mobius Mobius 2019 Мск (07.12.2019)

Как два пальца: Локальные атаки на мобильные приложения

img

Что происходит после того, как смартфон, на котором был установлен мобильный банк, украден злостными злоумышленниками, которые наверняка постараются при первой же возможности снять деньги со счета? Дмитрий подробно покажет всю процедуру взлома системы и расскажет, как надо реализовывать аутентификацию, чтобы мошенникам было сложнее войти в систему.

Представим ситуацию, когда злоумышленник украл смартфон с установленным мобильным банком и при этом на смартфоне не установлен код блокировки, или злоумышленник предварительно подсмотрел этот код из-за плеча жертвы. Тогда единственное, что может ему помешать украсть все деньги со счетов пользователя, это авторизация в приложении и дополнительные проверки, которые были реализованы.

В докладе будут приведены примеры уязвимостей в Android- и iOS-приложениях, которые при таких условиях позволяют обойти авторизацию, и в дальнейшем выполнять любые действия от имени клиента банка. Дмитрий расскажет об атаках на некорректные реализации аутентификации по биометрии и на примитивные способы обнаружения root и jailbreak, проверки целостности и т.д. Также он приведет примеры корректных реализаций локальной аутентификации и дополнительных проверок и расскажет, как максимально усложнить задачу такому злоумышленнику.

Комментарий программного комитета:

Доклад будет полезен всем мобильным разработчикам, ведь безопасность — неотъемлемое требование. Но особенно он поможет тем, чьи данные нужно защищать особенно тщательно, например, авторам банковских или корпоративных приложений.