I²Cx Mobile est une plateforme d’entraînement à la cybersécurité Mobile en cours de développement. Elle permet de découvrir l’ensemble des vulnérabilité applicatives Web du top 10 de l’OWASP. Au travers de la carte I²Cx Platform, il est également possible de se connecter à cet interface et ainsi démontrer les vulnérabilités d’application Android liés aux objets connectés.
Un large choix de vulnérabilités
Utilisation incorrecte d'une plateforme
Non-utilisation ou mauvaise implémentation des Intents d'Android, du TouchID ou Keychain d'iOS...
Injection base de données
Fuites de données sensibles non chiffrées, SQLite locales (log, mémoire des applications, code décompilé)
Communication non sécurisée
Communications non chiffrées, non authentifiées (handshake, versions SSL incorrectes, manquement de la protection des données personnelles (RGPD)
Authentification non sécurisée
Mauvaise gestion des sessions
Mauvaises configurations cryptographiques
Algorithmes de chiffrement faible, normes cryptographiques mal respectées
Défauts d'autorisations
Défaut d'autorisation utilisateur, vol de données personnelles, suppression de système entier, ou bien contrôle de l'objet connecté
Désérialisation non sécurisée
Buffer overflow, chaîne de caractères formatées, exécution de code sur les terminaux mobiles
Falsification de code
Clones malveillants, ajout de portes dérobées qui permettent d'intercepter des données et de communiquer avec les serveurs
Rétro-ingénierie
Code peu complexe et aucunes méthodes d'obfuscation
Fonctionnalité externe
Mauvaise gestion des contrôles de sécurité et activation des accès aux logs de débogage