Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Trouver les clés codées en dur dans votre application Android

La société Fallible a publié un article où elle explique que des applications Android présentes sur le PlayStore contiennent des clés d’authentification codées en dur.

Alors bien sûr, « des clés », c’est vague, mais ça va de la simple petite clé API pour Google Maps (inoffensive) à des clés privées pour se connecter à AWS (et permettant même de supprimer des instances…etc.)…

… ou encore des clés un peu spéciales permettant par exemple de déclencher des notifications dans l’application Uber.

Oui, les développeurs sont vraiment de gros paresseux

Sur plus de 16 000 APK testés, Fallible a relevé environ 2500 applications contenant une clé, dont un, peu plus de 300 avec une clé privée donnant des accès privilégiés à des services tiers tels que :

Alors évidemment, rien de bien surprenant ici… C’est un classique et Fallible recommande aux développeurs qui n’ont pas d’autres choix que de mettre en dur une clé dans leur application, de bien se pencher sur la doc de l’API qu’ils utilisent et de prendre le temps de créer différentes clés au champ d’action limité.

Mais ce qui est vraiment intéressant dans cette news (et c’est surtout pour ça que j’en cause), c’est que Fallible a mis en ligne son outil pour reverser les applications Android. Il suffit d’uploader le .apk ou de faire une recherche sur le PlayStore et leur outil s’occupe de vous sortir tout ce qu’il y trouve en termes de clés.

Pratique pour voir si votre application a été codée un peu légèrement ou si vous êtes safe de ce côté-là.


Réponses notables

  1. Est-ce vraiment de la fénéantise ?
    Soit il faut absolument une clé d’API qui doit restée privée, auquel cas elle doit rester sur le serveur de l’application, soit c’est une clé qui ne pose aucun problème et elle peut rester dans l 'apk.
    De toutes façons il n’y a pas vraiment de moyens d’empêcher ça, le code de l’APK reste de toutes façons lisible.
    Au mieux on peut l’obfusquer, mais une personne suffisamment motivée et outillée pourra retrouver l’info.
    Je ne vois pas de méthode qui ne soit pas hyper compliquée et qui au final sera au mieux innefficace et au pire source de bugs ou de requêtes réseau en trop.

Continuer la discussion sur Korben Communauté

1 commentaires supplémentaires dans les réponse

Participants

Installer le shell Bash (Linux) sous Windows 10

L’année dernière, ça ne vous a pas échappé, Bash a fait son apparition sous Windows 10. C’est pour moi, la meilleure chose qui soit arrivée à Windows depuis un moment, car ça permet de lancer des outils Linux et de développer ses propres scripts Shell directement sous Windows. Le pied !

Mais même si c’est parfaitement fonctionnel, il faut quand même…

Lire la suite


Plus de 60 idées pour votre Raspberry Pi

Nous sommes nombreux à nous être procuré un petit ordinateur Raspberry Pi pour nous lancer dans des projets de ouf malade… C’est très cool, mais à part le classique Media Center XBMC, qu’avez-vous fait avec votre Raspberry Pi ?

Si vous séchez niveau idées, voici une petite sélection…

Lire la suite


Une astuce pour rendre Windows 10 plus rapide

Si vous trouvez que Windows 10 est un peu lent, que vos applications ne se lancent pas très vite, que vos compilations prennent du temps, voici une petite astuce débusquée par Brominou pour accélérer le bouzin.

Cliquez dans la zone de recherche de la barre Windows et tapez le mot clé « Performances ». Puis cliquez sur « Régler l’apparence et les performances de Windows » …

Lire la suite


Changer d’adresse IP rapidement

Une petite astuce pour ceux qui ne connaissent pas. Comment changer d’adresse IP à la volée.
Il suffit d’en demander une nouvelle à son provider si celui-ci accepte les IP dynamiques. Pour vérifier que vos manipulation ont eu l’effet escompté, vérifiez quelle est votre adresse IP….

Lire la suite