Sicurezza pratica delle applicazioni mobili

Questo corso di 32 ore fornisce ai partecipanti le conoscenze fondamentali e le competenze pratiche per valutare la sicurezza delle applicazioni mobile Android e iOS. I partecipanti imparano attraverso i lab pratici di ogni modulo, con scenari ed esercizi unici e sviluppati su misura in base a vulnerabilità reali, che consentono di identificare e comprendere in modo efficace i rischi per la sicurezza mobile.

Prerequisiti: i partecipanti devono possedere le seguenti competenze tecniche:

• Familiarità con l'interfaccia a riga di comando Linux
• Fondamenti della programmazione orientata agli oggetti
• Esperienza di test di applicazioni web

Le seguenti competenze sono consigliate, anche se non richieste per il corso:

• Familiarità con l'assemblaggio ARM/AARCH64
• Esperienza di programmazione in Java, Kotlin, Swift o Objective-C
• Esperienza di test di applicazioni thick-client
• Esperienza di test di servizi web (REST, SOAP, JSON)

Al termine del corso, i partecipanti dovrebbero aver ottenuto:

• Funzionalità complete per il test di applicazioni mobile: i partecipanti lasceranno questo corso pronti a testare applicazioni reali per hobby e a livello professionale. Ciò include la possibilità di scaricare applicazioni da un dispositivo mobile per l'analisi e di superare gli ostacoli comuni alla sicurezza, tra cui il rilevamento di jailbreak/root, il blocco dei certificati e la crittografia dell'archiviazione locale.
• Esperienza con strumenti moderni e standard di settore: i partecipanti saranno pronti a utilizzare Corellium per amministrare i dispositivi, a fare un uso estensivo di Frida per manipolare le applicazioni mobili in fase di runtime e a combinare vari altri strumenti e tecniche per completare le valutazioni delle applicazioni mobili. I partecipanti acquisiranno anche le conoscenze e le capacità necessarie per creare e utilizzare il proprio ambiente di test al fine di soddisfare le proprie esigenze di test.
• Tecniche di analisi statica e di reverse engineering: i partecipanti impareranno workflow e tecniche efficaci per l'analisi statica e il reverse engineering. Questo corso tratterà le strutture e i contenuti dei file APK per Android e dei file IPA per iOS, oltre al reverse engineering del bytecode Dalvik, di Objective-C e dell'assemblatore Swift (ARM). Queste competenze cruciali consentiranno ai partecipanti di valutare i meccanismi di archiviazione dei dati locali, le comunicazioni tra processi, l'utilizzo della piattaforma e di integrare la strumentazione dinamica con Frida.
• Tecniche di valutazione della comunicazione interprocesso (IPC, Inter-Process Communication): i partecipanti acquisiranno la capacità di analizzare e testare in modo efficace i meccanismi IPC comuni sia su Android che su iOS. Ciò comporta l'identificazione dei componenti esposti (come Attività, Fornitori di contenuti o Schemi URL), l'interazione con questi componenti mediante strumenti specializzati e la scoperta di potenziali vulnerabilità come perdite di dati o azioni non autorizzate mediante tecniche di analisi mirate e fuzz testing.

PMAS (Practical Mobile Application Security) è un corso tecnico intensivo progettato per fornire ai partecipanti un'esperienza reale nella valutazione delle applicazioni mobile. I contenuti sono preparati per i partecipanti che possiedono un background in sicurezza di base, threat modeling, programmazione orientata agli oggetti ed esperienza limitata con gli assemblatori (ARM). Questo corso è particolarmente utile per i partecipanti che sono Security Engineer, sviluppatori di applicazioni e tester di penetrazione.

Formazione con istruttore in classe

• 4 giorni (formazione in presenza)
• 5 giorni (formazione virtuale)

I partecipanti devono portare il proprio laptop con l'ultima versione del browser scelto e la possibilità di connettersi a internet. I partecipanti riceveranno i materiali del corso e l'accesso a un ambiente di test per tutta la durata del corso.