Pentesting Mobile Applications

Android Anwendungen statisch und dynamisch analysieren

Die Herausforderung: Risiken von Android Apps

Apps sind heutzutage auf allen Smartphones vorhanden und können für eine Vielzahl an Funktionalitäten genutzt werden. Doch so einfach die Entwicklung von Apps ist, so einfach ist  es auch, unbeabsichtigt sicherheitsrelevante Fehler in einer App zu übersehen. Da Apps zunehmend für kritische Aufgaben und in kritischen Bereichen innerhalb von Unternehmen  eingesetzt werden, ist es wichtig, von Apps ausgehende Gefahren zu kennen, zu erkennen und deren Risikopotenzial einschätzen zu können. Werden Apps extern entwickelt, so ist der Quelltext der App nicht zwangsläufig bekannt. Doch auch mit bekanntem Quelltext können Teile der App (bspw. Bibliotheken) unbekannte Funktionalität beinhalten.

 

Lösung: Aktuelle Analyseverfahren des Pentestings

In diesem Seminar werden unterschiedliche Techniken vorgestellt und von den Teilnehmern an Praxisbeispielen erprobt, die es erlauben, die Funktionalität von Android Apps zu  verstehen, und potenzielle Sicherheitsprobleme zu erkennen. Dabei werden sowohl statische als auch dynamische Analyseverfahren eingesetzt und deren Unterschiede im Detail  betrachtet. Teilnehmende des Seminars können anschließend die vorgestellten Tools selbstständig einsetzen, und für eigene Analysen nutzen.

Ihre Vorteile auf einen Blick

Nach dem Seminar können Sie…

…Risiken von Android Anwendungen einschätzen
…Schwachstellen analysieren und aktuelle Gefahren von Android Apps aufzeigen
…unterschiedliche Analyseverfahren je nach Anwendungsfall gezielt einsetzen  

Dieses Seminar bietet Ihnen…

…einen Schnelleinstieg in das Sicherheitsmodell von Android
...aktuelles Forschungswissen zu Sicherheitslücken von Android Anwendungen
…einen Überblick über Verfahren, und Tools zur Analyse
…Hands-on Analyse von Android Apps

Das Seminar im Überblick

Termin 25.02.2020 (Anmeldung bis 20.12.2019)  
Dauer 1 Tag Präsenz, 09:00 Uhr - 17:00 Ur
Kurssprache

Kurssprache: Deutsch / Englisch

Material: Englisch

Lernziel Teilnehmende verstehen das Sicherheitsmodell von Android und dessen Auswirkung auf Apps. Sie haben einen Überblick über verfügbare Analysewerkzeuge, deren Funktionsweise und Einsatzzwecke. Teilnehmende können die Analysetools zielgerichtet einsetzen und damit die Sicherheit einer Android App selbstständig beurteilen.
Zielgruppe Entwickler und Tester von Android Apps, Sicherheitsbeauftragte die über Einsatz von Apps entscheiden.
Voraussetzungen Grundkenntnisse Programmierung Java/C++ (bspw. Erfahrungen in der Entwicklung einer App) Basiswissen Android Anwendungen, wie Komponenten, Manifest und Permissions
Niveau Advanced
maximale Teilnehmerzahl 10 Teilnehmende
Veranstaltungsort
Fraunhofer-Institut AISEC, Lichtenbergstr. 11, 85748 Garching b. München
Teilnehmergebühr 600,00 Euro

– Bestandteile einer Android App: Welche Bestandteile sind für die Analyse wichtig, und wie kann man diese jeweils (Toolunterstützt) untersuchen?

– Sicherheitsmodell Android: Welche Eigenschaften des Android OS helfen bei der Analyse, bzw. machen Apps an sich sicherer?

– Typische Probleme von Android Apps: Wie sehen Fehler in Apps aus? Einzelne Probleme im Detail, kategorisiert anhand der OWASP Mobile Top 10

– Analysetechniken: Welche statischen und dynamischen Techniken sind prinzipiell möglich? Wo liegen die Grenzen einzelner Verfahren?

– Schwerpunkt des Seminars: gezielte Übungen zu statischen und dynamischen Analyseverfahren

– Anhand verschiedener Beispiele lernen Teilnehmende mit ausgewählten Tools (z. B. apktool, ARM disassembler, Frida, mitmproxy) umzugehen und deren Grenzen besser einzuschätzen

Dr. Dennis Titze

Dennis Titze ist seit 2012 wissenschaftlicher Mitarbeiter am Fraunhofer AISEC im Bereich Service & Application Security und seit 2018 Senior Scientist für mobile Anwendungen und Softwaresicherheit. Als Experte für die Sicherheit mobiler Endgeräte und Softwareanalyse ist Herr Titze verantwortlich für die Entwicklung von Sicherheitstools und die Sicherheitsanalyse von mobilen Anwendungen. Er hält Vorlesungen im Bereich Sichere Anwendungen und Software-Analyse an der Technischen Universität München und ist Autor zahlreicher Publikationen im Bereich Softwareanalyse.

  • Bitte füllen Sie das Formular aus um sich verbindlich anzumelden.

