Admin CliCours
Cours développement sécurisé sous Android (Authentification et habilitation), tutoriel & guide de travaux pratiques en pdf.
Authentification/habilitation
Authentification
L’utilisateur du téléphone est considéré comme « autorisé »
Valide si mécanisme de blocage du terminal (pin)
Pour les traitements sensibles, demander confirmation d’un autre PIN
La dernière version d’Android propose le multi-compte
Habilitation
Les applications utilisent des users linux différents
De nouveaux privilèges peuvent être déclarés par les applications
Habilitation pour tous, limitée aux mêmes auteurs des applications ou limitée au système.
Permet de partager des secrets entre applications du même auteur
Accès aux fichiers
Répertoire de travail par application
Droit limité à l’utilisateur associé à l’application (ou aux autres applications de même signature)
Carte SD considérée comme publique (sinon il faut chiffrer les données)
Dernièrement, ajout d’un privilège pour avoir droit de lire la carte SD
Chiffrement « gratuit » si l’application est installée sur le carte SD
Chiffrement associé au terminal
Partage de fichier/flux
Possibilité de modifier les droits pour permettre un accès aux autres utilisateurs =>Risque d’exposer des fichiers sensibles
Passage de handle fichier d’une application à une autre (permet de ne pas exposer le fichier aux autres applications. Juste l’accès)
Depuis v4, possibilité d’ouvrir un pipe entre les applications (évite de créer un fichier temporaire pour partager des données)
Toutes les « ressources » (fichiers xml, images, styles, etc) sont accessibles à toutes les applications.
Télécharger le cours complet
