SlideShare ist ein Scribd-Unternehmen logo

Bezpečnosť mobilných aplikácií (Martin Zajíček)

DCIT, a.s.
DCIT, a.s.
Technologie
1 von 11
Bezpečnosť mobilných aplikácií ISACA Slovensko - ABIT 2011 Martin Zajíček, CISA, CRISC zajicek@dcit-consulting.sk DCIT Consulting http://www.dcit-consulting.sk
Prehľad prednášky 1. Intro do problematiky 2. Základná architektúra/princíp mobilnej aplikácie 3. Okruhy slabín 4. Potenciálne problémové oblasti 5. Stručné resumé bezpečnej aplikácie 2 http://www.dcit-consulting.sk
1. Intro do problematiky Čo považujeme za mobilnú aplikáciu? • samostatná aplikácia bežiaca na mobilnom (SMART) telefóne História mobilných aplikácií.. • v minulosti sa vyskytovali a vyvíjali aplikácie takmer výhradne v JAVA-e – spravidla išlo o primitívne aplikácie s nie veľmi „cool“ vzhľadom • rozkvet mobilných aplikácii nastal až po štarte iPhone platformy spoločne s App Store • iPhone spoločne s Androidom najpoužívanejšia platforma 3 http://www.dcit-consulting.sk
1. Intro do problematiky (2) • mimo iPhone a Androidu sú používané Symbian, Windows Mobile a ďalšie ako napr. BADU, atď. • aj naďalej existencia JAVA aplikácií • z pohľadu bezpečnosti a testovania je potrebné venovať sa samostatne každej platforme – spravidla sú vyvíjané inými spoločnosťami alebo skupinami programátorov! 4 http://www.dcit-consulting.sk
2. Základná architektúra/princíp • sú používané rôzne prístupy • spravidla sieťová aplikácia komunikujúca so serverom (protokol HTTPS + JSON) – výmena dát • pri zabezpečení sa treba orientovať na bezpečnosť, ktorá je podobná viac bezpečnosti web služieb (web services - napr. SOAP) ako web aplikácií 5 http://www.dcit-consulting.sk
3. Okruhy slabín • podobnosť so štandardnými aplikáciami – klient/server, vstupy/výstupy • na strane servera − verejne prístupná služba HTTPS – prístup nielen pre mobilné aplikácie − nefunkčný update manažment, chybná implementácia SSL, chybná konfigurácia − špecifický middleware napr. pre podporu JSON a pod. – väčší potenciálny priestor existenciu slabín • na strane aplikácie − ošetrenie vstupov (SQL Injection!) − session manažment 6 http://www.dcit-consulting.sk
3. Okruhy slabín (2) • špecifické slabiny − oblasti, ktoré pri štandardných web aplikáciách sú podporované natívne internetovým prehliadačom a službami • cookies • chybové stavy − ukončenie činnosti aplikácie – je potrebné riešiť na strane servera (time-out + logout) i na strane klienta (odlogovanie + zmazanie informácií z pamäte) 7 http://www.dcit-consulting.sk
4. Potenciálne problémové oblasti • návrat do minulosti • spoliehanie sa na to, že aplikácia je „nedobytná“ a dostatočné chránená samotnou platformou– veľmi častý výskyt jailbreakingu/rootingu − filesystém – spôsob ukladania užívateľských a aplikačných dát (sandboxy) − cachovanie prihlasovacích parametrov a ich zmazanie pri ukončení práce • spoliehanie sa na to, že mobilné platformy nedisponujú hacking nástrojmi • sieťový prístup prostredníctvom nedôveryhodných sietí – možnosť odpočutia komunikácie, útoky MITM 8 http://www.dcit-consulting.sk
4. Potenciálne problémové oblasti (2) • výskyt malwaru (najmä Android) – asistencia užívateľa • častý výskyt mladých vývojárov bez dostatočného bezpečnostného backround-u • spôsob distribúcie a aktualizácie aplikácie • spôsob aktivácie aplikácie (odporúča sa) • výskyt SW, kopírujúceho funkcionalitu pôvodného SW, ktorý býva častokrát viac „cool“ 9 http://www.dcit-consulting.sk
5. Stručné resumé bezpečnej aplikácie Je potrebné venovať pozornosť • serverovej časti aplikácie • klientskej časti aplikácie • možnostiam prelomenia ochrany na úrovni OS, odpočúvania, či zmeny komunikácie • distribúcii SW • každej platforme samostatne Nezabúdať na možnosť a schopnosť zabezpečenia infraštruktúry po posledný firewall – za ním je prostredie mimo kontroly... 10 http://www.dcit-consulting.sk
Diskusia 11 http://www.dcit-consulting.sk

Empfohlen

Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)
Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)
Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)
DCIT, a.s.
 
Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)
Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)
Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)
DCIT, a.s.
 
Případová studie M&A, E15 - SAMAK
Případová studie M&A, E15 - SAMAKPřípadová studie M&A, E15 - SAMAK
Případová studie M&A, E15 - SAMAK
SAMAK
 
Dowcip językowy w edukacji
Dowcip językowy w edukacjiDowcip językowy w edukacji
Dowcip językowy w edukacji
Multimedia Lab - Pedagogical Library
 
Text prisjlmat - iii. - 9
Text prisjlmat - iii. - 9Text prisjlmat - iii. - 9
Text prisjlmat - iii. - 9
Skola lamac
 
Global warming
Global warmingGlobal warming
Global warming
sudheesh plathottam
 
Zpravodaj - červen 2013
Zpravodaj - červen 2013Zpravodaj - červen 2013
Zpravodaj - červen 2013
Pavel Vondra
 
Budoucnost energie
Budoucnost energieBudoucnost energie
Budoucnost energie
Petra Dvořáčková
 

Empfohlen

Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)
Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)
Útok na užívateľa zabezpečenej WWW aplikácie (Martin Zajíček)
DCIT, a.s.
 
Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)
Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)
Internetové bankovníctvo - útok na užívateľa (Martin Zajíček)
DCIT, a.s.
 
Případová studie M&A, E15 - SAMAK
Případová studie M&A, E15 - SAMAKPřípadová studie M&A, E15 - SAMAK
Případová studie M&A, E15 - SAMAK
SAMAK
 
Dowcip językowy w edukacji
Dowcip językowy w edukacjiDowcip językowy w edukacji
Dowcip językowy w edukacji
Multimedia Lab - Pedagogical Library
 
Text prisjlmat - iii. - 9
Text prisjlmat - iii. - 9Text prisjlmat - iii. - 9
Text prisjlmat - iii. - 9
Skola lamac
 
Global warming
Global warmingGlobal warming
Global warming
sudheesh plathottam
 
Zpravodaj - červen 2013
Zpravodaj - červen 2013Zpravodaj - červen 2013
Zpravodaj - červen 2013
Pavel Vondra
 
Budoucnost energie
Budoucnost energieBudoucnost energie
Budoucnost energie
Petra Dvořáčková
 
Wolz 2
Wolz 2Wolz 2
Wolz 2
Adam Javurek
 
Ján Pišút: Kvalita výskumu na VŠ. Ako ju zvyšovať
Ján Pišút: Kvalita výskumu na VŠ. Ako ju zvyšovaťJán Pišút: Kvalita výskumu na VŠ. Ako ju zvyšovať
Ján Pišút: Kvalita výskumu na VŠ. Ako ju zvyšovať
Nové idey pre Slovensko
 
100781
100781100781
100781
Иван Иванов
 
Online Public Relation
Online Public RelationOnline Public Relation
Online Public Relation
Hana Bednářová
 
Svetadiely hrou - M. Homolová
Svetadiely hrou - M. HomolováSvetadiely hrou - M. Homolová
Svetadiely hrou - M. Homolová
MonaRubens
 
Pipes and Cisterns - Work Time
Pipes and Cisterns - Work Time Pipes and Cisterns - Work Time
Pipes and Cisterns - Work Time
2IIM
 
Breaking the ice
Breaking the iceBreaking the ice
Breaking the ice
Aidan Flynn
 
Bacard Art Of Cocktail
Bacard Art Of CocktailBacard Art Of Cocktail
Bacard Art Of Cocktail
Martin
 
Combinatorics - Possible Solutions for given variables
Combinatorics - Possible Solutions for given variablesCombinatorics - Possible Solutions for given variables
Combinatorics - Possible Solutions for given variables
2IIM
 
Bezpečnosť webových aplikácií (Martin Zajíček)
Bezpečnosť webových aplikácií (Martin Zajíček)Bezpečnosť webových aplikácií (Martin Zajíček)
Bezpečnosť webových aplikácií (Martin Zajíček)
DCIT, a.s.
 
