Безопасность мобильных приложений

#AndroidBroadcast #Security #Android

Обсуждаем обеспечение безопасности Android приложений, какие дыры есть в Android и куда развивается ОС в рамках безопасности

Гость выпуска - Ольга Шкряба, Senior Mobile Security Engineer. Занимается исследованием и разработкой решений в сфере безопасности, а также поиском уязвимостей. Автор Telegram канала о безопасности мобильных приложений paradiSEcurity (https://bit.ly/32TDQrj)

Полезные ссылки:
📰 Telegram канал с полезными материалами для Android разработчиков - https://ttttt.me/android_broadcast
💰 Поддержать проект http://bit.ly/3sratqQ
🔗 Telegram канала о безопасности мобильных приложений paradiSEcurity - https://bit.ly/32TDQrj
🔗 Выпуск о багхантерах - https://youtu.be/Jy3x8QeHLbw
🔗 Выпуск о Google SafetyNet - https://youtu.be/IB2HRjcIKYE
🔗 AabResGuard (the tool of obfuscated aab resources) - https://github.com/bytedance/AabResGuard
🔗 ProGuard - https://www.guardsquare.com/en/products/proguard
🔗 DexGuard - https://www.guardsquare.com/en/products/dexguard
🔗 OWASP Mobile - https://owasp.org/www-project-mobile-security/
🔗 Mobile Security and Privacy (Книга) - https://www.sciencedirect.com/book/9780128046296/mobile-security-and-privacy
🔗 Различные словари для обфускации - https://github.com/facebookarchive/proguard/tree/master/examples/dictionaries

Таймкоды:
0:00 - Интро
1:12 - Где создаются Security инженеры
10:35 - Безопасность Android ОС
23:57 - Уязвимости Android
37:33 - Уязвимости библиотек
40:00 - OWASP Mobile
43:25 - Типичные ошибки разработчиков
47:00 - Android KeyStore
48:52 - Неправильная реализация NFC
50:22 - Логирование
50:52 - Пин код на стороне клиента
59:15 - Неправильная настройка R8/ProGuard
1:07:30 - Проблемы в авторизации
1:11:33 - Защита покупок в приложениях
1:14:00 - Проверка библиотек
1:16:00 - Безопасность кроссплатформы
1:18:53 - Обфускация ресурсов
1:23:43 - Хранение ключей в Git
1:26:44 - Обход SMS аутентификации
1:28:08 - Неправильная настройка Push
1:28:44 - Обход окна пина
1:30:21 - Ответственность разработчиков за ошибки
1:36:36 - Очистка данных приложения
1:37:11 - Ключи в приложении
1:39:02 - Развитие безопасности в Android
1:47:57 - Перенос кода в натив для безопасности
1:49:10 - Спецслужбы и микрофон
1:51:08 - Подмена зависимостей
1:53:14 - Угроза Root
1:55:50 - Интервью на инженера по безопасности
1:59:47 - Аппаратное шифрование
2:05:10 - Пока-пока