Sekrety bezpieczeństwa aplikacji androidowych… od Informatyka Zakładowego. Tego nie możesz przegapić!

Może kojarzycie raport o stanie bezpieczeństwa aplikacji bankowych przygotowany pod koniec 2016 roku? Tomek Zieliński po prostu wziął żywe, produkcyjne appki i spróbował poszukać w nich podatności. W appce IdeaBanku znalazł np. takie kwiatki:

Aplikacja IdeaBanku zawierała w zasobach plik tekstowy z przeszło setką testowych loginów i haseł. Część z nich działała w środowisku produkcyjnym. W ten sposób dowiedzieliśmy się, że najpopularniejsze hasło testerów to “123456Qq”, o kilka długości wyprzedzające “Kanapka6” i “Solaris86”. Teraz chcielibyśmy o tym jak najszybciej zapomnieć.

Z nowszych tematów, Tomek (aka informatykzakładowy) rozpruł wczesną wersję aplikacji ProteGO safe – prezentując swoją analizę krok po kroku.

No dobrze, do czego to zmierza? Otóż proponujemy Wam z Tomkiem nowe szkolenie on-line: Sekrety bezpieczeństwa aplikacji androidowych. W trakcie kursu:

• dowiesz się, od jakich czynności intruz rozpocznie analizę twojej aplikacji,
• pójdziesz w jego ślady by zawczasu zidentyfikować słabe punkty programu,
• poznasz metody statycznej i dynamicznej analizy kodu,
• prześledzisz historyczne wpadki w znanych aplikacjach,
• poznasz argumenty za i przeciwko różnym metodom utrudniania analizy kodu.

Szkolenie dostępne jest w formie on-line, i jak zwykle każdemu udostępniamy na co najmniej miesiąc nagranie filmowe kursu.

Agenda jest dość rozbudowana i wygląda następująco:

1. Wprowadzenie do szkolenia, omówienie planowanego zakresu
2. Demonstracja analizy podatności przykładowej aplikacji
   1. rozpakowanie pliku APK
   2. inspekcja manifestu i zasobów aplikacji
   3. dekompilacja SMALI do kodu Javy
   4. przepuszczanie ruchu przez proxy na PC
   5. analiza zawartości logcata
   6. założenie hooków na wybranych metodach
3. Krótkie omówienie materiałów pomagających w ocenie ryzyka i testowaniu bezpieczeństwa aplikacji
   1. OWASP Mobile Security Testing Guide (MSTG)
   2. OWASP Mobile App Security Requirements and Verification (MASVS)
4. Omówienie najczęściej spotykanych problemów bezpieczeństwa wraz z przykładami
   1. niezabezpieczone połączenia sieciowe
   2. wyciek sekretów przez IPC
   3. wyciek danych i ataki poprzez Webview
   4. brak weryfikacji danych zewnętrznych
   5. wyciek informacji przez logcata
   6. nadmiarowa zawartość pakietu APK
   7. obecność kodu debugowego w kompilacji release
   8. błędne użycie funkcji platformy Android
   9. uniwersalne wektory ataku (np. regex bomb, ZIP path traversal)
5. Metody obrony
   1. obfuskowanie kodu
   2. bajtkod / kod natywny / Xamarin / React Native
   3. pinning kluczy / certyfikatów
   4. fingerprinting / SafetyNet Attestation API
   5. secure element
   6. wykrywanie roota

Do zobaczenia zatem na kursie (ma on postać pokazów praktycznych), a już niebawem w naszym sklepie dostępne będzie kolejne topowe szkolenie – tym razem o sztuczkach socjotechnicznych (i ochronie przed nimi).

–ms