Seguridad práctica para aplicaciones móviles

Este curso de 32 horas proporciona a los participantes los conocimientos básicos y las habilidades prácticas para evaluar la seguridad de las aplicaciones móviles Android y iOS. Los participantes aprenden a través de prácticas de laboratorio para cada módulo, que incluyen escenarios y ejercicios únicos y personalizados basados en vulnerabilidades del mundo real, lo que les permite identificar y comprender los riesgos de seguridad de dispositivos móviles de forma eficaz.

Requisitos previos: los participantes deben tener las siguientes competencias técnicas:

• Familiaridad con la CLI de Linux
• Fundamentos de la programación orientada a objetos
• Experiencia de pruebas de aplicaciones web

Se recomiendan las siguientes habilidades, aunque no son obligatorias para el curso:

• Conocimiento de ensamblaje ARM/AARCH64
• Experiencia de programación en Java, Kotlin, Swift u Objective-C
• Experiencia haciendo pruebas de aplicaciones cliente pesadas
• Experiencia haciendo pruebas de servicios web (REST, TalkBack, JSON)

Después de completar este curso, los participantes deben saber lo siguiente:

• Capacidad de prueba exhaustiva de aplicaciones móviles: los participantes saldrán de este curso preparados para probar aplicaciones del mundo real como hobby y de forma profesional. Esto incluye la posibilidad de descargar aplicaciones de un dispositivo móvil para analizarlas y superar obstáculos de seguridad habituales, como la detección de jailbreak o root, el pinning de certificados y el cifrado del almacenamiento local.
• Experiencia con herramientas modernas y estándar del sector: los participantes estarán preparados para usar Corellium para administrar dispositivos, hacer un uso intensivo de Frida para manipular aplicaciones móviles en tiempo de ejecución y combinar otras herramientas y técnicas para completar evaluaciones de aplicaciones móviles. Los participantes también adquirirán los conocimientos y las habilidades necesarios para crear y usar su propio entorno de pruebas para satisfacer sus necesidades de pruebas.
• Análisis estático y técnicas de ingeniería inversa: los participantes aprenderán flujos de trabajo y técnicas eficaces para el análisis estático y la ingeniería inversa. Este curso abarcará las estructuras y el contenido de los archivos APK de Android y los archivos IPA de iOS, así como la ingeniería inversa del bytecode de Dalvik, Objective-C y el ensamblaje de Swift (ARM). Estas habilidades cruciales permitirán a los participantes evaluar los mecanismos de almacenamiento de datos locales, las comunicaciones entre procesos, el uso de la plataforma y complementar la instrumentación dinámica con Frida.
• Técnicas de evaluación de la comunicación entre procesos (IPC):los participantes adquirirán la capacidad de analizar y probar de forma eficaz mecanismos de IPC habituales tanto en Android como en iOS. Para ello, se identifican los componentes expuestos (como las actividades, los proveedores de contenido o los esquemas de URL), se interactúa con ellos mediante herramientas especializadas y se descubren posibles vulnerabilidades, como la filtración de datos o las acciones no autorizadas, mediante técnicas de fuzzing y de análisis específico.

PMAS (Practical Mobile Application Security) es un curso técnico de ritmo rápido diseñado para proporcionar a los participantes experiencia real en la evaluación de aplicaciones móviles. El contenido está preparado para que los participantes tengan experiencia en conceptos básicos de seguridad, modelado de amenazas, programación orientada a objetos y ensamblaje limitado (ARM). Este curso será muy útil para los participantes que sean ingenieros de seguridad, desarrolladores de aplicaciones y testers de penetración.

Formación impartida por un profesor

• 4 días (se imparte de forma presencial)
• 5 días (se imparte de forma virtual)

Los participantes deben llevar su propio ordenador portátil con el navegador más reciente que prefieran y con capacidad para conectarse a Internet. Los participantes recibirán los materiales del curso y tendrán acceso a un entorno de pruebas durante la duración del curso.