День, когда API-ключ ушел в свободное плавание: сценарии атак мобильных приложений глазами хакера

Почему стоит думать о безопасности мобильных приложений еще на этапе разработки? В докладе я предлагаю посмотреть на мобильное приложение так, как это делает злоумышленник: изучим, где и как можно атаковать приложение, что из этого можно извлечь и какие ошибки могут дорого обойтись разработчику.

Это будет выполнено на примерах реальных уязвимостей из практики. Разберем поверхность атак на мобильные приложения — подробно расскажу о:

• 0-click атаках, которые не требуют взаимодействия пользователя;
• 1-click атаках, при которых пользователь взаимодействует с вредоносной ссылкой или компонентом;
• других векторах — злоумышленном ПО, атаках с физическим доступом.

Рассмотрим примеры реальных уязвимостей, которые могут быть обнаружены в приложении. Поговорим, к чему они могут привести и как можно от них защититься.

Будет интересно мобильным разработчикам, инженерам по безопасности и архитекторам, которым важно понимать, как их решения могут быть использованы против них.

Технологии: Kotlin/Java, Android SDK, Jetpack Navigation, ProGuard, WebView, adb и Frida, mitmproxy.