Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Interesuje Cię bezpieczeństwo aplikacji androidowych? Zapraszamy na szkolenie sekuraka (kod -20%)
Szkolenie prowadzi Tomek Zieliński (aka informatykzakladowy), sam pisze tak:
(…) szkolenie Sekuraka, na którym opowiem o sekretach bezpieczeństwa aplikacji androidowych. Dobra, to nie są żadne sekrety. To po prostu gromadzona latami wiedza – Androida zacząłem programować jeszcze w roku 2009, potem przez wiele lat była to moja główna specjalizacja zawodowa.
Zaczniemy od zajrzenia do środka wybranej aplikacji i poznania sposobu jej działania. Objaśnię, dlaczego w testach tego typu warto użyć… najstarszej możliwej wersji systemu oraz czemu nie obejdziesz się bez zrootowanego urządzenia. Podsłuchamy komunikację sieciową, poszukamy miejsc do wstrzyknięcia kodu – przekonamy się też, że czasem sekrety lecą prosto do logcata. Podczas pokazu dostępny będzie kanał zwrotny – abym mógł odpowiadać na wasze pytania dotyczące prezentowanych technik.
Całość prowadzona będzie w formie on-line (dostępne będzie również przez miesiąc nagranie całego materiału). Rozpoczęcie: 15.03.2021r., godzina 10:00. Zakończenie – około 14:00.
Agenda
- Wprowadzenie do szkolenia, omówienie planowanego zakresu
- Demonstracja analizy podatności przykładowej aplikacji
- rozpakowanie pliku APK
- inspekcja manifestu i zasobów aplikacji
- dekompilacja SMALI do kodu Javy
- przepuszczanie ruchu przez proxy na PC
- analiza zawartości logcata
- założenie hooków na wybranych metodach
- Krótkie omówienie materiałów pomagających w ocenie ryzyka i testowaniu bezpieczeństwa aplikacji
- OWASP Mobile Security Testing Guide (MSTG)
- OWASP Mobile App Security Requirements and Verification (MASVS)
- Omówienie najczęściej spotykanych problemów bezpieczeństwa wraz z przykładami
- niezabezpieczone połączenia sieciowe
- wyciek sekretów przez IPC
- wyciek danych i ataki poprzez Webview
- brak weryfikacji danych zewnętrznych
- wyciek informacji przez logcata
- nadmiarowa zawartość pakietu APK
- obecność kodu debugowego w kompilacji release
- błędne użycie funkcji platformy Android
- uniwersalne wektory ataku (np. regex bomb, ZIP path traversal)
- Metody obrony
- obfuskowanie kodu
- bajtkod / kod natywny / Xamarin / React Native
- pinning kluczy / certyfikatów
- fingerprinting / SafetyNet Attestation API
- secure element
- wykrywanie roota
–ms