Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Sekrety bezpieczeństwa aplikacji androidowych… od Informatyka Zakładowego. Tego nie możesz przegapić!
Może kojarzycie raport o stanie bezpieczeństwa aplikacji bankowych przygotowany pod koniec 2016 roku? Tomek Zieliński po prostu wziął żywe, produkcyjne appki i spróbował poszukać w nich podatności. W appce IdeaBanku znalazł np. takie kwiatki:
Aplikacja IdeaBanku zawierała w zasobach plik tekstowy z przeszło setką testowych loginów i haseł. Część z nich działała w środowisku produkcyjnym. W ten sposób dowiedzieliśmy się, że najpopularniejsze hasło testerów to “123456Qq”, o kilka długości wyprzedzające “Kanapka6” i “Solaris86”. Teraz chcielibyśmy o tym jak najszybciej zapomnieć.
Z nowszych tematów, Tomek (aka informatykzakładowy) rozpruł wczesną wersję aplikacji ProteGO safe – prezentując swoją analizę krok po kroku.
No dobrze, do czego to zmierza? Otóż proponujemy Wam z Tomkiem nowe szkolenie on-line: Sekrety bezpieczeństwa aplikacji androidowych. W trakcie kursu:
- dowiesz się, od jakich czynności intruz rozpocznie analizę twojej aplikacji,
- pójdziesz w jego ślady by zawczasu zidentyfikować słabe punkty programu,
- poznasz metody statycznej i dynamicznej analizy kodu,
- prześledzisz historyczne wpadki w znanych aplikacjach,
- poznasz argumenty za i przeciwko różnym metodom utrudniania analizy kodu.
Szkolenie dostępne jest w formie on-line, i jak zwykle każdemu udostępniamy na co najmniej miesiąc nagranie filmowe kursu.
Agenda jest dość rozbudowana i wygląda następująco:
- Wprowadzenie do szkolenia, omówienie planowanego zakresu
- Demonstracja analizy podatności przykładowej aplikacji
- rozpakowanie pliku APK
- inspekcja manifestu i zasobów aplikacji
- dekompilacja SMALI do kodu Javy
- przepuszczanie ruchu przez proxy na PC
- analiza zawartości logcata
- założenie hooków na wybranych metodach
- Krótkie omówienie materiałów pomagających w ocenie ryzyka i testowaniu bezpieczeństwa aplikacji
- OWASP Mobile Security Testing Guide (MSTG)
- OWASP Mobile App Security Requirements and Verification (MASVS)
- Omówienie najczęściej spotykanych problemów bezpieczeństwa wraz z przykładami
- niezabezpieczone połączenia sieciowe
- wyciek sekretów przez IPC
- wyciek danych i ataki poprzez Webview
- brak weryfikacji danych zewnętrznych
- wyciek informacji przez logcata
- nadmiarowa zawartość pakietu APK
- obecność kodu debugowego w kompilacji release
- błędne użycie funkcji platformy Android
- uniwersalne wektory ataku (np. regex bomb, ZIP path traversal)
- Metody obrony
- obfuskowanie kodu
- bajtkod / kod natywny / Xamarin / React Native
- pinning kluczy / certyfikatów
- fingerprinting / SafetyNet Attestation API
- secure element
- wykrywanie roota
Do zobaczenia zatem na kursie (ma on postać pokazów praktycznych), a już niebawem w naszym sklepie dostępne będzie kolejne topowe szkolenie – tym razem o sztuczkach socjotechnicznych (i ochronie przed nimi).
–ms
Dzieki za link do Informatyka zakladowego.
Przeczytalem tam artykul o apce Zaszczepieni:
https://informatykzakladowy.pl/zaszczepieni-czyli-kolejna-rzadowa-apka-mobilna-i-kolejne-kontrowersje/
Kilka dni temu napisaliscie o certyfikatach szczepien. Jeden z wnioskow z artykulu jest calkiem a’propos:
„QR-kod zawiera dane jednoznacznie identyfikujące zaszczepionego. Niekompletna data urodzenia i inicjał nazwiska na ekranie i wydruku PDF pozostawiają mylne wrażenie, że QR-kod zawiera dane w większości zanonimizowane. […]
Zerknijmy na cytat z WWW: „Aplikacja mobilna „Zaszczepieni” umożliwia potwierdzenie, że ktoś, kto pokazuje nam kod QR, jest rzeczywiście zaszczepiony. Aplikacja sprawdza ważność i poprawność kodu QR osoby zaszczepionej. Pokazuje też podstawowe dane o jego właścicielu, w tym imiona, pierwszą literę nazwiska oraz dzień i miesiąc urodzin. Dzięki temu można sprawdzić, że jest to kod osoby, która go okazuje. Osoba, która pokazuje do skanowania kod QR, wyraża zgodę na przetwarzanie danych osobowych zawartych w kodzie.”
Ważność i poprawność kodu. Imiona, jedna litera nazwiska, dzień i miesiąc urodzenia. Ostatnie zdanie jest już czystą szyderą, bo stawiam dolary przeciw orzechom, że o rzeczywistej zawartości kodu dowiadujesz się z niniejszego artykułu. […]
Nadal nie mamy odpowiedzi na pytanie – PO CO KOMU TA APLIKACJA?”
No bo przeciez ma nie byc dyskryminacji ze wzgledu na brak przyjecia szprycy…
Będzie tez coś podobnego dla plików .ipa na ios ? :D
Będzie niebawem :-)
Coś czuję, że “123456Qq”, to zasługa ms keyboard 4000:)