La sécurité des applications Android, analysée en profondeur.
NaraProtect audite les applications Android et accompagne les équipes qui les conçoivent. En parallèle, elle édite ASAT, un scanner de vulnérabilités Android open source.
NaraProtect audite les applications Android et accompagne les équipes qui les conçoivent. En parallèle, elle édite ASAT, un scanner de vulnérabilités Android open source.
Le mobile est devenu le premier point d'accès à internet et concentre de nombreuses données sensibles. Sa sécurité reste pourtant largement sous-estimée.
Audit et recherche en sécurité Android et développement d'ASAT : notre scanner de vulnérabilités open source, qui pousse l'analyse au-delà de ce que détectent les outils génériques.
Éditeurs d'applications mobiles, équipes de sécurité internes, RSSI, ESN spécialisées cherchant une expertise pointue.
Applications malveillantes, exploitation de vulnérabilités OS et applicatives, logiciel espion : la sécurité des périphériques mobiles n'a jamais été autant menacée. Côté défense, les outils existants ne poussent pas la précision aussi loin que nécessaire pour des audits approfondis. NaraProtect fait le pari d'une analyse plus précise, avec un coût en performance assumé : taint analysis, résolution ICC avancée, pré-analyse et post-processing.
01
Les périphériques mobiles concentrent une grande partie de notre vie numérique : identifiants, messages, photos, accès professionnels, données sensibles, et restent pourtant en retard côté sécurité. Ils présentent aussi une large surface d'attaque, avec des interfaces sans fil (Wi-Fi, Bluetooth, BLE, 2/3/4/5G, NFC, RFID) qui restent largement sous-estimées.
Source : ANSSI →02
Android ne se limite plus au smartphone : Android Automotive, Android TV, Wear OS, IoT… ce périmètre élargi partage le même socle technique et le même modèle applicatif. Une vulnérabilité dans une application peut donc se retrouver dans l'ensemble de ces écosystèmes. Maîtriser la sécurité d'une application Android, c'est sécuriser un périmètre bien plus vaste que le seul smartphone.
03
Le smartphone personnel est devenu un appareil professionnel par défaut : messagerie, VPN, outils métier, double authentification. Cette surface d'attaque invisible (OS non patchés, applications hors catalogue, configurations non maîtrisées) échappe aux audits classiques, alors qu'elle manipule des données couvertes par NIS2, DORA ou le RGPD. Auditer les applications déployées sur ces terminaux devient la condition pour ramener le BYOD dans un périmètre maîtrisé.
Source : SentinelOne →Audit, accompagnement ou recherche ciblée : nos missions s'adaptent à la maturité en sécurité et au contexte.
01
Identifier les vulnérabilités exploitables avant les attaquants.
02
Structurer une démarche de sécurité mobile sur la durée.
03
Mettre la R&D NaraProtect au service d'un périmètre spécifique.
ASAT est un scanner de vulnérabilités Android développé par NaraProtect, utilisé sur les audits clients et en recherche de vulnérabilités. L'objectif est de réduire les faux positifs pour faire gagner du temps aux équipes, sans augmenter les faux négatifs pour ne pas passer à côté d'un risque important.
ASAT est en développement actif et sera publié en open source sous licence GPLv3.
ASAT analyse l'APK tel qu'il est déployé sur les mobiles : code obfusqué, dépendances tierces, configuration de production. Aucun accès au code source requis.
Suivi des données sensibles depuis leurs sources jusqu'aux sinks dangereux, combiné à une pré-analyse et un post-processing pour réduire fortement les faux positifs.
La majorité des outils Android perdent les flux dès que les données traversent une IPC, et plus encore lorsque la cible est un fragment ou un composant instancié dynamiquement. ASAT implémente une résolution ICC fragment-aware et context-sensitive afin d'enrichir le call graph et limiter ainsi au maximum les faux négatifs. C'est cette modélisation fine qui permet à ASAT de tracer des flux d'exploitation que les outils standards manquent.
Décompilation, filtrage des chemins inatteignables, déduplication, scoring contextuel, sanitizers. L'objectif est d'avoir un rapport où chaque alerte mérite d'être lue.
ASAT est en cours de développement. Une première version sera bientôt publiée en open source sous licence GPLv3. Les personnes intéressées par un accès anticipé peuvent prendre contact.
Si le développement ne prend pas de retard, la première version devrait être publiée durant le second semestre 2026.
Les SAST génériques analysent du code source dans des langages variés. ASAT analyse l'APK déployé avec une modélisation Android spécifique. Cela permet de détecter des chemins d'exploitation que les approches plus génériques manquent. La précision se paie en temps d'analyse.
ASAT est en développement actif et déjà utilisé en interne sur des missions d'audit et en bug bounty. Une mise à disposition est possible avant la publication. Prendre contact pour en discuter.
Oui. Dans le cadre de l'accompagnement des entreprises qui nous sollicitent, nous proposons des formations adaptées à vos équipes.