiles

Rétro-ingénierie

 Code peu complexe et aucunes méthodes d’obfuscation

Injection base de données

 Fuites de données sensibles non chiffrées, SQLite locales (log, mémoire des applications, code décompilé)

Authentification non sécurisée

 Mauvaise gestion des sessions

Défauts d’autorisations

 Défaut d’autorisation utilisateur, vol de données personnelles, suppression de système entier, ou bien contrôle de l’objet connecté

Falsification de code

 Clones malveillants, ajout de portes dérobées qui permettent d’intercepter des données et de communiquer avec les serveurs

Fonctionnalité externe

 Mauvaise gestion des contrôles de sécurité et activation des accès aux logs de débogage