OAuth mobile, liens profonds, et renforcement de l’IPC: un plan d’actions sur 90 jours
Étapes par défaut, listes de contrôle et tests qui empêchent l’interception de jetons et les fuites de données entre applications sur Android et iOS
Les flux d’authentification mobile échouent souvent de manière prévisible: absence de PKCE dans les clients publics, listes permissives de redirection qui acceptent n’importe quel sous-domaine ou schéma, gestion fragile de l’état/nonce, liens non vérifiés d’application/universels, et PendingIntents modifiables pouvant être détournés par d’autres applications. Chaque faille expose indépendamment les utilisateurs à une prise de contrôle de compte; ensemble, elles forment une ligne directe d’un lien conçu à des jetons interceptés et à des fuites de données entre applications. Les attaquants exploitent ces erreurs car ils n’ont pas besoin de rooter les appareils ou de contourner les bacs à sable de la plateforme - il suffit de tromper l’application pour qu’elle transmette les informations d’identification. Le risque reste élevé à travers Android et iOS et est amplifié par les SDK tiers et la vérification incohérente des liens.
Ce plan d’action propose une approche pratique en 90 jours pour combler ces lacunes. Il montre exactement comment renforcer OAuth pour les clients publics, sécuriser les liens profonds sur iOS et Android, et définir des paramètres par défaut plus sûrs pour la communication inter-processus. Il décrit également les contrôles du cycle de vie des jetons, les harnais de test et les portes CI, les scripts de QA manuels pour des scénarios adversaires, ainsi que des runbooks opérationnels et des télémetries qui permettent aux équipes de déployer des défenses sans perturber le parcours utilisateur. Attendez-vous à des listes de contrôle prescriptives plutôt que théoriques, avec des paramètres par défaut axés sur la sécurité que vous pouvez adopter immédiatement. 🔒
Détails de l’architecture/implementation
Chemins de menace pour intercepter des jetons et exfiltrer des données
- Mauvaises configurations OAuth: Les clients publics sans PKCE, un état/nonce faible ou absent, et des listes d’autorisations de redirection permissives permettent l’interception de code/jeton pendant le flux de code d’autorisation. Si l’application accepte un schéma personnalisé générique ou une redirection avec joker, une application malveillante peut revendiquer le même gestionnaire et recevoir le code.
- Détournement de liens profonds: Les liens d’application Android non vérifiés et les liens universels iOS à portée imprécise se dégradent en schémas d’URL personnalisés ou d’autres gestionnaires ambigus. Cela permet la redirection entre applications vers un endpoint contrôlé par l’attaquant et le vol silencieux de codes d’autorisation ou de jetons de session.
- Abus de l’IPC: Les PendingIntents modifiables, les diffusions implicites, et les récepteurs non sécurisés donnent aux autres applications la possibilité de modifier le contenu des intentions ou d’usurper l’identité des appelants, entraînant une confusion de privilèges et une fuite de données.
- Jetons à longue durée de vie et révocation faible: Des TTL de jeton excessivement longs, des jetons de rafraîchissement stockés sans liaison de l’appareil, et une invalidation lente à travers les appareils prolongent la fenêtre pour la relecture de jeton après interception.
Renforcement du flux OAuth pour les clients publics
- Appliquer PKCE partout avec des vérificateurs de code de haute entropie et des défis de code SHA‑256. Traitez toute réponse d’autorisation manquant de PKCE comme invalide.
- Maintenir des listes d’autorisations de redirection strictes par environnement. Énumérez explicitement les URI de production, de mise en scène et de test; évitez les jokers et les schémas personnalisés génériques que n’importe quelle application peut enregistrer.
- Exiger un état et un nonce robustes: une randomité d’au moins 128 bits, liée à la session utilisateur et vérifiée côté serveur. Rejetez les réponses avec des paramètres manquants ou non correspondants; échouez de manière fermée.
- Appliquer les scopes de jeton de moindre privilège et des durées de vie courtes. Des scopes restreints limitent le rayon d’explosion; des TTL courts réduisent la fenêtre de relecture si un jeton fuit.
- Liez les sessions aux attributs de l’appareil/application: lorsque cela est possible, intégrez l’attestation pour qu’un jeton volé soit moins précieux en dehors de l’appareil.
Liens universels iOS correctement gérés
- Utilisez les liens universels comme principal mécanisme de lien profond. Configurez l’entitlement Associated Domains avec des domaines et des chemins exacts que l’application doit gérer.
- Fournissez un fichier apple-app-site-association solide avec une portée de chemin précise. Évitez les modèles englobants sauf strictement nécessaires; gardez la surface petite.
