Bezpečnost a hacking Android aplikací

Používáte zařízení s Androidem? Pak zbystřete. 

Na základě nedávno zveřejněné zprávy od společnosti Google vzrostl meziročně počet stažení potenciálně škodlivých aplikací, které mohou nebezpečně ovlivnit uživatelovo soukromí. Podle předních odborníků na kybernetickou bezpečnost a etický hacking je pak největší hrozbou pro mobilní zařízení s Androidem právě narůstající malware. 

Vývojáři mohou Android snadno rootovat

Penetrační tester Roman Kümmel radí uživatelům mít vždy nainstalovonaou poslední verzi operačního systému a důkladně prověřovat aplikace, které nejsou obecně populární a nebo vyžadují příliš mnoho zbytečných práv pro svou funkčnost. Avšak rozšířenost aplikace není samozřejmě její bezpečnostní zárukou. 

Zásadní problém spatřuje Roman Kümmel i v tom, že řada mobilních zařízení není zařazena do programu Android One zajišťující tzv. "čistý Android". Bezpečnost pak v tomto případě leží převážně na straně výrobců mobilních zařízení, kteří si systém Android přizpůsobují podle sebe a v neposlední řadě také na vývojářích mobilních aplikací. 

Android je totiž otevřený zdrojový systém, který mohou vývojáři celkem snadno rootovat (překonat softwarová omezení výrobců mobilních zařízení a nainstalovat neautorizované programy). A to je právě základním kamenem úrazu v bezpečnosti Android zařízení. Obzvláště pak v České republice a Evropě, ve které je systém Android hojně využíván v soukromé i státní sféře.   

Jak přistoupit k bezpečnosti Android aplikací?

Pokud se chcete o všech zranitelnostech Androidu dozvědět více, doporučujeme kurz Bezpečnost a hacking Android aplikací [GOC56]. Na tomto intezivním pětidenním kurzu se účastníci seznámí s metodami, pomocí kterých bývají vedeny útoky proti aplikacím běžících na platformě Android a jejím uživatelům.

Tento jedinečný kurz vám umožní do detailu pochopit i vyzkoušet metody, pomocí kterých bývají vedeny útoky proti aplikacím běžících na platformě Android a jejím uživatelům. V průběhu kurzu si postupně vysvětlíme i vyzkoušíme vše, co potřebujete znát pro obranu proti technikám mnoha typů těchto útoků, jež mohou vyústit až v plné ovládnutí mobilního zařízení.

Osnova kurzu

• Architektura Android OS
• Anatomie APK aplikací
• Nástroje pro penetrační testování na platformě Android
• Nejčastější zranitelnosti mobilních aplikací
• Bezpečnostní mechanismy Androidu
• Insecure Data Storage
• Log Leakage
• Reverzování APK aplikací
• Statická analýza kódu
• Broken Cryptography
• Poor Authorization and Authentication
• Insufficient Transport Layer Protection
• APK repackage
• Hidden APK
• Client Side Injection
• Obfuscace kódu
• Weak Server Side Controls
• Checklisty penetračního testování mobilních aplikací

Více info