Про безопасность мобильных приложений говорим, конечно же, с Юрием Шабалиным генеральным директором и одним из основателей Стингрей Технолоджиз, продукта по анализу защищенности мобильных приложений, ex-ведущим архитектором Swordfish Security.
Тайм-коды:
00:00 - Вступление
03:57 - Бэкграунд Юры
06:54 - Почему мобилки
09:36 - Почему все забивают на мобилки
11:16 - Приложения это не отображение серверной части, а отдельная сложная система
17:10 - Зачем проверять приложение, если его проверяют сторы
22:02 - Приложение, как точка входа в инфраструктуру
27:19 - OWASP Mobile Top 10
29:01 - Модель злоумышленника для мобилок
33:45 - Репорт Bug Bounty
39:13 - Bug Bounty Samsung
41:47 - На каком этапе разработки нужно проверять безопасность приложения
44:30 - Как проверить реализацию биометрии
47:20 - Уязвимость навигации
50:54 - Атака на репозитории Java пакетов
1:00:30 - Документы и лучшие практики
1:08:00 - Инструмент Юры
1:26:00 - Вход в анализ защищенности мобильных приложений
1:33:40 - Стажировка
1:35:00 - Безопасность при разработке приложений
1:45:51 - Хранение персональных данных в открытом виде на мобильном устройстве
1:48:57 - Мобильные приложения очень мобильные
1:51:00 - Советы для специалистов и бизнеса
Полезные ссылки:
1. Стингрей Технолоджиз - stingray-mobile.ru
2. OWASP MASTG - mas.owasp.org/MASTG/
3. OWASP MASVS- mas.owasp.org/MASVS/
4. Исследование по безопасности мобильных приложений - mobile-stingray.ru/research/s...
5. Операция триангуляция (атака на iOS-устройства) - habr.com/ru/news/783676/
6. Уязвимость Task Hijacking
xakep.ru/2017/08/14/android-t...
• Android Task Hijacking
7. Основные уязвимости мобильных приложений - habr.com/ru/companies/swordfi...
8. OverSecured баги в Samsung (40-я минута) - blog.oversecured.com/Two-week...
9. Бага в медиа фреймворке - / 1378087789015752713
10. Баги в Xiaomi - blog.oversecured.com/20-Secur...
11. Обход биометрии (объяснение) - github.com/sensepost/objectio...
12. Проблема в плагине для хранения данных во Flutter - github.com/flutter/flutter/is...
13. Бага в библиотеке навигации Jetpack Navigation - swarm.ptsecurity.com/android-...
14. Атака на цепочку поставок MavenGate - habr.com/ru/companies/swordfi...
15. Инструменты OpenSource:
Drozer - github.com/WithSecureLabs/drozer
Semgrep - semgrep.dev/
Mariana Trench (Taint) - github.com/facebook/mariana-t...
RMS (Runtime Mobile Security) - github.com/m0bilesecurity/RMS...
CyclonDX - github.com/CycloneDX
Dependency Track - github.com/DependencyTrack/de...
Dependency Check - github.com/jeremylong/Depende...
16. Поиск секретов
github.com/streaak/keyhacks
github.com/l4yton/RegHex
github.com/Yelp/detect-secrets
github.com/avito-tech/deepsec...
17. Что такое SBOM
habr.com/ru/companies/cloud_m...
18. Рекомендации по безопасности мобилок by Стингрей
help.stingray-mobile.ru/lates...
19. Awesome Android и iOS репозитории с материалами
github.com/Swordfish-Security...
github.com/Swordfish-Security...
20. Телеграм канал Mobile Appsec World - t.me/mobile_appsec_world
21. Android Internals - newandroidbook.com/
22. Frida- frida.re/docs/android/
23. Приложение Secure Notes - appgallery.huawei.com/#/app/C...
24. Уязвимое приложение для iOS - DVIA - github.com/prateek147/DVIA-v2
25. Уязвимое приложение для Android - Insecure Bank v2- github.com/dineshshetty/Andro...