Bezpečnosť v kontexte RIA technológií
Bezpečnosť v kontexte RIA technológiíBezpečnosť v kontexte RIA technológií
Bezpečnosť v kontexte RIA technológií
Juraj Michálek
 
Synopsi Barcamp
Synopsi BarcampSynopsi Barcamp
Synopsi Barcamp
Rastislav Turek
 
Synopsi Barcamp
Synopsi BarcampSynopsi Barcamp
Synopsi Barcamp
guest10797c
 
Php sec
Php secPhp sec
Php sec
OWASP (Open Web Application Security Project)
 
Preco sa rozhodnut pre spolocnost Nethemba
Preco sa rozhodnut pre spolocnost NethembaPreco sa rozhodnut pre spolocnost Nethemba
Preco sa rozhodnut pre spolocnost Nethemba
OWASP (Open Web Application Security Project)
 
macroscop prezentacia WIDE security s.r.o
macroscop prezentacia WIDE security s.r.omacroscop prezentacia WIDE security s.r.o
macroscop prezentacia WIDE security s.r.o
WIDE security s.r.o.
 
Zimbra: Vytvorte si privátny email cloud za 10 minút. Zadarmo.
Zimbra: Vytvorte si privátny email cloud za 10 minút. Zadarmo.Zimbra: Vytvorte si privátny email cloud za 10 minút. Zadarmo.
Zimbra: Vytvorte si privátny email cloud za 10 minút. Zadarmo.
ASBIS SK
 
isurus-cc-prezentacia-2016
isurus-cc-prezentacia-2016isurus-cc-prezentacia-2016
isurus-cc-prezentacia-2016
Jan Holy
 
The New Distrowatch – Bachelor's thesis (SK)
The New Distrowatch – Bachelor's thesis (SK)The New Distrowatch – Bachelor's thesis (SK)
The New Distrowatch – Bachelor's thesis (SK)
Jakub Žitný
 
Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)
Savione
 
Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)
wcsk
 
responsive webdesign - vibration.sk
responsive webdesign - vibration.skresponsive webdesign - vibration.sk
responsive webdesign - vibration.sk
vibration.sk
 

Weitere ähnliche Inhalte

Andere mochten auch

Ján Pišút: Kvalita výskumu na VŠ. Ako ju zvyšovať
Ján Pišút: Kvalita výskumu na VŠ. Ako ju zvyšovaťJán Pišút: Kvalita výskumu na VŠ. Ako ju zvyšovať
Ján Pišút: Kvalita výskumu na VŠ. Ako ju zvyšovať
Nové idey pre Slovensko
 
Breaking the ice
Breaking the iceBreaking the ice
Breaking the ice
Aidan Flynn
 

Andere mochten auch (9)

Wolz 2
Wolz 2Wolz 2
Wolz 2
 
Ján Pišút: Kvalita výskumu na VŠ. Ako ju zvyšovať
Ján Pišút: Kvalita výskumu na VŠ. Ako ju zvyšovaťJán Pišút: Kvalita výskumu na VŠ. Ako ju zvyšovať
Ján Pišút: Kvalita výskumu na VŠ. Ako ju zvyšovať
 
100781
100781100781
100781
 
Online Public Relation
Online Public RelationOnline Public Relation
Online Public Relation
 
Svetadiely hrou - M. Homolová
Svetadiely hrou - M. HomolováSvetadiely hrou - M. Homolová
Svetadiely hrou - M. Homolová
 
Pipes and Cisterns - Work Time
Pipes and Cisterns - Work Time Pipes and Cisterns - Work Time
Pipes and Cisterns - Work Time
 
Breaking the ice
Breaking the iceBreaking the ice
Breaking the ice
 
Bacard Art Of Cocktail
Bacard Art Of CocktailBacard Art Of Cocktail
Bacard Art Of Cocktail
 
Combinatorics - Possible Solutions for given variables
Combinatorics - Possible Solutions for given variablesCombinatorics - Possible Solutions for given variables
Combinatorics - Possible Solutions for given variables
 

Ähnlich wie Bezpečnosť mobilných aplikácií (Martin Zajíček)

Bezpečnosť webových aplikácií (Martin Zajíček)
Bezpečnosť webových aplikácií (Martin Zajíček)Bezpečnosť webových aplikácií (Martin Zajíček)
Bezpečnosť webových aplikácií (Martin Zajíček)
DCIT, a.s.
 
isurus-cc-prezentacia-2016
isurus-cc-prezentacia-2016isurus-cc-prezentacia-2016
isurus-cc-prezentacia-2016
Jan Holy
 
The New Distrowatch – Bachelor's thesis (SK)
The New Distrowatch – Bachelor's thesis (SK)The New Distrowatch – Bachelor's thesis (SK)
The New Distrowatch – Bachelor's thesis (SK)
Jakub Žitný
 
Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)
Savione
 
Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)
wcsk
 
Presentation Bsp Skupina Bez Referencii
Presentation Bsp Skupina Bez ReferenciiPresentation Bsp Skupina Bez Referencii
Presentation Bsp Skupina Bez Referencii
zelinkova
 
Kpi zaverecny ukol
Kpi zaverecny ukolKpi zaverecny ukol
Kpi zaverecny ukol
miso3113
 
CCNA Semester 1 - Chapter 2
CCNA Semester 1 - Chapter 2CCNA Semester 1 - Chapter 2
CCNA Semester 1 - Chapter 2
benniSVK
 

Ähnlich wie Bezpečnosť mobilných aplikácií (Martin Zajíček) (20)

Bezpečnosť webových aplikácií (Martin Zajíček)
Bezpečnosť webových aplikácií (Martin Zajíček)Bezpečnosť webových aplikácií (Martin Zajíček)
Bezpečnosť webových aplikácií (Martin Zajíček)
 
Bezpečnosť v kontexte RIA technológií
Bezpečnosť v kontexte RIA technológiíBezpečnosť v kontexte RIA technológií
Bezpečnosť v kontexte RIA technológií
 
Synopsi Barcamp
Synopsi BarcampSynopsi Barcamp
Synopsi Barcamp
 
Synopsi Barcamp
Synopsi BarcampSynopsi Barcamp
Synopsi Barcamp
 
Php sec
Php secPhp sec
Php sec
 
Preco sa rozhodnut pre spolocnost Nethemba
Preco sa rozhodnut pre spolocnost NethembaPreco sa rozhodnut pre spolocnost Nethemba
Preco sa rozhodnut pre spolocnost Nethemba
 
macroscop prezentacia WIDE security s.r.o
macroscop prezentacia WIDE security s.r.omacroscop prezentacia WIDE security s.r.o
macroscop prezentacia WIDE security s.r.o
 
Zimbra: Vytvorte si privátny email cloud za 10 minút. Zadarmo.
Zimbra: Vytvorte si privátny email cloud za 10 minút. Zadarmo.Zimbra: Vytvorte si privátny email cloud za 10 minút. Zadarmo.
Zimbra: Vytvorte si privátny email cloud za 10 minút. Zadarmo.
 
isurus-cc-prezentacia-2016
isurus-cc-prezentacia-2016isurus-cc-prezentacia-2016
isurus-cc-prezentacia-2016
 
The New Distrowatch – Bachelor's thesis (SK)
The New Distrowatch – Bachelor's thesis (SK)The New Distrowatch – Bachelor's thesis (SK)
The New Distrowatch – Bachelor's thesis (SK)
 
Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)
 
Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)
 
responsive webdesign - vibration.sk
responsive webdesign - vibration.skresponsive webdesign - vibration.sk
responsive webdesign - vibration.sk
 
Presentation Bsp Skupina Bez Referencii
Presentation Bsp Skupina Bez ReferenciiPresentation Bsp Skupina Bez Referencii
Presentation Bsp Skupina Bez Referencii
 
Kpi zaverecny ukol
Kpi zaverecny ukolKpi zaverecny ukol
Kpi zaverecny ukol
 
Samuel Hopko & Daniel Rajčan - Cloud Computing
Samuel Hopko & Daniel Rajčan - Cloud ComputingSamuel Hopko & Daniel Rajčan - Cloud Computing
Samuel Hopko & Daniel Rajčan - Cloud Computing
 
Phone security
Phone securityPhone security
Phone security
 
Nový Symantec: čas prítomný a budúci
Nový Symantec: čas prítomný a budúciNový Symantec: čas prítomný a budúci
Nový Symantec: čas prítomný a budúci
 
Vývoj pre Google Android
Vývoj pre Google AndroidVývoj pre Google Android
Vývoj pre Google Android
 
CCNA Semester 1 - Chapter 2
CCNA Semester 1 - Chapter 2CCNA Semester 1 - Chapter 2
CCNA Semester 1 - Chapter 2
 

Mehr von DCIT, a.s.

Smerovanie IT bezpečnosti na Slovensku (Martin Zajíček)
Smerovanie IT bezpečnosti na Slovensku (Martin Zajíček)Smerovanie IT bezpečnosti na Slovensku (Martin Zajíček)
Smerovanie IT bezpečnosti na Slovensku (Martin Zajíček)
DCIT, a.s.
 
