3. Aplikačná bezpečnosť Z pohľadu aplikácie Keď dodáme túto aplikáciu, aká je jej bezpečnosť Trochu užívateľského pohľadu Dokumentovať riziká Ukradnutie
7. Mobilné aplikácie nie sú na trhu dostatočne dlho Pre klient-server app sa dá použiť subset OWASPu V závislosti od aplikácie je možné preskočiť časti ako napríklad XSS alebo JavaScript útoky
8. SQL Injection a iné časti je dobré použiť Veľa potenciálnych bodov nepokrýva žiadna akceptovaná metodika
27. Backup je možné obnoviť len na rovnakom kuse zariadenia (pri reklamácii výmenou zariadenia to nie je možné)
28. Ak má útočník prístup do userlandu telefónu, vie si samozrejme vyžiadať dešifrovanie akéhokoľvek ciphertextu
29. iPhone keystore “Šifrované backupy” iTunes nastaví symetrický šifrovací kľúč do telefónu (neukladá si ho)
30. Backupy sú od tohto momentu šifrované (telefónom) na tento symetrický kľúč
31. Jeho brute-force (keďže kľúč volí užívateľ, ...) sa dajú z iPhone backupu získať senzitívne informácie Ako bezpečne ukladať dáta? Časť do keystoru, XOR s random dátami ukladanými mimo časti, ktorá sa zálohuje
32. Radšej nech sa užívateľ reautentifikuje alebo musí začať “from scratch”, ako riskovať únik citlivých informácií.
33. Všeobecne k ukladaniu citlivých autentifikačných informácií V prípade ukradnutia telefónu má väčšinou útočník čas na bruteforce Používať schémy, ktoré bruteforce maximálne sťažujú (padding ho uľahčuje, off-line overovanie tiež)
34. Server by mal pri akomkoľvek podozrení odmietnuť ďalšie požiadavky a žiadať reautentifikáciu alebo novú výmenu kľúčov
35. Malware iPhone je štandardná platforma, stačí písať malware pre jeden typ OS
36. Ak je aplikácia pre viacero mobilných platforiem, efektivita sa prudko znižuje
37. Malware je možný, vie robiť to, čo bežný unix proces (čítať súbory, posielať signály, debuggovať cudzí kód, čítať cudziu pamäť) Dvaja užívatelia
38. Malware Riziko je cca rovnaké ako pri klasickom PC + štandardná platforma (nie milión príchutí windowsu)
39. - užívatelia nemôžu “spúšťať” ľubovoľné 3 rd party aplikácie. Treba exploitovať. Malware je prakticky neviditeľný Žiadny antimalware
46. Objective-C veľmi uľahčuje disassemblovanie Všetky volania metód idú cez jednu low-level funkciu Možnosť rekonštrukcie objektovej štruktúry, symbolických názvov (analýza sa dá ľahko automatizovať) Binárky obsahujú veľmi veľa debug informácií (častokrát X-Code pridá cesty k zdrojákom, ktoré boli kompilované) Neexistuje ekvivalent kdump, strace, truss
49. Možnosť odchytenia kľúčov (client-side certifikát pre SSL nepomôže, overovanie server-side SSL možné podvrhnúť a malware vie spraviť man in the middle)
![Bezpečnosť mobilných aplikácií (iPhone) Juraj Bednár [email_address]](https://image.slidesharecdn.com/phonesecurity-101214084653-phpapp01/85/Phone-security-1-320.jpg)
