Protektoid : conférencier à la Nuit du hack XV

Protektoid : conférencier à la Nuit du hack XV

Protektoid sera présent à la NDH en tant que conférencier ! Au menu : présentation de l'implémentation la gestion des permissions sous Android, cas d'études et vulnérabilités sous Marshmallow et Nougat.

Protektoid était présent l'année dernière à la Nuit du hack en tant que sponsor via la programme Bug Bounty (voir ici). Ce fut une expérience très enrichissante et nous avions décidé de tenter la même aventure cette année. Cependant, nous avions également soumis une proposition de conférence sur le CFP, suite à nos recherches. Et cette proposition a été retenue (voir le résumé sur le site de la Nuit du hack XV). Nous serons donc présent en tant que conférencier. Merci aux organisateurs de la NDH XV !! 

Vous trouverez ci-dessous des détails sur le sujet de la conférence et également des annonces sur les prochaines sorties prévues tant au niveau fonctionnalités de l'application que détails techniques sur le blog.

Le sujet de la conférence 

Le titre de la conférence est "Assignation des permissions Android, des packages aux processus". Son titre complet, un peu long mais explicite, est "Assignation des permissions Android, des packages aux processus : incompatibilité entre les définitions au niveau du Manifest, du PackageManager, des informations du système et des processus".

Le titre illustre bien le sujet de la présentation : l'implémentation du concept de permission et ses limitations. Nous resterons sur le terme "limitation" étant donné que le terme "vulnérabilité" est contextuel, mais la présentation vous permettra de vous faire votre propre avis. Afin de permettre à tous de mieux comprendre la manière dont les permissions sont implémentées, la présentation sera structurée ainsi : 

  1. courte présentation du concept de permissions sous Android et de la relation entre Package, Processus (UID) et Groupe (GID)
  2. démo regroupant plusieurs limitations
  3. présentation du code source du Android Open Source Project
  4. présentation des incohérences sur le code source, ponctuées de plusieurs démo.
  5. analyse de la situation actuelle du marché (distribution des différentes incohérences sur les APKs des différents stores, fonctionnalités des solutions de sécurité existantes)

Ce que vous pouvez attendre de la conférence

Nous espérons vous voir nombreux et pour cela, nous allons faire tout pour que la présentation soit interactive, agréable, et enrichissante !  Chaque démo sera associée à une question, sujette à goodies, donc participez !

Outre ces aspects, le but de la présentation est aussi de permettre à tout à chacun de se faire son propre avis sur l'état de la sécurité sous Android. A ce titre, nous mettrons la présentation de ses limitations en contextes afin également de permettre un discussion sur l'importance de celles-ci.

Quelques pré-annonces associées à ce sujet

Explication du firewall Internet

Le firewall internet a été inclus dans la release de fin 2016 mais nous attentions des tests en réel plus aboutis pour communiquer sur cette fonctionnalité, lequel renforce encore plus votre contrôle sur la protection de vos données. Attendez vous à une communication prochaine à son sujet.

Bugs Android et fonctionnalités Protektoid

Cela fait plusieurs mois que nous discutons avec le support d'Android sur nos remontées de bugs. Certains étant toujours en cours de traitement, nous les gardons pour plus tard. Pour les autres, nous allons prévoir des releases permettant de contourner les problèmes mentionnés dans les soumissions.Ces releases inclues notamment la détection des permissions partagées non affichées par le système Android (ou par les autres application du marchés). Tout un sujet !

 

Comments