S´curit´ du syst`me Android e e e
Nicolas Ruff
EADS Innovation Works nicolas.ruff(@)eads.net

1

Introduction

Le syst`me Android connait un succ`s croissant aupr`s des d´veloppeurs d’applicae e e e tions embarqu´es (de type ordiphones, mais ´galement tablettes, t´l´viseurs connect´s, e e ee e et pourquoi pas demain r´frig´rateurs, etc.). e e Ce succ`s commercial s’accompagne d’un nombre croissant de publications autour e de la s´curit´ du produit ... ainsi que d’un nombre croissant d’incidents de s´curit´. e e e e En 2010, on peut citer par exemple la publication de l’application PhoneCreeper ou du bot Geinimi ... ainsi que le challenge SSTIC bien sˆr. u Cet article se propose de r´aliser un tour d’horizon des attaques connues contre e le syst`me Android, ainsi que des faiblesses intrins`ques h´rit´es de la structure e e e e du march´ de la t´l´phonie mobile. Il propose ´galement une m´thodologie d’audit e ee e e s´curit´ des applications Android. e e Bien que les choix technologiques initiaux puissent difficilement ˆtre remis en e question, il faut toutefois noter que le syst`me Android est en perp´tuelle ´volution e e e dans un march´ o` les cycles de vie sont l’ordre de 6 mois. Le lecteur est donc invit´ e u e a se tenir ` jour des ´volutions post´rieures ` la r´daction de cet article. ` a e e a e Note : sauf mention contraire, tous les tests ont ´t´ r´alis´s avec les plateformes ee e e suivantes : – Emulateur officiel fourni avec le SDK – Smartphone LG GW620 sous Android 1.5 – Smartphone HTC Desire Z sous Android 2.2 Chaque ´quipement physique ´tant personnalis´ par les constructeurs (par e e e rapport aux sources officielles fournies par Google), votre exp´rience utilisateur e peut diff´rer de la mienne. e

2

Quelques mots d’histoire

Le syst`me Android n’a pas ´t´ d´velopp´ par Google mais par Android, Inc. - une e ee e e soci´t´ californienne cr´´e en 2003 par des intervenants exp´riment´s dans le domaine ee ee e e

N. Ruff

123

des t´l´coms.