Sekrety bezpieczeństwa aplikacji androidowych (15.03.2021)

Zapraszamy na 4-godzinne szkolenie poświęcone bezpieczeństwu Androida, prowadzone przez Tomasza Zielińskiego. Tomasz to zawodowy programista od 2003 roku, pasjonat bezpieczeństwa informatycznego. Rozwijał systemy finansowe dla NBP, tworzył i weryfikował zabezpieczenia bankowych aplikacji mobilnych, pisał soft embedded dla tramwajów i autobusów, brał udział w pracach nad grą Angry Birds i wyszukiwarką internetową Microsoft Bing. Zaczął programować Androida w roku 2009, za czasów systemu w wersji 1.6 (API 4). W roku 2016 przeprowadził niezamówione testy bezpieczeństwa polskich mobilnych aplikacji bankowych odnajdując w nich szereg poważnych usterek. Autor bloga informatykzakladowy.pl, pilot paralotniowy.

Na kursie

  • dowiesz się, od jakich czynności intruz rozpocznie analizę twojej aplikacji
  • pójdziesz w jego ślady by zawczasu zidentyfikować słabe punkty programu
  • poznasz metody statycznej i dynamicznej analizy kodu
  • prześledzisz historyczne wpadki w znanych aplikacjach
  • poznasz argumenty za i przeciwko różnym metodom utrudniania analizy kodu

Dla kogo szkolenie

Szkolenie kierowane jest dla architektów i programistów aplikacji na Androida, jak również dla osób chcących zbadać ich bezpieczeństwo.

Termin

Rozpoczęcie: 15.03.2021r., godzina 10:00. Zakończenie - około 14:00. Miejsce: on-line (pełne informacje wysyłane są dzień przed wydarzeniem). Kontroluj od czasu do czasu spam. Jeśli ktoś nie zdąży, lub akurat nie będzie mógł dołączyć - film (z zapisem chatu) będzie dostępny przez miesiąc po zakończeniu wydarzenia (również dla tych, którzy normalnie wzięli udział).

Potrzebujesz faktury pro-forma? Napisz na szkolenia@securitum.pl (w samym sklepie faktura VAT generowana jest automatycznie, po dokonaniu płatności).

Agenda

  1. Wprowadzenie do szkolenia, omówienie planowanego zakresu
  2. Demonstracja analizy podatności przykładowej aplikacji
    1. rozpakowanie pliku APK
    2. inspekcja manifestu i zasobów aplikacji
    3. dekompilacja SMALI do kodu Javy
    4. przepuszczanie ruchu przez proxy na PC
    5. analiza zawartości logcata
    6. założenie hooków na wybranych metodach
  3. Krótkie omówienie materiałów pomagających w ocenie ryzyka i testowaniu bezpieczeństwa aplikacji
    1. OWASP Mobile Security Testing Guide (MSTG)
    2. OWASP Mobile App Security Requirements and Verification (MASVS)
  4. Omówienie najczęściej spotykanych problemów bezpieczeństwa wraz z przykładami
    1. niezabezpieczone połączenia sieciowe
    2. wyciek sekretów przez IPC
    3. wyciek danych i ataki poprzez Webview
    4. brak weryfikacji danych zewnętrznych
    5. wyciek informacji przez logcata
    6. nadmiarowa zawartość pakietu APK
    7. obecność kodu debugowego w kompilacji release
    8. błędne użycie funkcji platformy Android
    9. uniwersalne wektory ataku (np. regex bomb, ZIP path traversal)
  5. Metody obrony
    1. obfuskowanie kodu
    2. bajtkod / kod natywny / Xamarin / React Native
    3. pinning kluczy / certyfikatów
    4. fingerprinting / SafetyNet Attestation API
    5. secure element
    6. wykrywanie roota
       

Data dodania: 17 gru 2020
Ostatnia aktualizacja: 11 mar 2021