Extrait du cours et étude des aspects de sécurité – Audit d’une application Android
Architecture du système d’exploitation Android – Application et Framework pour les applications
-La seule couche visible et accessible par l’utilisateur final.
– Un ensemble de programmes de base que l’on peut trouver sur Android (SMS, calendrier, photos, web et autres).
– Toutes ces applications sont développées à l’aide du langage de programmation Java.
– le Framework du système Android permet aux développeurs, en leurs fournissant divers API, de créer des applications riches et innovantes.
ROM et accès root :
–STOCK ROM : c’est la ROM standard (officielle), le matériel vient avec cette version pré-installé.
– CUSTOM ROM : c’est la ROM non officielle personnalisée qu’on peut installer sur notre matériel, il existe trois sortes de cette ROM :
- Celles qui permettent de booster la vitesse et la stabilité du matériel (Smartphone, Tablette,…)
- Celles qui permettent d’installer une version Android normalement non compatible avec un matériel
- Celles qui permettent de rajouter de nombreuses fonctionnalités.
Rooting tout simplement c’est avoir les droits d’administrateur et c’est à l’aide d’un petit logiciel nommé « SU » qui nous rend super-utilisateur (Super-user).
- Elargi les capacités du matériel Android.
- Permet d’installer n’importe quelle application.
- Exécuter toutes sortes de commandes normalement inaccessible aux utilisateurs.
Le root est une manipulation assez dangereuse qui comporte des risques. Presque dans tout les cas car lorsqu’on root notre Smartphone par exemple on perd notre garantie chez le fournisseur ou lorsqu’on installe une application il peut avoir le privilège de ce mode (root) et ainsi avoir la main sur des données personnelles ou fichiers du système.
Modèle de sécurité – Définition d’un modèle de sécurité
–Un modèle de sécurité peut être défini comme un formalisme permettant de représenter, de façon claire et non-ambiguë, la politique de sécurité.
– On modélise :
- Pour mieux comprendre le système qu’on développe.
- Pour visualiser ses propriétés.
- Pour spécifier sa structure ou son comportement.
- Pour documenter et guider sa construction, etc.
Les modèles de sécurité peuvent être classés en deux grandes familles :
- Des modèles généraux, qui sont plutôt des méthodes de description formelle, pouvant s’appliquer à toute sorte de politiques.
- Des modèles spécifiques, développés pour représenter une politique d’autorisation particulière.
Modèle de sécurité – Signature numérique
–Quand le développeur veut publier une application sur Google Play, il doit payer pour acquérir un certificat et signé ainsi l’application pour qu’elle soit reconnue par Google. Cette pratique existe sur la plupart des systèmes (Symbian Signed, IOS de Apple,…).
– Les applications modifiées par un virus ou par un pirate invalide automatiquement la signature numérique, cependant il existe des options sur le système Android qui permet d’installer ces applications non signées.
……
Cours et étude des aspects de sécurité – Audit d’une application Android (3.18 MB) (Cours PPT)