Aller au contenu

Profils d'analyse mobile

Ostorlab propose différents profils d'analyse mobile pour répondre à divers besoins de tests de sécurité pour les applications Android et iOS. Ces profils varient considérablement dans leur profondeur, leur orientation et les techniques d'analyse employées.

Scan complet

Une analyse approfondie des binaires mobiles et de leur interaction avec les services backend (Statique + Dynamique + Backend).

Fonctionnalités principales

  • Analyse statique (SAST) du code et des actifs de l'application.
  • Cryptographie non sécurisée et détection de secrets codés en dur.
  • Modèles de programmation non sécurisés et audit d'utilisation d'API sensibles.
  • Analyse dynamique du comportement de l'application à l'exécution.
  • Fuzzing d'API backend et analyse de la sécurité des communications.

Scan rapide

Un profil d'analyse statique léger et rapide, optimisé pour un retour rapide pendant les cycles de développement.

Fonctionnalités principales

  • Identification rapide des erreurs de configuration courantes.
  • Détection de clés d'API, de jetons et de secrets codés en dur.
  • Analyse des modèles de programmation vulnérables dans le code source/bytecode.
  • Software Composition Analysis (SCA) rapide pour les SDK tiers.

Scan Mobile Agentic Deep Scan

Évaluation autonome basée sur l'IA qui découvre des vulnérabilités complexes dans la logique de l'application mobile.

Fonctionnalités principales

  • Enchaînement des failles locales de l'application avec les vulnérabilités du backend.
  • Identification automatisée des chemins d'attaque sophistiqués.
  • Validation des découvertes via des exploits de type Proof-of-Concept à l'exécution.
  • Navigation assistée par l'IA dans les flux de travail complexes des applications.

Évaluation de vulnérabilité unique Mobile

Validation ciblée des risques de sécurité et des vulnérabilités spécifiques aux mobiles.

Fonctionnalités principales

  • Validation ciblée des vulnérabilités mobiles signalées.
  • Confirmation des failles exploitables (par ex., détournement de Deep Link, IPC non sécurisé).
  • Vérification détaillée de l'impact pour les risques spécifiques découverts.

Scan Mobile Shielding

Une évaluation spécialisée axée sur l'efficacité du durcissement de l'application et des mesures anti-falsification (anti-tampering).

Fonctionnalités principales

  • Qualité de l'obfuscation et analyse de la couverture.
  • Anti-tampering et efficacité des contrôles d'intégrité.
  • Anti-débogage et validation de la détection root/jailbreak.
  • Analyse de la protection du code et des mécanismes de protection de l'environnement.

Scan de confidentialité

Une analyse axée sur la conformité qui identifie les risques en matière de confidentialité et l'exfiltration de données non autorisée.

Fonctionnalités principales

  • Détection de la PII (Personally Identifiable Information) exposée.
  • Analyse des flux de données vers des trackers et SDK tiers.
  • Audit de chiffrement inadéquat pour les données au repos (data-at-rest) et en transit (in-transit).
  • Vérification de l'utilisation des autorisations par rapport à la conformité de la politique de confidentialité.