Как два пальца: локальные атаки на мобильные приложения

RU / День 2 / 12:00 / Зал 1

Представим ситуацию, когда злоумышленник украл смартфон с установленным мобильным банком и при этом на смартфоне не установлен код блокировки, или злоумышленник предварительно подсмотрел этот код из-за плеча жертвы. Тогда единственное, что может ему помешать украсть все деньги со счетов пользователя, это авторизация в приложении и дополнительные проверки, которые были реализованы.

В докладе будут приведены примеры уязвимостей в Android и iOS приложениях, которые при таких условиях позволяют обойти авторизацию, и в дальнейшем выполнять любые действия от имени клиента банка. Дмитрий расскажет об атаках на некорректные реализации аутентификации по биометрии и на примитивные способы обнаружения root и jailbreak, проверки целостности и т.д. Также он приведет примеры корректных реализаций локальной аутентификации и дополнительных проверок и расскажет, как максимально усложнить задачу такому злоумышленнику.


Наши контакты