Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Sekrety bezpieczeństwa aplikacji androidowych… od Informatyka Zakładowego. Tego nie możesz przegapić!

02 lutego 2021, 17:41 | Aktualności | komentarze 4

Może kojarzycie raport o stanie bezpieczeństwa aplikacji bankowych przygotowany pod koniec 2016 roku? Tomek Zieliński po prostu wziął żywe, produkcyjne appki i spróbował poszukać w nich podatności. W appce IdeaBanku znalazł np. takie kwiatki:

Aplikacja IdeaBanku zawierała w zasobach plik tekstowy z przeszło setką testowych loginów i haseł. Część z nich działała w środowisku produkcyjnym. W ten sposób dowiedzieliśmy się, że najpopularniejsze hasło testerów to “123456Qq”, o kilka długości wyprzedzające “Kanapka6” i “Solaris86”. Teraz chcielibyśmy o tym jak najszybciej zapomnieć.

Z nowszych tematów, Tomek (aka informatykzakładowy) rozpruł wczesną wersję aplikacji ProteGO safe – prezentując swoją analizę krok po kroku.

No dobrze, do czego to zmierza? Otóż proponujemy Wam z Tomkiem nowe szkolenie on-line: Sekrety bezpieczeństwa aplikacji androidowych. W trakcie kursu:

  • dowiesz się, od jakich czynności intruz rozpocznie analizę twojej aplikacji,
  • pójdziesz w jego ślady by zawczasu zidentyfikować słabe punkty programu,
  • poznasz metody statycznej i dynamicznej analizy kodu,
  • prześledzisz historyczne wpadki w znanych aplikacjach,
  • poznasz argumenty za i przeciwko różnym metodom utrudniania analizy kodu.

Szkolenie dostępne jest w formie on-line, i jak zwykle każdemu udostępniamy na co najmniej miesiąc nagranie filmowe kursu.

Agenda jest dość rozbudowana i wygląda następująco:

  1. Wprowadzenie do szkolenia, omówienie planowanego zakresu
  2. Demonstracja analizy podatności przykładowej aplikacji
    1. rozpakowanie pliku APK
    2. inspekcja manifestu i zasobów aplikacji
    3. dekompilacja SMALI do kodu Javy
    4. przepuszczanie ruchu przez proxy na PC
    5. analiza zawartości logcata
    6. założenie hooków na wybranych metodach
  3. Krótkie omówienie materiałów pomagających w ocenie ryzyka i testowaniu bezpieczeństwa aplikacji
    1. OWASP Mobile Security Testing Guide (MSTG)
    2. OWASP Mobile App Security Requirements and Verification (MASVS)
  4. Omówienie najczęściej spotykanych problemów bezpieczeństwa wraz z przykładami
    1. niezabezpieczone połączenia sieciowe
    2. wyciek sekretów przez IPC
    3. wyciek danych i ataki poprzez Webview
    4. brak weryfikacji danych zewnętrznych
    5. wyciek informacji przez logcata
    6. nadmiarowa zawartość pakietu APK
    7. obecność kodu debugowego w kompilacji release
    8. błędne użycie funkcji platformy Android
    9. uniwersalne wektory ataku (np. regex bomb, ZIP path traversal)
  5. Metody obrony
    1. obfuskowanie kodu
    2. bajtkod / kod natywny / Xamarin / React Native
    3. pinning kluczy / certyfikatów
    4. fingerprinting / SafetyNet Attestation API
    5. secure element
    6. wykrywanie roota

Do zobaczenia zatem na kursie (ma on postać pokazów praktycznych), a już niebawem w naszym sklepie dostępne będzie kolejne topowe szkolenie – tym razem o sztuczkach socjotechnicznych (i ochronie przed nimi).

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Zaszprycowani

    Dzieki za link do Informatyka zakladowego.

    Przeczytalem tam artykul o apce Zaszczepieni:

    https://informatykzakladowy.pl/zaszczepieni-czyli-kolejna-rzadowa-apka-mobilna-i-kolejne-kontrowersje/

    Kilka dni temu napisaliscie o certyfikatach szczepien. Jeden z wnioskow z artykulu jest calkiem a’propos:

    „QR-kod zawiera dane jednoznacznie identyfikujące zaszczepionego. Niekompletna data urodzenia i inicjał nazwiska na ekranie i wydruku PDF pozostawiają mylne wrażenie, że QR-kod zawiera dane w większości zanonimizowane. […]

    Zerknijmy na cytat z WWW: „Aplikacja mobilna „Zaszczepieni” umożliwia potwierdzenie, że ktoś, kto pokazuje nam kod QR, jest rzeczywiście zaszczepiony. Aplikacja sprawdza ważność i poprawność kodu QR osoby zaszczepionej. Pokazuje też podstawowe dane o jego właścicielu, w tym imiona, pierwszą literę nazwiska oraz dzień i miesiąc urodzin. Dzięki temu można sprawdzić, że jest to kod osoby, która go okazuje. Osoba, która pokazuje do skanowania kod QR, wyraża zgodę na przetwarzanie danych osobowych zawartych w kodzie.”

    Ważność i poprawność kodu. Imiona, jedna litera nazwiska, dzień i miesiąc urodzenia. Ostatnie zdanie jest już czystą szyderą, bo stawiam dolary przeciw orzechom, że o rzeczywistej zawartości kodu dowiadujesz się z niniejszego artykułu. […]

    Nadal nie mamy odpowiedzi na pytanie – PO CO KOMU TA APLIKACJA?”

    No bo przeciez ma nie byc dyskryminacji ze wzgledu na brak przyjecia szprycy…

    Odpowiedz
  2. Mikolaj

    Będzie tez coś podobnego dla plików .ipa na ios ? :D

    Odpowiedz
  3. “123456Qq”,

    Coś czuję, że “123456Qq”, to zasługa ms keyboard 4000:)

    Odpowiedz

Odpowiedz