- Concevez un comportement de recours sûr. Lorsque la vérification des liens universels échoue (par exemple, premier lancement, retard réseau), résistez à l’idée de revenir à un schéma d’URL personnalisé générique qui peut être détourné. Proposez une voie de secours en application ou un recours web sécurisé.
- Validez avant de faire confiance: confirmez l’état de vérification du lien universel au moment de l’exécution et dégradez gracieusement si le domaine n’est pas vérifié. Documentez les étapes de récupération dans les scripts de QA et de support.
Lien Android d’application avec vérification
- Préférez les liens d’application Android aux schémas personnalisés. Publiez un fichier assetlinks.json précis qui lie votre application aux domaines que vous possédez, en limitant aux packages spécifiques et aux empreintes de certificat.
- Vérifiez l’état de vérification du domaine lors de l’intégration et avant les flux à haut risque. Si la vérification n’est pas établie, guidez l’utilisateur à travers une voie basée sur un navigateur sécurisé plutôt que d’accepter des gestionnaires ambigus.
- Limitez strictement les gestionnaires: Limitez les modèles
<intent-filter>aux hôtes et chemins requis; évitez les jokers qui correspondent involontairement à des domaines tiers ou des ensembles d’URL larges. - Tenez compte de la variance OEM: le timing et l’UX de vérification peuvent différer selon les appareils. Instrumentez la télémétrie pour détecter les états non vérifiés et fournir des conseils en application plutôt que de revenir silencieusement sur des schémas vulnérables.
Défenses PendingIntent et IPC
- Faites de FLAG_IMMUTABLE le défaut pour les PendingIntents. N’utilisez le mutable que lorsque absolument nécessaire pour des mises à jour légitimes; sinon, empêchez la mutation externe.
- Préférez les intentions explicites ciblant des composants connus aux diffusions implicites. Lorsque des comportements implicites sont nécessaires, appliquez de fortes autorisations de récepteur pour limiter qui peut les recevoir ou les déclencher.
- Vérifiez l’appelant par UID/signature sur les composants exportés et les services liés. Échouez de manière fermée lorsque l’identité de l’appelant ne peut être établie.
- Minimisez et validez les charges: évitez de placer des données sensibles dans les intentions; lorsque cela est inévitable, validez chaque champ côté serveur avant d’agir.
Cycle de vie et révocation des jetons
- Choisissez des durées de vie courtes de jeton pour les jetons d’accès et faites-les tourner rapidement après les avis de plateforme. Traitez les jetons de rafraîchissement comme des secrets de haute sensibilité.
- Appliquez des protections de jeton de rafraîchissement: liez à l’attestation de l’appareil/application, limitez les échanges, et exigez une authentification renforcée pour les montées en gamme de scopes sensibles.
- Concevez une invalidation rapide à travers les appareils: la gestion des sessions côté serveur doit supporter la déconnexion immédiate et la révocation, avec une messagerie utilisateur claire et un effacement fiable de l’état sur l’appareil.
Tableaux comparatifs
Défauts non sécurisés vs défauts renforcés
| Domaine | Défaut non sécurisé | Défaut renforcé |
|---|---|---|
| OAuth (clients publics) | Pas de PKCE; accepte les réponses d’auth sans vérifications | PKCE obligatoire avec SHA‑256; rejeter les réponses sans code_challenge/code_verifier valide |
| URIs de redirection | Jokers, schémas personnalisés génériques | Listes d’autorisations strictes par environnement avec des URI exacts |
| État/nonce | Omis ou randomité faible; pas validé | État/nonce de haute entropie lié à la session; validation côté serveur; échouez de manière fermée |
| Scopes de jeton | Scopes larges, permanents | Scopes de moindre privilège alignés à la tâche; montée en gamme pour actions sensibles |
| TTLs de jeton | Jetons d’accès à longue durée | Durées de vie courtes; rotation rapide après signaux de risque |
| Liens profonds iOS | Confiance sur schémas d’URL personnalisés | Liens universels avec domaines associés et entitlements étroits |
| Recours iOS | Déclassement silencieux vers schéma | Recours web sécurisé ou chemin en application; pas de déclassement automatique de schéma |
| Profonds liens Android | Schémas personnalisés; modèles larges | Liens d’application vérifiés avec assetlinks.json et filtres d’intention stricts |
| Vérification de domaine | Non vérifiée | Vérifications d’état à l’exécution; guide l’utilisateur lorsqu’il n’est pas vérifié |
| PendingIntent | Modifiable par défaut | FLAG_IMMUTABLE par défaut; mutable seulement si nécessaire |
| Intentions IPC | Diffusions implicites | Intentions explicites; autorisations de récepteur; charges minimales |
| Confiance de l’appelant | Supposée | Vérifiez UID/signature; rejetez les appelants inconnus |
| Stockage/journalisation | Jetons dans préférences/journaux | Stockage soutenu par matériel; pas de journalisation de jeton/PII; rédaction analytique |
| Révocation | Lente, par appareil | Invalidation côté serveur et déconnexion à l’échelle des appareils |
Bonnes pratiques: le plan d’actions sur 90 jours pour l’ingénierie
Jours 0–30: Fermez les lacunes évidentes
- Inventaire et baselines
- Énumérez tous les URI de redirection OAuth par environnement; listez les gestionnaires de liens profonds (entitlements iOS, intent-filters Android); auditez les sites de création de PendingIntent; cataloguez les composants exportés et les points de terminaison IPC.
