Seguridad práctica para aplicaciones móviles

Curso de formación impartido por un profesor

Resumen

Este curso de 32 horas proporciona a los participantes los conocimientos básicos y las habilidades prácticas para evaluar la seguridad de las aplicaciones móviles Android y iOS. Los participantes aprenden a través de prácticas de laboratorio para cada módulo, que incluyen escenarios y ejercicios únicos y personalizados basados en vulnerabilidades del mundo real, lo que les permite identificar y comprender los riesgos de seguridad de dispositivos móviles de forma eficaz.

Requisitos previos: los participantes deben tener las siguientes competencias técnicas:

  • Familiaridad con la CLI de Linux
  • Fundamentos de la programación orientada a objetos
  • Experiencia de pruebas de aplicaciones web

Se recomiendan las siguientes habilidades, aunque no son obligatorias para el curso:

  • Conocimiento de ensamblaje ARM/AARCH64
  • Experiencia de programación en Java, Kotlin, Swift u Objective-C
  • Experiencia haciendo pruebas de aplicaciones cliente pesadas
  • Experiencia haciendo pruebas de servicios web (REST, TalkBack, JSON)

Objetivos del curso

Después de completar este curso, los participantes deben saber lo siguiente:

  • Capacidad de prueba exhaustiva de aplicaciones móviles: los participantes saldrán de este curso preparados para probar aplicaciones del mundo real como hobby y de forma profesional. Esto incluye la posibilidad de descargar aplicaciones de un dispositivo móvil para analizarlas y superar obstáculos de seguridad habituales, como la detección de jailbreak o root, el pinning de certificados y el cifrado del almacenamiento local.
  • Experiencia con herramientas modernas y estándar del sector: los participantes estarán preparados para usar Corellium para administrar dispositivos, hacer un uso intensivo de Frida para manipular aplicaciones móviles en tiempo de ejecución y combinar otras herramientas y técnicas para completar evaluaciones de aplicaciones móviles. Los participantes también adquirirán los conocimientos y las habilidades necesarios para crear y usar su propio entorno de pruebas para satisfacer sus necesidades de pruebas.
  • Análisis estático y técnicas de ingeniería inversa: los participantes aprenderán flujos de trabajo y técnicas eficaces para el análisis estático y la ingeniería inversa. Este curso abarcará las estructuras y el contenido de los archivos APK de Android y los archivos IPA de iOS, así como la ingeniería inversa del bytecode de Dalvik, Objective-C y el ensamblaje de Swift (ARM). Estas habilidades cruciales permitirán a los participantes evaluar los mecanismos de almacenamiento de datos locales, las comunicaciones entre procesos, el uso de la plataforma y complementar la instrumentación dinámica con Frida.
  • Técnicas de evaluación de la comunicación entre procesos (IPC):los participantes adquirirán la capacidad de analizar y probar de forma eficaz mecanismos de IPC habituales tanto en Android como en iOS. Para ello, se identifican los componentes expuestos (como las actividades, los proveedores de contenido o los esquemas de URL), se interactúa con ellos mediante herramientas especializadas y se descubren posibles vulnerabilidades, como la filtración de datos o las acciones no autorizadas, mediante técnicas de fuzzing y de análisis específico.

A quién puede resultarle útil este curso

PMAS (Practical Mobile Application Security) es un curso técnico de ritmo rápido diseñado para proporcionar a los participantes experiencia real en la evaluación de aplicaciones móviles. El contenido está preparado para que los participantes tengan experiencia en conceptos básicos de seguridad, modelado de amenazas, programación orientada a objetos y ensamblaje limitado (ARM). Este curso será muy útil para los participantes que sean ingenieros de seguridad, desarrolladores de aplicaciones y testers de penetración.

Cómo funciona

Método de formación

Formación impartida por un profesor

Duración

  • 4 días (se imparte de forma presencial)
  • 5 días (se imparte de forma virtual)


Material necesario

Los participantes deben llevar su propio ordenador portátil con el navegador más reciente que prefieran y con capacidad para conectarse a Internet. Los participantes recibirán los materiales del curso y tendrán acceso a un entorno de pruebas durante la duración del curso.

Ve un paso más allá

Ponte en contacto con Mandiant Academy para obtener más información y programar tu curso hoy mismo.

Google Cloud