Сайт использует сервис веб-аналитики Яндекс Метрика с помощью технологии «cookie». Пользуясь сайтом, вы даете согласие на использование данной технологии.
Подкаст Just Security by Awillix #7. Безопасность мобильных приложений
Про безопасность мобильных приложений говорим, конечно же, с Юрием Шабалиным генеральным директором и одним из основателей Стингрей Технолоджиз, продукта по анализу защищенности мобильных приложений, ex-ведущим архитектором Swordfish Security. Тайм-коды: 00:00 — Вступление 03:57 — Бэкграунд Юры 06:54 — Почему мобилки 09:36 — Почему все забивают на мобилки 11:16 — Приложения это не отображение серверной части, а отдельная сложная система 17:10 — Зачем проверять приложение, если его проверяют сторы 22:02 — Приложение, как точка входа в инфраструктуру 27:19 — OWASP Mobile Top 10 29:01 — Модель злоумышленника для мобилок 33:45 — Репорт Bug Bounty 39:13 — Bug Bounty Samsung 41:47 — На каком этапе разработки нужно проверять безопасность приложения 44:30 — Как проверить реализацию биометрии 47:20 — Уязвимость навигации 50:54 — Атака на репозитории Java пакетов 1:00:30 — Документы и лучшие практики 1:08:00 — Инструмент Юры 1:26:00 — Вход в анализ защищенности мобильных приложений 1:33:40 — Стажировка 1:35:00 — Безопасность при разработке приложений 1:45:51 — Хранение персональных данных в открытом виде на мобильном устройстве 1:48:57 — Мобильные приложения очень мобильные 1:51:00 — Советы для специалистов и бизнеса Полезные ссылки: 1. Стингрей Технолоджиз — 2. OWASP MASTG — 3. OWASP MASVS— 4. Исследование по безопасности мобильных приложений — 5. Операция триангуляция (атака на iOS-устройства) — 6. Уязвимость Task Hijacking • Android Task Hijacking 7. Основные уязвимости мобильных приложений — 8. OverSecured баги в Samsung (40-я минута) — 9. Бага в медиа фреймворке — / 1378087789015752713 10. Баги в Xiaomi — 11. Обход биометрии (объяснение) — 12. Проблема в плагине для хранения данных во Flutter — 13. Бага в библиотеке навигации Jetpack Navigation — 14. Атака на цепочку поставок MavenGate — 15. Инструменты OpenSource: Drozer - Semgrep - Mariana Trench (Taint) - RMS (Runtime Mobile Security) - CyclonDX - Dependency Track - Dependency Check - 16. Поиск секретов
17. Что такое SBOM 18. Рекомендации по безопасности мобилок by Стингрей 19. Awesome Android и iOS репозитории с материалами
20. Телеграм канал Mobile Appsec World — 21. Android Internals — 22. Frida— 23. Приложение Secure Notes — 24. Уязвимое приложение для iOS - DVIA — 25. Уязвимое приложение для Android - Insecure Bank v2—
