Practical Mobile Application Security

In diesem 32-stündigen Kurs erhalten Teilnehmer das grundlegende Wissen und die praktischen Fähigkeiten, um die Sicherheit von Android- und iOS-Anwendungen zu bewerten. Die Teilnehmer lernen in praktischen Labs für jedes Modul, die einzigartige, speziell entwickelte Szenarien und Übungen auf Basis von realen Sicherheitslücken umfassen. So können sie mobile Sicherheitsrisiken effektiv erkennen und verstehen.

Voraussetzungen: Die Teilnehmer müssen über folgende technische Kenntnisse verfügen:

• Vertrautheit mit der Linux-Kommandozeile
• Grundlagen der objektorientierten Programmierung
• Erfahrung mit dem Testen von Webanwendungen

Die folgenden Kenntnisse sind zwar nicht erforderlich, werden aber empfohlen:

• Kenntnisse bzgl. ARM/AARCH64 Assembly
• Programmierkenntnisse in Java, Kotlin, Swift oder Objective-C
• Erfahrung mit dem Testen von Thick-Client-Anwendungen
• Erfahrung mit dem Testen von Webdiensten (REST, SOAP, JSON)

Nach Abschluss dieses Kurses sollten die Teilnehmenden Folgendes verstehen:

• Umfassende Testmöglichkeiten für mobile Anwendungen: Die Teilnehmenden sind nach Abschluss des Kurses in der Lage, Anwendungen aus der Praxis als Hobby oder beruflich zu testen. Dazu gehört auch die Möglichkeit, Anwendungen von einem Mobilgerät zur Analyse herunterzuladen und gängige Sicherheitshürden zu überwinden, wie z. B. Jailbreak-/Root-Erkennung, Zertifikats-Pinning und lokale Speicherverschlüsselung.
• Erfahrung mit branchenüblichen und modernen Tools: Die Teilnehmenden werden in der Lage sein, Corellium zur Verwaltung von Geräten zu verwenden, Frida zur Manipulation von mobilen Anwendungen zur Laufzeit umfassend zu nutzen und verschiedene andere Tools und Techniken zur Durchführung von Bewertungen mobiler Anwendungen zu kombinieren. Die Teilnehmer erhalten auch das Wissen und die Fähigkeiten, um ihre eigene Testumgebung zu erstellen und zu nutzen, um ihre Testanforderungen zu erfüllen.
• Techniken für die statische Analyse und das Reverse Engineering: Die Teilnehmenden lernen effektive Workflows und Techniken für die statische Analyse und das Reverse Engineering. In diesem Kurs werden die Strukturen und Inhalte von Android-APK-Dateien und iOS-IPA-Dateien sowie das Reverse-Engineering von Dalvik-Bytecode, Objective-C und Swift-Assembly (ARM) behandelt. Mit diesen wichtigen Fähigkeiten können die Teilnehmer lokale Datenspeichermechanismen, Interprozesskommunikation, Plattformnutzung und dynamische Instrumentierung mit Frida bewerten.
• Bewertungstechniken für Inter-Process Communication (IPC): Die Teilnehmer lernen, gängige IPC-Mechanismen sowohl auf Android als auch auf iOS effektiv zu analysieren und zu testen. Dazu gehören die Identifizierung exponierter Komponenten (wie Aktivitäten, Inhaltsanbieter oder URL-Schemas), die Interaktion mit ihnen mithilfe spezieller Tools und die Entdeckung potenzieller Sicherheitslücken wie Datenlecks oder nicht autorisierter Aktionen durch Fuzzing und gezielte Analysetechniken.

PMAS (Practical Mobile Application Security) ist ein zügiger technischer Kurs, der den Teilnehmern praktische Erfahrung beim Bewerten von mobilen Anwendungen vermitteln soll. Die Inhalte sind für Teilnehmer mit einem Hintergrund in Sicherheit, Bedrohungsmodellierung und objektorientierter Programmierung gedacht, die über Grundkenntnisse im Bereich Assembly (ARM) verfügen. Der Kurs ist besonders für Sicherheitsingenieure, Anwendungsentwickler und Penetrationstester geeignet.

Präsenzschulungen

• 4 Tage (Präsenzkurs)
• 5 Tage (virtueller Kurs)

Teilnehmer sollten ihren eigenen Laptop mit dem neuesten Browser ihrer Wahl und der Möglichkeit, eine Internetverbindung herzustellen, mitbringen. Teilnehmer erhalten während des Kurses Kursmaterialien und Zugriff auf eine Testumgebung.