Про безопасность мобильных приложений говорим, конечно же, с Юрием Шабалиным генеральным директором и одним из основателей Стингрей Технолоджиз, продукта по анализу защищенности мобильных приложений, ex-ведущим архитектором Swordfish Security.
Тайм-коды:
00:00 — Вступление
03:57 — Бэкграунд Юры
06:54 — Почему мобилки
09:36 — Почему все забивают на мобилки
11:16 — Приложения это не отображение серверной части, а отдельная сложная система
17:10 — Зачем проверять приложение, если его проверяют сторы
22:02 — Приложение, как точка входа в инфраструктуру
27:19 — OWASP Mobile Top 10
29:01 — Модель злоумышленника для мобилок
33:45 — Репорт Bug Bounty
39:13 — Bug Bounty Samsung
41:47 — На каком этапе разработки нужно проверять безопасность приложения
44:30 — Как проверить реализацию биометрии
47:20 — Уязвимость навигации
50:54 — Атака на репозитории Java пакетов
1:00:30 — Документы и лучшие практики
1:08:00 — Инструмент Юры
1:26:00 — Вход в анализ защищенности мобильных приложений
1:33:40 — Стажировка
1:35:00 — Безопасность при разработке приложений
1:45:51 — Хранение персональных данных в открытом виде на мобильном устройстве
1:48:57 — Мобильные приложения очень мобильные
1:51:00 — Советы для специалистов и бизнеса
Полезные ссылки:
1. Стингрей Технолоджиз — https://stingray-mobile.ru
2. OWASP MASTG — https://mas.owasp.org/MASTG/
3. OWASP MASVS— https://mas.owasp.org/MASVS/
4. Исследование по безопасности мобильных приложений — https://mobile-stingray.ru/research/security-analysis
5. Операция триангуляция (атака на iOS-устройства) — https://habr.com/ru/news/783676/
6. Уязвимость Task Hijacking
https://xakep.ru/2017/08/14/android-task-hijacking/
https://www.youtube.com/watch?v=lLBeoufO_Bc
7. Основные уязвимости мобильных приложений — https://habr.com/ru/companies/swordfish_security/articles/658433/
8. OverSecured баги в Samsung (40-я минута) — https://blog.oversecured.com/Two-weeks-of-securing-Samsung-devices-Part-1/
9. Бага в медиа фреймворке — https://twitter.com/_bagipro/status/1378087789015752713
10. Баги в Xiaomi — https://blog.oversecured.com/20-Security-Issues-Found-in-Xiaomi-Devices/
11. Обход биометрии (объяснение) — https://github.com/sensepost/objection/wiki/Understanding-the-iOS-Biometrics-Bypass
12. Проблема в плагине для хранения данных во Flutter — https://github.com/flutter/flutter/issues/71150
13. Бага в библиотеке навигации Jetpack Navigation — https://swarm.ptsecurity.com/android-jetpack-navigation-deep-links-handling-exploitation/
14. Атака на цепочку поставок MavenGate — https://habr.com/ru/companies/swordfish_security/articles/790544/
15. Инструменты OpenSource:
Drozer - https://github.com/WithSecureLabs/drozer
Semgrep - https://semgrep.dev/
Mariana Trench (Taint) - https://github.com/facebook/mariana-trench
RMS (Runtime Mobile Security) - https://github.com/m0bilesecurity/RMS-Runtime-Mobile-Security
CyclonDX - https://github.com/CycloneDX
Dependency Track - https://github.com/DependencyTrack/dependency-track
Dependency Check - https://github.com/jeremylong/DependencyCheck
16. Поиск секретов
https://github.com/streaak/keyhacks
https://github.com/l4yton/RegHex
https://github.com/Yelp/detect-secrets
https://github.com/avito-tech/deepsecrets
17. Что такое SBOM
https://habr.com/ru/companies/cloud_mts/articles/781602/
18. Рекомендации по безопасности мобилок by Стингрей
https://help.stingray-mobile.ru/latest/rg/
19. Awesome Android и iOS репозитории с материалами
https://github.com/Swordfish-Security/awesome-android-security
https://github.com/Swordfish-Security/awesome-ios-security
20. Телеграм канал Mobile Appsec World — https://t.me/mobile_appsec_world
21. Android Internals — https://newandroidbook.com/
22. Frida— https://frida.re/docs/android/
23. Приложение Secure Notes — https://appgallery.huawei.com/#/app/C109264147
24. Уязвимое приложение для iOS - DVIA — https://github.com/prateek147/DVIA-v2
25. Уязвимое приложение для Android - Insecure Bank v2— https://github.com/dineshshetty/Android-InsecureBankv2