Si chercher des secrets dans le cœur des applications Android vous intéresse, voici StaCoAn (Static Code Analyzer), un script Python (cross plateforme donc…) qui va vous permettre de parser vos APK à la recherche d’identifiants codés en durs, de clés API, d’URL d’API, de clés de déchiffrement et autres petites et grosses boulettes de dev.
StaCoAn fonctionne en ligne de commande, mais offre aussi une interface web via un conteneur Docker, qui va rendre son utilisation quotidienne très pratique aussi bien sur mobile que sur desktop.
Le fonctionnement de cet outil est assez simple, puisqu’il vous suffit de glisser et déposer l’APK sur l’application StaCoAn pour que celle-ci génère un rapport visuel que vous pouvez bien sûr personnaliser avec le look et les listes de mots clés de votre choix.
Pour réaliser son analyse, StaCoAn par fouiller dans tous les fichiers de code (java, .js, .html, .xml…etc) qu’il peut trouver et repère les trucs intéressants à l’aide des listes de mots clés par défaut ou que vous avez définies.
Une fonctionnalité « loot » pour permettra aussi de bookmarker vos trouvailles, pour ensuite tout retrouver d’un seul coup d’oeil.
Un super outil qui aidera les développeurs à corriger leurs boulettes et aux experts en sécurité de décrocher quelques Bug Bounty ;-).