Pentesting Mobile Applications

Android Anwendungen statisch und dynamisch analysieren

Die Herausforderung: Risiken von Android Apps

Apps sind heutzutage auf allen Smartphones vorhanden und können für eine Vielzahl an Funktionalitäten genutzt werden. Doch so einfach die Entwicklung von Apps ist, so einfach ist  es auch, unbeabsichtigt sicherheitsrelevante Fehler in einer App zu übersehen. Da Apps zunehmend für kritische Aufgaben und in kritischen Bereichen innerhalb von Unternehmen  eingesetzt werden, ist es wichtig, von Apps ausgehende Gefahren zu kennen, zu erkennen und deren Risikopotenzial einschätzen zu können. Werden Apps extern entwickelt, so ist der Quelltext der App nicht zwangsläufig bekannt. Doch auch mit bekanntem Quelltext können Teile der App (bspw. Bibliotheken) unbekannte Funktionalität beinhalten.

 

Lösung: Aktuelle Analyseverfahren des Pentestings

In diesem Seminar werden unterschiedliche Techniken vorgestellt und von den Teilnehmern an Praxisbeispielen erprobt, die es erlauben, die Funktionalität von Android Apps zu  verstehen, und potenzielle Sicherheitsprobleme zu erkennen. Dabei werden sowohl statische als auch dynamische Analyseverfahren eingesetzt und deren Unterschiede im Detail  betrachtet. Teilnehmende des Seminars können anschließend die vorgestellten Tools selbstständig einsetzen, und für eigene Analysen nutzen.

Ihre Vorteile auf einen Blick

Nach dem Seminar können Sie…

…Risiken von Android Anwendungen einschätzen
…Schwachstellen analysieren und aktuelle Gefahren von Android Apps aufzeigen
…unterschiedliche Analyseverfahren je nach Anwendungsfall gezielt einsetzen  

Dieses Seminar bietet Ihnen…

…einen Schnelleinstieg in das Sicherheitsmodell von Android
...aktuelles Forschungswissen zu Sicherheitslücken von Android Anwendungen
…einen Überblick über Verfahren, und Tools zur Analyse
…Hands-on Analyse von Android Apps

Das Seminar im Überblick

Termin Auf Anfrage
Dauer 1 Tag Präsenz, 09:00 Uhr - 17:00 Ur
Kurssprache

Kurssprache: Deutsch / Englisch

Material: Englisch

Lernziel Teilnehmende verstehen das Sicherheitsmodell von Android und dessen Auswirkung auf Apps. Sie haben einen Überblick über verfügbare Analysewerkzeuge, deren Funktionsweise und Einsatzzwecke. Teilnehmende können die Analysetools zielgerichtet einsetzen und damit die Sicherheit einer Android App selbstständig beurteilen.
Zielgruppe Entwickler und Tester von Android Apps, Sicherheitsbeauftragte die über Einsatz von Apps entscheiden.
Voraussetzungen Grundkenntnisse Programmierung Java/C++ (bspw. Erfahrungen in der Entwicklung einer App) Basiswissen Android Anwendungen, wie Komponenten, Manifest und Permissions
Niveau Advanced
maximale Teilnehmerzahl 10 Teilnehmende
Veranstaltungsort
Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC), Lichtenbergstr. 11, 85748 Garching b. München
Teilnehmergebühr 600,00 Euro

– Bestandteile einer Android App: Welche Bestandteile sind für die Analyse wichtig, und wie kann man diese jeweils (Toolunterstützt) untersuchen?

– Sicherheitsmodell Android: Welche Eigenschaften des Android OS helfen bei der Analyse, bzw. machen Apps an sich sicherer?

– Typische Probleme von Android Apps: Wie sehen Fehler in Apps aus? Einzelne Probleme im Detail, kategorisiert anhand der OWASP Mobile Top 10

– Analysetechniken: Welche statischen und dynamischen Techniken sind prinzipiell möglich? Wo liegen die Grenzen einzelner Verfahren?

– Schwerpunkt des Seminars: gezielte Übungen zu statischen und dynamischen Analyseverfahren

– Anhand verschiedener Beispiele lernen Teilnehmende mit ausgewählten Tools (z. B. apktool, ARM disassembler, Frida, mitmproxy) umzugehen und deren Grenzen besser einzuschätzen

Dr. Dennis Titze

Dennis Titze ist seit 2012 wissenschaftlicher Mitarbeiter am Fraunhofer AISEC im Bereich Service & Application Security und seit 2018 Senior Scientist für mobile Anwendungen und Softwaresicherheit. Als Experte für die Sicherheit mobiler Endgeräte und Softwareanalyse ist Herr Titze verantwortlich für die Entwicklung von Sicherheitstools und die Sicherheitsanalyse von mobilen Anwendungen. Er hält Vorlesungen im Bereich Sichere Anwendungen und Software-Analyse an der Technischen Universität München und ist Autor zahlreicher Publikationen im Bereich Softwareanalyse.

Ihre Anfrage

* Pflichtfelder

Anrede
Name
Datenschutz
Newsletter