Practical Mobile Application Security

In diesem 32-stündigen Kurs erhalten Teilnehmer das grundlegende Wissen und die praktischen Fähigkeiten, um die Sicherheit von Android- und iOS-Anwendungen zu bewerten. Die Teilnehmer lernen in praktischen Labs für jedes Modul, die einzigartige, speziell entwickelte Szenarien und Übungen auf Basis von realen Sicherheitslücken umfassen. So können sie mobile Sicherheitsrisiken effektiv erkennen und verstehen.

Voraussetzungen: Teilnehmende müssen über folgende technische Kenntnisse verfügen:

• Vertrautheit mit der Linux-Kommandozeile
• Grundlagen der objektorientierten Programmierung
• Erfahrung im Testen von Webanwendungen

Die folgenden Kenntnisse sind zwar nicht erforderlich, werden aber für den Kurs empfohlen:

• Kenntnisse bzgl. ARM/AARCH64 Assembly
• Programmierkenntnisse in Java, Kotlin, Swift oder Objective-C
• Testen von Thick-Client-Anwendungen
• Erfahrung mit dem Testen von Webdiensten (REST, SOAP, JSON)

Nach Abschluss dieses Kurses sollten die Teilnehmenden Folgendes verstehen:

• Umfassende Testmöglichkeiten für mobile Anwendungen: Nach diesem Kurs können die Teilnehmenden reale Anwendungen testen – sowohl privat als auch beruflich. Dazu gehört das Herunterladen von Anwendungen von einem Mobilgerät zur Analyse und das Überwinden häufiger Sicherheitshürden wie Jailbreak-/Root-Erkennung, Certificate Pinning und lokale Speicherverschlüsselung.
• Erfahrung mit branchenüblichen und modernen Tools: Die Teilnehmenden können Corellium verwenden, um Geräte zu verwalten, Frida umfassend zu nutzen, um mobile Anwendungen zur Laufzeit zu manipulieren, und verschiedene andere Tools und Techniken kombinieren, um mobile Anwendungen zu bewerten. Außerdem lernen die Teilnehmenden, wie sie ihre eigene Testumgebung erstellen und nutzen können, um ihre Testanforderungen zu erfüllen.
• Statische Analyse und Reverse-Engineering-Techniken: Die Teilnehmer lernen effektive Workflows und Techniken für die statische Analyse und das Reverse Engineering kennen. In diesem Kurs werden die Strukturen und Inhalte von Android-APK-Dateien und iOS-IPA-Dateien sowie das Reverse Engineering von Dalvik-Bytecode, Objective-C und Swift-Assembly (ARM) behandelt. Mit diesen wichtigen Fähigkeiten können die Teilnehmenden lokale Datenspeichermechanismen, die Kommunikation zwischen Prozessen und die Plattformnutzung bewerten und die dynamische Instrumentierung mit Frida ergänzen.
• Bewertungstechniken für Inter-Process Communication (IPC): Die Teilnehmer lernen, gängige IPC-Mechanismen sowohl auf Android als auch auf iOS effektiv zu analysieren und zu testen. Dabei werden exponierte Komponenten (wie Aktivitäten, Contentanbieter oder URL-Schemas) identifiziert, mit speziellen Tools interagiert und potenzielle Sicherheitslücken wie Datenlecks oder unbefugte Aktionen durch Fuzzing und gezielte Analysetechniken aufgedeckt.

PMAS (Practical Mobile Application Security) ist ein technischer Kurs, der Teilnehmern schnell und praxisnah die Bewertung von mobilen Anwendungen vermittelt. Die Inhalte sind für Teilnehmer mit einem Hintergrund in Sicherheit, Bedrohungsmodellierung und objektorientierter Programmierung gedacht, die über Grundkenntnisse im Bereich Assembly (ARM) verfügen. Teilnehmer, die als Sicherheitsingenieure, Anwendungsentwickler oder Penetrationstester arbeiten, werden diesen Kurs am hilfreichsten finden.

Präsenzschulungen

• 4 Tage (Präsenzkurs)
• 5 Tage (virtueller Kurs)

Teilnehmer sollten ihren eigenen Laptop mit dem neuesten Browser ihrer Wahl und der Möglichkeit, eine Internetverbindung herzustellen, mitbringen. Teilnehmer erhalten während des Kurses Kursmaterialien und Zugriff auf eine Testumgebung.