Sicurezza pratica delle applicazioni mobili

Questo corso di 32 ore fornisce ai partecipanti le conoscenze fondamentali e le competenze pratiche per valutare la sicurezza delle applicazioni mobile Android e iOS. I partecipanti imparano attraverso i lab pratici di ogni modulo, con scenari ed esercizi unici e sviluppati su misura in base a vulnerabilità reali, che consentono di identificare e comprendere in modo efficace i rischi per la sicurezza mobile.

Prerequisiti: i partecipanti devono possedere le seguenti competenze tecniche:

• Dimestichezza con l'interfaccia a riga di comando di Linux
• Nozioni di base della programmazione orientata agli oggetti
• Esperienza di test delle applicazioni web

Le seguenti competenze sono consigliate, sebbene non obbligatorie per il corso:

• Conoscenza dell'assemblatore ARM/AARCH64
• Esperienza di programmazione in Java, Kotlin, Swift o Objective-C
• Esperienza di test di applicazioni thick-client
• Esperienza di test dei servizi web (REST, SOAP, JSON)

Al termine del corso, i partecipanti dovrebbero aver ottenuto:

• Capacità di test completo delle applicazioni mobile: i partecipanti a questo corso saranno pronti a testare le applicazioni reali sia come hobby che professionalmente. Ciò include la possibilità di scaricare applicazioni da un dispositivo mobile per l'analisi e di superare ostacoli di sicurezza comuni come il rilevamento di jailbreak/root, il pinning dei certificati e la crittografia dello spazio di archiviazione locale.
• Esperienza con strumenti moderni e conformi allo standard di settore: i partecipanti saranno pronti a utilizzare Corellium per amministrare i dispositivi, a fare ampio uso di Frida per manipolare le applicazioni mobile in fase di runtime e a combinare vari altri strumenti e tecniche per completare le valutazioni delle applicazioni mobile. I partecipanti acquisiranno anche le conoscenze e le capacità necessarie per creare e utilizzare il proprio ambiente di test al fine di soddisfare le proprie esigenze di test.
• Tecniche di analisi statica e reverse engineering: i partecipanti impareranno workflow e tecniche efficaci per l'analisi statica e il reverse engineering. Questo corso tratterà le strutture e i contenuti dei file APK per Android e dei file IPA per iOS, oltre al reverse engineering del bytecode Dalvik, di Objective-C e dell'assemblatore Swift (ARM). Queste competenze fondamentali consentiranno ai partecipanti di valutare i meccanismi di archiviazione dei dati locali, le comunicazioni interprocessuali, l'utilizzo della piattaforma e di integrare la strumentazione dinamica con Frida.
• Tecniche di valutazione della comunicazione interprocessi (IPC): i partecipanti acquisiranno la capacità di analizzare e testare in modo efficace i meccanismi IPC comuni su Android e iOS. Ciò comporta l'identificazione dei componenti esposti (come Attività, Fornitori di contenuti o Schemi URL), l'interazione con questi componenti mediante strumenti specializzati e la scoperta di potenziali vulnerabilità come perdite di dati o azioni non autorizzate mediante tecniche di analisi mirate e fuzz testing.

PMAS (Practical Mobile Application Security) è un corso tecnico veloce progettato per fornire ai partecipanti un'esperienza reale nella valutazione delle applicazioni mobile. I contenuti sono preparati per i partecipanti che possiedono un background in sicurezza di base, threat modeling, programmazione orientata agli oggetti ed esperienza limitata con gli assemblatori (ARM). Questo corso è particolarmente utile per i partecipanti che sono Security Engineer, sviluppatori di applicazioni e tester di penetrazione.

Formazione con istruttore (ILT) in aula

• 4 giorni (formazione in presenza)
• 5 giorni (formazione virtuale)

I partecipanti devono portare il proprio laptop con l'ultima versione del browser scelto e la possibilità di connettersi a internet. I partecipanti riceveranno i materiali del corso e avranno accesso a un ambiente di test durante la durata del corso.