Seguridad práctica para aplicaciones móviles

Este curso de cuatro días está diseñado para enseñar a los estudiantes los aspectos básicos de la seguridad de las aplicaciones móviles en los sistemas operativos para móviles Google Android y Apple iOS. Enseña la metodología, las herramientas y la experiencia necesarias para evaluar la seguridad de las aplicaciones móviles.

Requisitos: tener experiencia en conceptos básicos de seguridad, modelado de amenazas, CLI de Linux, programación orientada a objetos y pruebas de aplicaciones web. Se recomienda, pero no es obligatorio:

• Conocimiento de ensamblaje ARM/AArch64
• Experiencia de programación en Java, Kotlin, Swift u Objective-C
• Experiencia haciendo pruebas de aplicaciones cliente pesadas
• Experiencia haciendo pruebas de servicios web (REST, TalkBack, JSON)

Después de completar este curso, los alumnos deberían ser capaces de hacer lo siguiente:

• Describir los modelos de seguridad de dispositivos y aplicaciones para los sistemas operativos Android y iOS, así como sus funciones de seguridad
• Crear y configurar un entorno de pruebas para plataformas Android y iOS teniendo en cuenta los conceptos de jailbreaking, rooting y otros conceptos
• Llevar a cabo análisis estáticos de archivos APK e IPA en un entorno de laboratorio práctico que abarca los lenguajes Dalvik Bytecode de Android y el ensamblaje Swift y Objective-C compilado por Apple
• Descubrir qué datos deben almacenarse y dónde se debe almacenar, cómo se debe acceder a ellos y qué dificultades se asocian al almacenamiento inadecuado de los datos
• Analizar la comunicación entre procesos mediante la interacción con los componentes expuestos de ambas plataformas y su análisis
• Interceptar y modificar de forma fiable las comunicaciones de red para eludir las funciones de seguridad, como la fijación de certificados, teniendo en cuenta la superposición y las diferencias entre las pruebas de las APIs de aplicaciones móviles y la evaluación de las aplicaciones web tradicionales
• Usar herramientas comunes de instrumentación binaria dinámica (DBI) para probar aplicaciones y analizar código y datos en situaciones como, por ejemplo, eludir la detección de jailbreak/root, o la fijación de certificados
• Poner en riesgo una aplicación de prueba, enumerar tantas vulnerabilidades como sea posible y tener en cuenta recomendaciones para mejorar la seguridad de la aplicación

Ingenieros de seguridad, desarrolladores de aplicaciones y testers de penetración.

Formación impartida por un profesor

4 días