Już za dziewięć dni odbędzie się prowadzone przeze mnie szkolenie Sekuraka, na którym opowiem o sekretach bezpieczeństwa aplikacji androidowych. Dobra, to nie są żadne sekrety. To po prostu gromadzona latami wiedza – Androida zacząłem programować jeszcze w roku 2009, potem przez wiele lat była to moja główna specjalizacja zawodowa.
Szkolenie będzie miało formę kilkugodzinnej prelekcji online. Pokażę swój zestaw ulubionych narzędzi, zademonstruję pierwsze kroki, które podejmuję analizując nową aplikację mobilną, opowiem o nietypowych miejscach w których możemy szukać podatności.
Zaczniemy od zajrzenia do środka wybranej aplikacji i poznania sposobu jej działania. Objaśnię, dlaczego w testach tego typu warto użyć… najstarszej możliwej wersji systemu oraz czemu nie obejdziesz się bez zrootowanego urządzenia. Podsłuchamy komunikację sieciową, poszukamy miejsc do wstrzyknięcia kodu – przekonamy się też, że czasem sekrety lecą prosto do logcata. Podczas pokazu dostępny będzie kanał zwrotny – abym mógł odpowiadać na wasze pytania dotyczące prezentowanych technik.
Potem sięgniemy do materiałów organizacji OWASP i rozważymy, jakie modele zagrożeń najczęściej pojawią się w systemach wykorzystujących aplikacje mobilne (aplikacja najczęściej korzysta z jakiegoś backendu – chmurowego lub nie, tworzonego samodzielnie lub nie, itd.)
Następnie przejdziemy przez liczne przykłady znanych podatności a zakończymy rozważaniami, które metody obrony przed intruzami mogą być skuteczne i w jakich sytuacjach.
Kompletna agenda wygląda tak, jak poniżej. Jest to program minimum, który może być rozszerzany w zależności od liczby pytań i dostępnego czasu.
- Wprowadzenie do szkolenia, omówienie planowanego zakresu
- Demonstracja analizy podatności przykładowej aplikacji
- rozpakowanie pliku APK
- inspekcja manifestu i zasobów aplikacji
- dekompilacja SMALI do kodu Javy
- przepuszczanie ruchu przez proxy na PC
- analiza zawartości logcata
- założenie hooków na wybranych metodach
- Krótkie omówienie materiałów pomagających w ocenie ryzyka i testowaniu bezpieczeństwa aplikacji
- OWASP Mobile Security Testing Guide (MSTG)
- OWASP Mobile App Security Requirements and Verification (MASVS)
- Omówienie najczęściej spotykanych problemów bezpieczeństwa wraz z przykładami
- niezabezpieczone połączenia sieciowe
- wyciek sekretów przez IPC
- wyciek danych i ataki poprzez Webview
- brak weryfikacji danych zewnętrznych
- wyciek informacji przez logcata
- nadmiarowa zawartość pakietu APK
- obecność kodu debugowego w kompilacji release
- błędne użycie funkcji platformy Android
- uniwersalne wektory ataku (np. regex bomb, ZIP path traversal)
- Metody obrony
- obfuskowanie kodu
- bajtkod / kod natywny / Xamarin / React Native
- pinning kluczy / certyfikatów
- fingerprinting / SafetyNet Attestation API
- secure element
- wykrywanie roota
Tutaj premia dla osób czytających blogonotki do końca – z kodem zniżkowym „zakladowy” cena spada o 20%!
Pozostałe informacje na temat szkolenia w sklepie Sekuraka, tam też dokonasz zakupu.
Niniejszy artykuł jest tekstem sponsorowanym, za który redakcja Informatyka Zakładowego pobiera wynagrodzenie.
W odpowiedzi na “Moje szkolenie pod szyldem Sekuraka: Sekrety bezpieczeństwa aplikacji androidowych”
Czy mógłbys się przyjrzeć aplikacji lotto? Nie ma jej w google play, wymaga skanu dowodu osobistego, żąda dostępu do lokalizacji przez cały czas a nie tylko gdy jest uruchomiona bo inaczej nie przepuści zawarcia zakładu. A najciekawsze jest to że mimo posiadania uprawnień na wszystko wyświetla komunikat że nie można zagrać z powodu braku możliwosci ustalenia lokalizacji która jest stale włączona i usdostępniona. Komunikat magicznie znika gdy zezwolimy aplikacji na wysłanie danych do USA a konkretnie do 192.225.159.13. BTW żeby nie było sapania jak ostatnio ja tu nieczego nie reklamuję.