- Identifiez les durées de vie des jetons, les scopes, les emplacements de stockage et les workflows de rafraîchissement.
- Victoires rapides
- Mettez en œuvre PKCE pour chaque flux de client public; rejetez les réponses non-PKCE.
- Remplacez les modèles de redirection avec jokers ou personnalisés par des listes d’autorisations strictes par environnement.
- Par défaut, chaque PendingIntent à FLAG_IMMUTABLE; justifiez et documentez tout usage mutable.
- Ajoutez des autorisations de récepteur aux récepteurs exportés; convertissez les diffusions implicites en explicites, là où faisable.
- Activez les liens d’application Android et les liens universels iOS pour les flux les plus sensibles; publiez des fichiers d’association (assetlinks.json et apple-app-site-association) avec une portée stricte.
- Garde-fous CI
- Introduisez des règles de lint qui échouent les builds sur des défauts non sécurisés: PendingIntents modifiables sans justification, composants exportés sans permissions, URI de redirection avec jokers, et crochets état/nonce manquants dans les flux OAuth.
Jours 31–60: Construisez des contrôles et des tests durables
- Renforcement du cycle de vie des jetons
- Raccourcissez les durées de vie des jetons d’accès; réduisez les scopes; exigez une ré-authentification pour les transitions sensibles.
- Ajoutez des protections de jeton de rafraîchissement: contrôlez l’attestation de l’appareil/application avant d’émettre de nouveaux jetons; limites de taux côté serveur; détection d’anomalies sur les modèles de rafraîchissement.
- Vérification et UX des liens profonds
- Instrumentez des vérifications de vérification de domaine. Si la vérification n’est pas établie, faites passer les utilisateurs par un flux basé sur un navigateur sécurisé; n’effectuez pas de retour automatique aux schémas.
- Renforcez le recours iOS: assurez-vous que l’application gère les états non vérifiés avec une voie claire et sûre qui résiste au détournement.
- Tests de sécurité automatisés 🧪
- Créez des tests de détournement de lien qui simulent des applications malveillantes réclamant vos schémas ou domaines; vérifiez que les flux ne transmettent pas de codes/jetons aux gestionnaires non fiables.
- Ajoutez des tests de mutation de PendingIntent pour affirmer l’immutabilité et détecter toute instance mutable qui change les extras d’intention avant l’envoi.
- Exécutez des vecteurs OAuth négatifs: état/nonce rejoué ou non concordant, paramètres PKCE manquants, URI de redirection non enregistrés et scopes inattendus. Le client et le serveur devraient régulièrement échouer de manière fermée.
- Scripts de QA manuels adversaires
- Fournissez des tests étape par étape pour des liens malveillants conçus, des états de liens non vérifiés et l’usurpation d’appelant IPC. Incluez des matrices d’appareils qui reflètent des conditions limites connues.
Jours 61–90: Opérationnalisez, mesurez, et déployez en toute sécurité
- Portes CI/CD et politique en tant que code
- Faites des tests de sécurité une condition d’ouverture pour les chaînes de livraison. Traitez les violations comme des obstacles à la publication pour les flux pouvant exposer des jetons ou PII.
- Appliquez des scanners politique en tant que code pour détecter les écarts dans les fichiers d’association de liens profonds et les composants exportés.
- Télémetrie et indicateurs de performance
- Suivez l’état de vérification des liens universels/d’application en temps réel; alertez sur des dégradations inattendues ou des taux élevés d’états non vérifiés.
- Surveillez les incohérences d’état/nonce, les échanges PKCE rejetés, et les URI de redirection bloquées comme indicateurs de tentatives d’interception.
- Enregistrez l’échec de vérification des appelants sur les points de terminaison IPC et la création de PendingIntent mutable refusée comme signaux d’adversaires locaux.
- Stratégie de déploiement
- Utilisez des drapeaux de fonctionnalité par étapes pour activer des chemins renforcés pour un petit groupe d’abord; élargissez à mesure que la télémetrie confirme la stabilité.