    Bitte füllen Sie das Pflichtfeld aus.
    Bitte füllen Sie das Pflichtfeld aus.
    Bitte füllen Sie das Pflichtfeld aus.
    Bitte füllen Sie das Pflichtfeld aus.
    Bitte füllen Sie das Pflichtfeld aus.
    Bitte füllen Sie das Pflichtfeld aus.
    Bitte füllen Sie das Pflichtfeld aus.
    Bitte füllen Sie das Pflichtfeld aus.
    Bitte füllen Sie das Pflichtfeld aus.

    * Pflichtfeld

    * Pflichtfeld

    Bitte füllen Sie das Pflichtfeld aus.
    Bitte füllen Sie das Pflichtfeld aus.

    Bitte wählen Sie einen Termin

    Bitte wählen Sie einen Termin

    Bitte füllen Sie das Pflichtfeld aus.

    Bitte geben Sie hier den Rabatt Code ein

    Bitte geben Sie hier den Rabatt Code ein

    Bitte füllen Sie das Pflichtfeld aus.

    Jegliche Nutzung der personenbezogenen Daten erfolgt nur zu dem genannten Zweck und in dem zur Erreichung dieses Zweckes erforderlichen Umfang. Der Veranstalter verarbeitet und speichert die personenbezogenen Daten, die im Zusammenhang mit der Teilnahme an dieser Veranstaltung erhoben werden, unter Beachtung der geltenden datenschutzrechtlichen Bestimmungen (https://www.academy.fraunhofer.de/de/datenschutzerklaerung.html). Diese Zustimmung kann jederzeit per E-Mail (cybersicherheit@zv.fraunhofer.de) widerrufen werden. Dies bedeutet jedoch ebenfalls eine Abmeldung von der Weiterbildung und kann gegebenenfalls zu Stornierungskosten gemäß unseren AGB´s führen.

    Jegliche Nutzung der personenbezogenen Daten erfolgt nur zu dem genannten Zweck und in dem zur Erreichung dieses Zweckes erforderlichen Umfang. Der Veranstalter verarbeitet und speichert die personenbezogenen Daten, die im Zusammenhang mit der Teilnahme an dieser Veranstaltung erhoben werden, unter Beachtung der geltenden datenschutzrechtlichen Bestimmungen (https://www.academy.fraunhofer.de/de/datenschutzerklaerung.html). Diese Zustimmung kann jederzeit per E-Mail (cybersicherheit@zv.fraunhofer.de) widerrufen werden. Dies bedeutet jedoch ebenfalls eine Abmeldung von der Weiterbildung und kann gegebenenfalls zu Stornierungskosten gemäß unseren AGB´s führen.

    Bitte füllen Sie das Pflichtfeld aus.

    Ich habe die allgemeinen Geschäftsbedingungen der Fraunhofer Academy gelesen und akzeptiert.

    Ich habe die allgemeinen Geschäftsbedingungen der Fraunhofer Academy gelesen und akzeptiert.

    Bitte füllen Sie das Pflichtfeld aus.

    Ich möchte gerne den Newsletter der Fraunhofer Academy zum Thema Cybersicherheit abonnieren, um regelmäßig über neue Weiterbildungsprogramme, Veranstaltungen und weitere Angebote informiert zu werden. Ihre Daten behandeln wir selbstverständlich vertraulich und geben sie nicht an Dritte weiter. Die Einwilligungserklärung erfolgt freiwillig und kann jederzeit über einen Link am Ende eines jeden Newsletters, über unser Abmeldungsformular (https://www.academy.fraunhofer.de/abmeldung_newsletter_llcs) oder per E-Mail (cybersicherheit@zv.fraunhofer.de) widerrufen werden. Wenn Sie von keinem Institut der Fraunhofer Gesellschaft Informationen und Einladungen erhalten möchten, nutzen Sie bitte folgenden Link https://www.fraunhofer.de/de/fraunhofer-newsletter-abmeldung.html. Weitere Verarbeitunsmodalitäten und Auskunftsmöglichkeiten entnehmen Sie bittden den Datenschutzrichtlinien (https://www.academy.fraunhofer.de/de/datenschutzerklaerung.html).

    Ich möchte gerne den Newsletter der Fraunhofer Academy zum Thema Cybersicherheit abonnieren, um regelmäßig über neue Weiterbildungsprogramme, Veranstaltungen und weitere Angebote informiert zu werden. Ihre Daten behandeln wir selbstverständlich vertraulich und geben sie nicht an Dritte weiter. Die Einwilligungserklärung erfolgt freiwillig und kann jederzeit über einen Link am Ende eines jeden Newsletters, über unser Abmeldungsformular (https://www.academy.fraunhofer.de/abmeldung_newsletter_llcs) oder per E-Mail (cybersicherheit@zv.fraunhofer.de) widerrufen werden. Wenn Sie von keinem Institut der Fraunhofer Gesellschaft Informationen und Einladungen erhalten möchten, nutzen Sie bitte folgenden Link https://www.fraunhofer.de/de/fraunhofer-newsletter-abmeldung.html. Weitere Verarbeitunsmodalitäten und Auskunftsmöglichkeiten entnehmen Sie bittden den Datenschutzrichtlinien (https://www.academy.fraunhofer.de/de/datenschutzerklaerung.html).