Cours développement sécurisé sous Android (Authentification et habilitation), tutoriel & guide de travaux pratiques en pdf.

Authentification/habilitation

Authentification
L’utilisateur du téléphone est considéré comme « autorisé »
Valide si mécanisme de blocage du terminal (pin)
Pour les traitements sensibles, demander confirmation d’un autre PIN
La dernière version d’Android propose le multi-compte
Habilitation
Les applications utilisent des users linux différents
De nouveaux privilèges peuvent être déclarés par les applications
Habilitation pour tous, limitée aux mêmes auteurs des applications ou limitée au système.
Permet de partager des secrets entre applications du même auteur

Accès aux fichiers

Répertoire de travail par application
Droit limité à l’utilisateur associé à l’application (ou aux autres applications de même signature)
Carte SD considérée comme publique (sinon il faut chiffrer les données)
Dernièrement, ajout d’un privilège pour avoir droit de lire la carte SD
Chiffrement « gratuit » si l’application est installée sur le carte SD
Chiffrement associé au terminal

Partage de fichier/flux

Possibilité de modifier les droits pour permettre un accès aux autres utilisateurs =>Risque d’exposer des fichiers sensibles
Passage de handle fichier d’une application à une autre (permet de ne pas exposer le fichier aux autres applications. Juste l’accès)
Depuis v4, possibilité d’ouvrir un pipe entre les applications (évite de créer un fichier temporaire pour partager des données)
Toutes les « ressources » (fichiers xml, images, styles, etc) sont accessibles à toutes les applications.