Secure Mobile Apps

Lernziel

Lernen Sie mithilfe verwundbarer Testapplikationen für iPhone und Android die wichtigsten Sicherheitsprobleme (OWASP Mobile Top 10) von Mobile Apps kennen. Nach einer Einführung in die Security Architektur von Android und iOS, werden Sie durch die Applikations-Schwachstellen und entsprechende Gegenmassnahmen geführt. Nach dem Kurs sind Sie in der Lage, das Erlernte im eigenen Unternehmen anzuwenden und erhalten die Kompetenz für die sichere Entwicklung und Beurteilung (Self-Assessment) von mobilen Applikationen.

Abgrenzung: Das Seminar grenzt sich vom Thema MDM (Mobile Device Management) ab und fokussiert sich auf die (un-)sichere Entwicklung von Apps.

Highlights aus dem Programm

  • Intro ins Thema Secure Mobile Coding
    • OWASP Mobile Security Top 10
    • OWASP Mobile Application Security Verification Standard (MASVS)
    • Einführung in die Corellium Umgebung
  • Übersicht Security Architektur
    • Android Security
    • iOS Security Framework
  • Sichere Übertragung von App Daten
    • Netzwerk Analyse, Man in the Middle
    • SSL Trust mit erweiterter Validierung
  • Sichere Speicherung von sensitiven App Daten
    • Verschlüsselung von Daten
    • Pitfalls bei Speicherung von Daten
    • Schlüssel Management
  • Sichere Programmierung
    • User Input, Indexierung, Field Completion
    • effiziente Datenverschlüsselung
    • Backup & Restore
    • Logging & Auditing & Memory Management
  • FIDO für Mobile
    • FIDO2 und WebAuthn
    • Passkeys
  • App-zu-App Kommunication
    • Inter-Process Communication
    • Intents, Activities, Content Provider, Broadcasts, Services
    • Deep Links, Android App/Universal Links, Custom URL Schemes
  • Web-Views
    • Definition und Sicherheitsmerkmale
    • Unterschiede zu Custom Tabs und Browser App
    • Mögliche Angriffe und Missbrauchs-Szenarien
  • Push Benachrichtigungsdienste
    • Unterschiede zwischen APN, Firebase Cloud Messaging, PushKit
    • Lebenszyklus von Push-Benachrichtigungen
    • Sicherheit und Datenschutz bei Push-Benachrichtigungen
  • Geräteidentifikation, App Attestation und Key Attestation
  • Malware & Jailbreak, Rooting
    • Jailbreak & Jailbreak Detection
    • Effektiver Schutz gegen Malware
  • Fortgeschrittene App Analyse
    • Reverse Engineering
    • Statische und dynamische Analyse
    • Source Code Analyse
    • Code Obfuscation

Zielgruppe

Entwickler von iPhone und Android Anwendungen sowie Security Verantwortliche, welche die aktuellen Bedrohungen kennen lernen wollen. 

Voraussetzung

  • Keine Programmierkenntnisse notwendig
  • Gutes Verständnis für mobile Geräte von Vorteil
  • Lesen und Verstehen von Source Code