Mobile Hacking

Ein kompakter Einstieg ins Penetration Testing mobiler Applikationen – iOS, Android und Windows Mobile

Michael Spreitzenbarth

Produktinformationen

Autor: Michael Spreitzenbarth
ISBN: 9783960881247
Verlag: dpunkt.verlag
Erscheinungstermin: 2017-01-30
Erscheinungstermin (elektronische Fassung): 2017-04-10
Erscheinungsjahr (elektronische Fassung): 2017
Seiten: 235
Paket: Administration & IT-Sicherheit [2205]

P-ISBN: 9783864903489

Diese Publikation zitieren

Michael Spreitzenbarth, Mobile Hacking (2017), dpunkt.verlag, Heidelberg, ISBN: 9783960881247

17851
Accesses
137
Quotes

Beschreibung / Abstract

Mobile Endgeräte, vor allem Smartphones und Tablets der Hersteller Apple und Google, sind inzwischen in fast jedem Haushalt vertreten. Auch in der Firmenwelt nehmen diese Geräte einen immer größeren Stellenwert ein und verarbeiten hochsensible Daten. Diese neuen Einsatzszenarien, gepaart mit Tausenden von Applikationen, schaffen neue Angriffsvektoren und Einfallstore in diese Geräte. Dieses Buch stellt die einzelnen Angriffsszenarien und Schwachstellen in den verwendeten Applikationen detailliert vor und zeigt, wie Sie diese Schwachstellen aufspüren können. Am Beispiel der aktuellen Betriebssysteme (Android, iOS und Windows Mobile) erhalten Sie einen umfassenden Einblick ins Penetration Testing von mobilen Applikationen. Sie lernen typische Penetration-Testing-Tätigkeiten kennen und können nach der Lektüre Apps der großen Hersteller untersuchen und deren Sicherheit überprüfen.

Behandelt werden u.a. folgende Themen:

- Forensische Untersuchung des Betriebssystems,
- Reversing von mobilen Applikationen,
- SQL-Injection- und Path-Traversal-Angriffe,
- Runtime-Manipulation von iOS-Apps mittels Cycript,
- Angriffe auf die HTTPS-Verbindung,
- u.v.m.

Vorausgesetzt werden fundierte Kenntnisse in Linux/Unix sowie erweiterte Kenntnisse in Java bzw. Objective-C.

Beschreibung

Dr.-Ing. Michael Spreitzenbarth studierte Wirtschaftsinformatik an der Universität Mannheim mit Schwerpunkt in den Bereichen IT-Security und Digitale Forensik. Zwischen 2010 und 2013 arbeitete er als Doktorand an der Universität Erlangen-Nürnberg. Seine Forschungsthemen lagen in den Bereichen der forensischen Analyse von Smartphones (speziell im Bereich Android) sowie im Bereich der Detektion und automatisierten Analyse von mobilem Schadcode (Malware). Seit April 2013 arbeitet er in einem weltweit operierenden CERT, wo sein Fokus auf der Absicherung mobiler Endgeräte, Incident Handling und der Analyse verdächtiger mobiler Applikationen liegt. In seiner Freizeit arbeitet Michael Spreitzenbarth immer noch im Bereich der Forschung und Entwicklung von Malware-Analyse- und Detektionstechniken sowie digitaler Forensik. Zusätzlich hält er regelmäßig Vorträge und Schulungen zu diesen Themen in der freien Wirtschaft sowie für öffentliche Auftraggeber.

Inhaltsverzeichnis

  • BEGINN
  • Inhaltsverzeichnis
  • 1 Einführung in mobile Betriebssysteme und deren Applikationen
  • Android
  • Apple iOS
  • Windows 10 Mobile
  • Chancen und Risiken von mobilen Applikationen
  • OWASP Mobile Top 10
  • Eine Laborumgebung erstellen
  • Zusammenfassung und Ausblick
  • 2 Chancen und Risiken des Reversings
  • Statische Analyse (Reversing)
  • Dynamische Analyse
  • Vergleich der beiden Techniken
  • Schlussfolgerung
  • 3 Reversing von Android-Applikationen
  • Vorgehensweisen beim Reversing von Android-Applikationen
  • Beschaffen der zu untersuchenden Applikation
  • Analysieren des Android-Manifests und Entpacken der Applikation
  • Werkzeuge zum Analysieren der Applikationen
  • Zusammenfassung
  • 4 Sicherheitsprobleme bei Android-Applikationen
  • Wichtige Tools und Helfer
  • Analyse der Zugriffe auf sensible Nutzerdaten
  • Exportierte Activities erkennen und ausnutzen
  • Exportierte Content Provider und SQL-Injections erkennen und ausnutzen
  • Schwachstellen des JavascriptInterface erkennen und ausnutzen
  • Ungewollten Datenabfluss durch Verwendung der Backup-Funktion erkennen
  • Spurensuche im Dateisystem
  • Android-Applikationen zur Laufzeit manipulieren
  • Zusammenfassung
  • 5 Reversing von iOS-Applikationen
  • Vorgehensweisen beim Reversing von iOS-Applikationen
  • Wichtige Tools und Helfer
  • Beschaffen der zu untersuchenden Applikation
  • Werkzeuge zum Analysieren der Applikationen
  • Zusammenfassung
  • 6 Sicherheitsprobleme bei iOS-Applikationen
  • Wichtige Tools und Helfer
  • Analyse der Zugriffe auf sensible Nutzerdaten
  • iOS-Applikationen zur Laufzeit manipulieren
  • Spurensuche im Dateisystem
  • Fehlende systemeigene Sicherheitsfunktionen in iOS-Applikationen erkennen
  • Zusammenfassung
  • 7 Reversing von Windows-10-Mobile-Applikationen
  • Aufbau der Windows-10-Mobile-Applikationen
  • Vorgehensweisen beim Reversing von Windows-10-Mobile-Applikationen
  • Werkzeuge zum Analysieren der Applikationen
  • Zusammenfassung
  • 8 Sicherheitsprobleme bei Windows-10-Mobile-Applikationen
  • Analyse der Zugriffe auf sensible Nutzerdaten
  • Spurensuche im Dateisystem
  • Fehlende Sicherheitsfunktionen in Windows-10-Mobile-Applikationen erkennen
  • Weitere Angriffsvektoren erkennen
  • Zusammenfassung
  • 9 Angriffe auf die Datenübertragung
  • Schutz der übermittelten Daten auf dem Transportweg
  • Man-in-the-Middle-Angriffe
  • SSL-Strip-Angriffe
  • Anwendungsbeispiele und Auswertung
  • Zusammenfassung
  • 10 Wie geht die Reise weiter?
  • Weitere Tools
  • Wo kann ich üben?
  • Wo finde ich weiterführende Informationen?
  • Literaturverzeichnis
  • Index

Ähnliche Titel

    Mehr von diesem Autor