Nous serons présents à l’AppSec Forum d’Yverdon les 7 et 8 novembre prochains afin de partager notre expérience sur l’audit d’applications iOS.
La première partie de notre présentation va consister en une revue rapide de l’architecture des terminaux iOS: processeurs ARM, simulateur et les modèles de distributions des applications. Bien entendu, comme il faut savoir quoi chercher avant d’étudier la façon de le faire, nous allons passer en revue les vulnérabilités impactant ce type d’applications.
Suite à cette introduction, l’environnement à utiliser va être présenté. En effet, pour beaucoup, les plateformes OSX et iOS restent une boite noire et on peut se poser des questions telles que “puis-je utiliser le simulateur?” et “est-ce que Apple distribue des outils permettant de m’aider?”. En utilisant ces outils nous allons voir comment procéder à une récolte d’informations sur l’application, c’est à dire ses fichiers companions, les bundles, etc. Nous expliquerons également comment extraire les informations stockées dans le KeyChain, le magasin de secrets d’iOS.
L’analyse de l’application elle-même ainsi que ses échanges avec des web-services sera ensuite abordée. Nous verrons comment procéder à une analyse statique et dynamique et tenterons de répondre aux questions telles que “comment extraire les définitions des classes?” et “mais où sont les xrefs?!”. La présentation finira sur une méthode d’instrumentation de processus, à l’aide d’un debugger ou du hooking de méthodes Objective-C, permettant de contourner des cas spécifiques comme celui où les communications ne peuvent pas être interceptées dû à une couche de chiffrement supplémentaire.
Pour celles et ceux désirant nous rencontrer nous serons présent aux conférences ainsi qu’au stand SCRT.
L’Application Security Forum – Western Switzerland est un forum Suisse sur le thème de la sécurité informatique. Il est organisé par l’association à but non lucratif APSEL. La sécurité informatique étant très vaste, l’APSEL a choisi de se concentrer sur la sécurité des applications, la protection des données et la gestion des identités numériques. Ce forum professionnel se déroulera sur trois jours : les 6,7 et 8 Novembre. La première journée sera dédiée à des formations et les deux suivantes à des conférences. Une formation consiste à assister à une journée de cours, comprenant des parties théoriques et pratiques. Chaque formation est donnée en groupe réduit avec un instructeur spécialiste du domaine enseigné. Les journées de conférences proposent deux pistes de conférences : une technique et une généraliste, permettant ainsi aux participants de faire un parcours “à la carte”.