Как два пальца: локальные атаки на мобильные приложения

RU / День 1 / 17:30 / Зал 2

Представим ситуацию, когда злоумышленник украл смартфон с установленным мобильным банком и при этом на смартфоне не установлен код блокировки, или злоумышленник предварительно подсмотрел этот код из-за плеча жертвы. Тогда единственное, что может ему помешать украсть все деньги со счетов пользователя, это авторизация в приложении и дополнительные проверки, которые были реализованы.

В докладе будут приведены примеры уязвимостей в Android и iOS приложениях, которые при таких условиях позволяют обойти авторизацию, и в дальнейшем выполнять любые действия от имени клиента банка. Дмитрий расскажет об атаках на некорректные реализации аутентификации по биометрии и на примитивные способы обнаружения root и jailbreak, проверки целостности и т.д. Также он приведет примеры корректных реализаций локальной аутентификации и дополнительных проверок и расскажет, как максимально усложнить задачу такому злоумышленнику.

Комментарий программного комитета:

Доклад будет полезен всем мобильным разработчикам, ведь безопасность — неотъемлемое требование. Но особенно он поможет тем, чьи данные нужно защищать особенно тщательно, например, авторам банковских или корпоративных приложений.