Implementace bezpecnostni politiky v organizaci
Implementace bezpecnostni politiky v organizaciImplementace bezpecnostni politiky v organizaci
Implementace bezpecnostni politiky v organizaci
DCIT, a.s.
 
Ľudský faktor – najslabší článok bezpečnosti (Martin Zajíček)
Ľudský faktor – najslabší článok bezpečnosti (Martin Zajíček)Ľudský faktor – najslabší článok bezpečnosti (Martin Zajíček)
Ľudský faktor – najslabší článok bezpečnosti (Martin Zajíček)
DCIT, a.s.
 
Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)
DCIT, a.s.
 
Auditing security of Oracle DB (Karel Miko)
Auditing security of Oracle DB (Karel Miko)Auditing security of Oracle DB (Karel Miko)
Auditing security of Oracle DB (Karel Miko)
DCIT, a.s.
 
Jen technická obrana nestačí (Jindřich Hlaváč)
Jen technická obrana nestačí (Jindřich Hlaváč)Jen technická obrana nestačí (Jindřich Hlaváč)
Jen technická obrana nestačí (Jindřich Hlaváč)
DCIT, a.s.
 
Interpretace výsledků penetračních testů (Karel Miko)
Interpretace výsledků penetračních testů (Karel Miko)Interpretace výsledků penetračních testů (Karel Miko)
Interpretace výsledků penetračních testů (Karel Miko)
DCIT, a.s.
 
Konfigurační standardy (Luboš Číž)
Konfigurační standardy (Luboš Číž)Konfigurační standardy (Luboš Číž)
Konfigurační standardy (Luboš Číž)
DCIT, a.s.
 
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)Bezpečnost otevřených a uzavřených řešení (Martin Mačok)
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)
DCIT, a.s.
 
Internet Banking Attacks (Karel Miko)
Internet Banking Attacks (Karel Miko)Internet Banking Attacks (Karel Miko)
Internet Banking Attacks (Karel Miko)
DCIT, a.s.
 

Mehr von DCIT, a.s. (11)

Osobní bezpečnost na internetu
Osobní bezpečnost na internetuOsobní bezpečnost na internetu
Osobní bezpečnost na internetu
 
Smerovanie IT bezpečnosti na Slovensku (Martin Zajíček)
Smerovanie IT bezpečnosti na Slovensku (Martin Zajíček)Smerovanie IT bezpečnosti na Slovensku (Martin Zajíček)
Smerovanie IT bezpečnosti na Slovensku (Martin Zajíček)
 
Implementace bezpecnostni politiky v organizaci
Implementace bezpecnostni politiky v organizaciImplementace bezpecnostni politiky v organizaci
Implementace bezpecnostni politiky v organizaci
 
Ľudský faktor – najslabší článok bezpečnosti (Martin Zajíček)
Ľudský faktor – najslabší článok bezpečnosti (Martin Zajíček)Ľudský faktor – najslabší článok bezpečnosti (Martin Zajíček)
Ľudský faktor – najslabší článok bezpečnosti (Martin Zajíček)
 
Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)
 
Auditing security of Oracle DB (Karel Miko)
Auditing security of Oracle DB (Karel Miko)Auditing security of Oracle DB (Karel Miko)
Auditing security of Oracle DB (Karel Miko)
 
Jen technická obrana nestačí (Jindřich Hlaváč)
Jen technická obrana nestačí (Jindřich Hlaváč)Jen technická obrana nestačí (Jindřich Hlaváč)
Jen technická obrana nestačí (Jindřich Hlaváč)
 
Interpretace výsledků penetračních testů (Karel Miko)
Interpretace výsledků penetračních testů (Karel Miko)Interpretace výsledků penetračních testů (Karel Miko)
Interpretace výsledků penetračních testů (Karel Miko)
 
Konfigurační standardy (Luboš Číž)
Konfigurační standardy (Luboš Číž)Konfigurační standardy (Luboš Číž)
Konfigurační standardy (Luboš Číž)
 
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)Bezpečnost otevřených a uzavřených řešení (Martin Mačok)
Bezpečnost otevřených a uzavřených řešení (Martin Mačok)
 
Internet Banking Attacks (Karel Miko)
Internet Banking Attacks (Karel Miko)Internet Banking Attacks (Karel Miko)
Internet Banking Attacks (Karel Miko)
 

Bezpečnosť mobilných aplikácií (Martin Zajíček)