- Mesurez la rupture versus les gains de sécurité: suivez les taux de réussite pour l’auth, les ouvertures de liens, et les flows IPC en parallèle aux événements bloqués/renforcés.
- Runbooks opérationnels
- Préparez des étapes de réponse en direct pour l’abus de lien/OAuth: révoquez les jetons rapidement à travers les appareils, invalidez les sessions risquées, et faites tourner prudemment les informations d’identification.
- Alignez les communications utilisateur pour minimiser l’attrition lorsque des jetons sont invalidés - des invites claires pour se ré-authentifier et des explications sur le pourquoi.
- Répondez aux attentes réglementaires lorsque la confidentialité des données personnelles est en jeu; assurez-vous que les équipes peuvent notifier dans les délais requis là où applicable.
Ce à quoi “le bien” ressemble au jour 90
- Chaque flux de client public applique PKCE, état/nonce, des scopes de moindre privilège, et des jetons à courte durée de vie.
- Les liens universels et les liens d’application sont vérifiés, étroitement limités, et soutenus par des vérifications d’état à l’exécution avec des recours sûrs et non détournables.
- PendingIntent est immuable par défaut; les points de terminaison IPC nécessitent des intentions explicites, des autorisations de récepteur, et une vérification des appelants par UID/signature.
- Les portes CI empêchent le lancement de défauts non sécurisés; des tests automatisés et manuels adversaires s’exécutent à chaque publication.
- La télémetrie révèle des indicateurs avancés d’interception; les runbooks opérationnels soutiennent une révocation rapide et une messagerie utilisateur claire.
Conclusion
La prise de contrôle de comptes mobiles par des faiblesses OAuth, de liens profonds et d’IPC reste une menace à forte probabilité et à fort impact car elle ne nécessite pas de déjouer le bac à sable du système d’exploitation. Les solutions sont claires mais demandent de la discipline: PKCE partout, listes d’autorisations de redirection strictes, état/nonce robuste, liens universels/d’application vérifiés avec des recours sûrs, PendingIntents immuables, intentions explicites avec des autorisations de récepteur fortes, et vérification des appelants. Les contrôles du cycle de vie des jetons - durées de vie courtes, rafraîchissement lié à l’attestation de l’appareil, et invalidation rapide - réduisent la fenêtre de relecture lorsque des problèmes surviennent. Les équipes qui soutiennent ces contrôles avec des tests automatisés, des portes CI, et une mise en scène/télémetrie peuvent déployer des protections rapidement sans casser les parcours utilisateur.
Points clés à retenir:
- Faites de PKCE, des redirections strictes, et de l’état/nonce des éléments non négociables pour chaque client public.
- Traitez les liens universels/d’application comme des premiers-classés et vérifiés; évitez les dégradations silencieuses vers des schémas.
- Rendez PendingIntent immuable par défaut et vérifiez les appelants sur les points de terminaison IPC.
- Raccourcissez les durées de vie des jetons et liez le rafraîchissement à l’attestation de l’appareil/application.
- Utilisez des tests, des portes CI et de la télémetrie pour détecter des régressions et mesurer les gains de sécurité.
Prochaines étapes:
- Commencez par un inventaire et mettez en œuvre des victoires rapides dans les 30 premiers jours.
- Construisez des tests automatisés de détournement de lien et de mutation de PendingIntent et faites-en des conditions d’ouverture.
- Mettez en place un statut de vérification et des paramètres OAuth rejetés comme indicateurs avancés de tentatives d’attaque.
- Préparez des runbooks pour la révocation de jetons et les communications utilisateur pour répondre rapidement lorsque des abus sont détectés.
La sécurité n’est pas un refactorage unique; c’est un muscle de version-en-version. Avec des paramètres par défaut renforcés, des tests rigoureux, et des déploiements mesurés, les équipes peuvent réduire considérablement le risque d’interception tout en maintenant des flux d’authentification rapides et fiables.
Sources & Références
Android App Links (official)
Documents verified App Links, domain verification, and implementation details required to prevent link hijacking.
Apple – Supporting universal links in your app (official)
Explains iOS Universal Links, associated domains, and verification behaviors needed for secure deep link handling.
Android PendingIntent security guidance (official)
Provides authoritative guidance on FLAG_IMMUTABLE and secure PendingIntent usage to prevent mutation and hijacking.
OWASP Mobile Security Testing Guide (MSTG)
Offers best practices for secure mobile auth, token handling, local storage, and testing, supporting the playbook's recommendations.
OWASP MASVS (Mobile Application Security Verification Standard)
Defines verification requirements for mobile apps including authentication, data storage, and IPC controls referenced in the hardening plan.