App Vetting
Ostorlab App Vetting fournit une évaluation automatisée de la sécurité, de la confidentialité, des malwares, de la confiance et de la maintenabilité des applications Android et iOS. Il combine l'analyse statique, l'analyse dynamique et l'exécution dans une sandbox sécurisée pour évaluer les packages d'application, le comportement au runtime, les services tiers et les indicateurs de risque.
Analyse App Vetting
Une évaluation complète des applications mobiles axée sur la posture de sécurité, le comportement en matière de confidentialité, les indicateurs de malware, les signaux de confiance et les risques de maintenabilité.
Fonctionnalités clés
- Analyse statique des packages d'applications Android et iOS.
- Analyse dynamique du comportement des applications au runtime.
- Exécution dans une sandbox sécurisée pour une analyse comportementale contrôlée.
- Détection des indicateurs de malwares, des comportements de spywares et des charges utiles (payloads) suspectes.
- Identification des vulnérabilités de sécurité, des configurations non sécurisées et des faiblesses cryptographiques.
- Analyse des risques liés à la confidentialité, des trackers, des autorisations et des flux de données.
- Évaluation des signaux de confiance des applications, de la réputation de l'éditeur et de la source de distribution.
- Analyse de la maintenabilité couvrant les composants obsolètes, l'âge du framework et les risques à long terme.
- Score de risque pondéré selon les dimensions Malware, Sécurité, Confidentialité, Confiance et Maintenabilité.
Score de risque
App Vetting utilise un modèle de score de risque pondéré multidimensionnel pour évaluer le risque global d'une application mobile.
Fonctionnalités clés
- Évaluation du risque de malware pour les comportements malveillants, les trojans, les spywares et les schémas d'exécution suspects.
- Évaluation du risque de sécurité pour les vulnérabilités, les modèles d'implémentation non sécurisés et les problèmes du Top 10 Mobile de l'OWASP.
- Évaluation du risque de confidentialité pour les PII exposées, l'utilisation de trackers, les communications en texte clair et les flux de données non autorisés.
- Évaluation de la confiance basée sur la réputation de l'application, les signaux de l'éditeur, l'intégrité du package et les contrôles de distribution.
- Évaluation de la maintenabilité pour l'âge des dépendances, l'utilisation des frameworks, la santé du code et l'exposition aux risques futurs.
Le modèle de score par défaut utilise les pondérations suivantes :
| Dimension | Pondération |
|---|---|
| Malware | 35% |
| Sécurité | 25% |
| Confidentialité | 20% |
| Confiance | 10% |
| Maintenabilité | 10% |
Sandbox sécurisée
Un environnement d'exécution contrôlé utilisé pour observer le comportement de l'application sans exposer les systèmes de production ou les appareils des utilisateurs.
Fonctionnalités clés
- Surveillance au runtime du comportement de l'application.
- Analyse des appels d'API système et des opérations sensibles.
- Inspection des connexions réseau sortantes.
- Détection de la collecte de télémétrie et des communications tierces.
- Identification des comportements potentiels d'exfiltration de données.
- Analyse comportementale des applications suspectes ou à haut risque.
Évaluation de télémétrie Zero-Trust
Une évaluation axée sur la télémétrie qui inspecte les communications sortantes, le comportement de tracking et les mouvements de données dans une perspective Zero-Trust.
Fonctionnalités clés
- Détection des trackers tiers et des SDK d'analyse.
- Analyse des flux de données vers les services externes.
- Identification des communications en texte clair ou faiblement protégées.
- Examen de l'utilisation des autorisations par rapport au comportement observé.
- Évaluation des activités au runtime ayant un impact sur la confidentialité.
- Corrélation du comportement de télémétrie avec les risques de confidentialité et de conformité.
Comment utiliser App Vetting
App Vetting peut être utilisé pour évaluer des applications Android et iOS publiques depuis le tableau de bord Ostorlab.
Lancer une analyse App Vetting
Pour lancer une analyse App Vetting depuis le tableau de bord Ostorlab :
- Ouvrez le menu du tableau de bord.
- Cliquez sur Scanning.
- Sélectionnez App Vetting.
- Saisissez le package ou le nom d'une application publique pour effectuer une recherche dans l'inventaire des analyses.
- Sélectionnez l'application dans les résultats.

- Ouvrez les résultats de l'analyse pour examiner le score de risque et les vulnérabilités trouvées.

App Vetting récupère les données d'analyse disponibles pour l'application publique sélectionnée et affiche les résultats de l'évaluation dans la vue d'analyse.
Examiner le score de risque
Après avoir ouvert les résultats de l'analyse, examinez le score de risque global de l'application et la ventilation du score par dimension.
Le score est calculé selon les catégories suivantes :
- Malware
- Sécurité
- Confidentialité
- Confiance
- Maintenabilité
Utilisez la ventilation du score pour identifier les domaines de risque qui contribuent le plus au risque global de l'application.

Examiner les résultats (Findings)
Ouvrez la section des résultats (findings) pour examiner les risques détectés et les détails techniques.
Les résultats peuvent inclure :
- Des indicateurs de malwares.
- Des vulnérabilités de sécurité.
- Des risques liés à la confidentialité.
- Le comportement des trackers et des SDK.
- Des observations de télémétrie au runtime.
- Les communications réseau sortantes.
- Des signaux de confiance et de réputation.
- Des problèmes de maintenabilité.
Chaque résultat comprend des détails techniques pour faciliter l'examen, le triage et la remédiation.
Résultats et livrables
App Vetting fournit des résultats structurés qui aident les équipes à évaluer le niveau de risque d'une application mobile.
Livrables clés
- Le score de risque global de l'application.
- La ventilation du score de risque par catégorie.
- Les indicateurs de malwares et les comportements suspects.
- Les vulnérabilités de sécurité et les configurations non sécurisées.
- Les risques de confidentialité et les observations de flux de données.
- Les informations sur les trackers et les SDK tiers.
- Les signaux de confiance et de réputation.
- Les résultats de maintenabilité.
- Les observations de télémétrie au runtime.
- Les détails des communications réseau.
- Les preuves techniques pour les vulnérabilités identifiées.
Bonnes pratiques
Utilisez App Vetting dans le cadre d'un processus continu de révision des applications mobiles.
Pratiques recommandées
- Examinez les applications avant leur approbation par l'entreprise ou leur utilisation interne.
- Vérifiez à nouveau les applications lors de la publication d'une nouvelle version publique.
- Examinez à la fois le score global et la ventilation par catégorie.
- Priorisez d'abord les malwares, la confidentialité et les failles de sécurité critiques.
- Validez les résultats à fort impact avec le propriétaire ou le fournisseur de l'application si nécessaire.
- Comparez les applications en utilisant la même base de notation.
- Utilisez les détails des résultats pour appuyer les décisions concernant la sécurité, la confidentialité, les achats ou les risques liés aux tiers.