  • 1. Bezpečnosť mobilných aplikácií ISACA Slovensko - ABIT 2011 Martin Zajíček, CISA, CRISC zajicek@dcit-consulting.sk DCIT Consulting http://www.dcit-consulting.sk
  • 2. Prehľad prednášky 1. Intro do problematiky 2. Základná architektúra/princíp mobilnej aplikácie 3. Okruhy slabín 4. Potenciálne problémové oblasti 5. Stručné resumé bezpečnej aplikácie 2 http://www.dcit-consulting.sk
  • 3. 1. Intro do problematiky Čo považujeme za mobilnú aplikáciu? • samostatná aplikácia bežiaca na mobilnom (SMART) telefóne História mobilných aplikácií.. • v minulosti sa vyskytovali a vyvíjali aplikácie takmer výhradne v JAVA-e – spravidla išlo o primitívne aplikácie s nie veľmi „cool“ vzhľadom • rozkvet mobilných aplikácii nastal až po štarte iPhone platformy spoločne s App Store • iPhone spoločne s Androidom najpoužívanejšia platforma 3 http://www.dcit-consulting.sk
  • 4. 1. Intro do problematiky (2) • mimo iPhone a Androidu sú používané Symbian, Windows Mobile a ďalšie ako napr. BADU, atď. • aj naďalej existencia JAVA aplikácií • z pohľadu bezpečnosti a testovania je potrebné venovať sa samostatne každej platforme – spravidla sú vyvíjané inými spoločnosťami alebo skupinami programátorov! 4 http://www.dcit-consulting.sk
  • 5. 2. Základná architektúra/princíp • sú používané rôzne prístupy • spravidla sieťová aplikácia komunikujúca so serverom (protokol HTTPS + JSON) – výmena dát • pri zabezpečení sa treba orientovať na bezpečnosť, ktorá je podobná viac bezpečnosti web služieb (web services - napr. SOAP) ako web aplikácií 5 http://www.dcit-consulting.sk
  • 6. 3. Okruhy slabín • podobnosť so štandardnými aplikáciami – klient/server, vstupy/výstupy • na strane servera − verejne prístupná služba HTTPS – prístup nielen pre mobilné aplikácie − nefunkčný update manažment, chybná implementácia SSL, chybná konfigurácia − špecifický middleware napr. pre podporu JSON a pod. – väčší potenciálny priestor existenciu slabín • na strane aplikácie − ošetrenie vstupov (SQL Injection!) − session manažment 6 http://www.dcit-consulting.sk
  • 7. 3. Okruhy slabín (2) • špecifické slabiny − oblasti, ktoré pri štandardných web aplikáciách sú podporované natívne internetovým prehliadačom a službami • cookies • chybové stavy − ukončenie činnosti aplikácie – je potrebné riešiť na strane servera (time-out + logout) i na strane klienta (odlogovanie + zmazanie informácií z pamäte) 7 http://www.dcit-consulting.sk
  • 8. 4. Potenciálne problémové oblasti • návrat do minulosti • spoliehanie sa na to, že aplikácia je „nedobytná“ a dostatočné chránená samotnou platformou– veľmi častý výskyt jailbreakingu/rootingu − filesystém – spôsob ukladania užívateľských a aplikačných dát (sandboxy) − cachovanie prihlasovacích parametrov a ich zmazanie pri ukončení práce • spoliehanie sa na to, že mobilné platformy nedisponujú hacking nástrojmi • sieťový prístup prostredníctvom nedôveryhodných sietí – možnosť odpočutia komunikácie, útoky MITM 8 http://www.dcit-consulting.sk
  • 9. 4. Potenciálne problémové oblasti (2) • výskyt malwaru (najmä Android) – asistencia užívateľa • častý výskyt mladých vývojárov bez dostatočného bezpečnostného backround-u • spôsob distribúcie a aktualizácie aplikácie • spôsob aktivácie aplikácie (odporúča sa) • výskyt SW, kopírujúceho funkcionalitu pôvodného SW, ktorý býva častokrát viac „cool“ 9 http://www.dcit-consulting.sk
  • 10. 5. Stručné resumé bezpečnej aplikácie Je potrebné venovať pozornosť • serverovej časti aplikácie • klientskej časti aplikácie • možnostiam prelomenia ochrany na úrovni OS, odpočúvania, či zmeny komunikácie • distribúcii SW • každej platforme samostatne Nezabúdať na možnosť a schopnosť zabezpečenia infraštruktúry po posledný firewall – za ním je prostredie mimo kontroly... 10 http://www.dcit-consulting.sk