Pentesting Mobile Applications

Android Anwendungen statisch und dynamisch analysieren

Die Herausforderung: Android Anwendungen statisch und dynamisch analysieren. Mehr und mehr Unternehmen setzen für sicherheitskritische Aufgaben Apps ein. Von diesen gehen aber zunehmend größere Gefahren aus. Dieses Seminar hilft Ihnen dabei Risikopotenziale zu erkennen und abzuwehren. Erlernen Sie verschiedene Techniken anhand von Praxisbeispielen, die Ihnen die Funktionalität sowie Sicherheitsprobleme aufzeigen. Sie profitieren von statischen als auch dynamischen Analyseverfahren und deren Anwendungstools.

Android App - apktool - ARM disassembler - Frida - mitmproxy
© Istock
Cybersecurity concept

Die Herausforderung: Risiken von Android Apps

Apps sind heutzutage auf allen Smartphones vorhanden und können für eine Vielzahl an Funktionalitäten genutzt werden. Doch so einfach die Entwicklung von Apps ist, so einfach ist  es auch, unbeabsichtigt sicherheitsrelevante Fehler in einer App zu übersehen. Da Apps zunehmend für kritische Aufgaben und in kritischen Bereichen innerhalb von Unternehmen  eingesetzt werden, ist es wichtig, von Apps ausgehende Gefahren zu kennen, zu erkennen und deren Risikopotenzial einschätzen zu können. Werden Apps extern entwickelt, so ist der Quelltext der App nicht zwangsläufig bekannt. Doch auch mit bekanntem Quelltext können Teile der App (bspw. Bibliotheken) unbekannte Funktionalität beinhalten.

Lösung: Aktuelle Analyseverfahren des Pentestings

In diesem Seminar werden unterschiedliche Techniken vorgestellt und von den Teilnehmern an Praxisbeispielen erprobt, die es erlauben, die Funktionalität von Android Apps zu  verstehen, und potenzielle Sicherheitsprobleme zu erkennen. Dabei werden sowohl statische als auch dynamische Analyseverfahren eingesetzt und deren Unterschiede im Detail  betrachtet. Teilnehmende des Seminars können anschließend die vorgestellten Tools selbstständig einsetzen, und für eigene Analysen nutzen.

 

Ihre Vorteile auf einen Blick

 

Nach dem Seminar können Sie…

  • Risiken von Android Anwendungen einschätzen
  • Schwachstellen analysieren und aktuelle Gefahren von Android Apps aufzeigen
  • unterschiedliche Analyseverfahren je nach Anwendungsfall gezielt einsetzen  

Dieses Seminar bietet Ihnen…

  • einen Schnelleinstieg in das Sicherheitsmodell von Android
  • aktuelles Forschungswissen zu Sicherheitslücken von Android Anwendungen
  • einen Überblick über Verfahren, und Tools zur Analyse
  • Hands-on Analyse von Android Apps
ÜBERBLICK
Veranstaltungstyp
Seminar
Format
Präsenz
Abschluss
Teilnahmebescheinigung
Zugangsvoraussetzung
Grundkenntnisse Programmierung Java/C++ (bspw. Erfahrungen in der Entwicklung einer App) Basiswissen Android Anwendungen, wie Komponenten, Manifest und Permissions
Termine, Anmeldefrist und Ort
  • Auf Anfrage
Dauer/ Ablauf
1 Tag Präsenz, 09:00 Uhr - 17:00 Uhr
Sprache
Deutsch
Teilnahmegebühr
600,00 Euro
ZIELGRUPPE
  • Entwickler und Tester von Android Apps
  • Sicherheitsbeauftragte die über Einsatz von Apps entscheiden.
INHALTE
  • Bestandteile einer Android App: Welche Bestandteile sind für die Analyse wichtig, und wie kann man diese jeweils (Toolunterstützt) untersuchen?
  • Sicherheitsmodell Android: Welche Eigenschaften des Android OS helfen bei der Analyse, bzw. machen Apps an sich sicherer?
  • Typische Probleme von Android Apps: Wie sehen Fehler in Apps aus? Einzelne Probleme im Detail, kategorisiert anhand der OWASP Mobile Top 10
  • Analysetechniken: Welche statischen und dynamischen Techniken sind prinzipiell möglich? Wo liegen die Grenzen einzelner Verfahren?
  • Schwerpunkt des Seminars: gezielte Übungen zu statischen und dynamischen Analyseverfahren
  • Anhand verschiedener Beispiele lernen Teilnehmende mit ausgewählten Tools (z. B. apktool, ARM disassembler, Frida, mitmproxy) umzugehen und deren Grenzen besser einzuschätzen
LERNZIELE

Teilnehmende verstehen das Sicherheitsmodell von Android und dessen Auswirkung auf Apps. Sie haben einen Überblick über verfügbare Analysewerkzeuge, deren Funktionsweise und Einsatzzwecke. Teilnehmende können die Analysetools zielgerichtet einsetzen und damit die Sicherheit einer Android App selbstständig beurteilen.

REFERENTEN

Dr. Dennis Titze

Dennis Titze ist seit 2012 wissenschaftlicher Mitarbeiter am Fraunhofer AISEC im Bereich Service & Application Security und seit 2018 Senior Scientist für mobile Anwendungen und Softwaresicherheit. Als Experte für die Sicherheit mobiler Endgeräte und Softwareanalyse ist Herr Titze verantwortlich für die Entwicklung von Sicherheitstools und die Sicherheitsanalyse von mobilen Anwendungen. Er hält Vorlesungen im Bereich Sichere Anwendungen und Software-Analyse an der Technischen Universität München und ist Autor zahlreicher Publikationen im Bereich Softwareanalyse.