Submit Search
Upload
Security in Android Application, Александр Смирнов, RedMadRobot, Москва
•
0 likes
•
502 views
it-people
Follow
Выступление на конференции DUMP-2016.
Read less
Read more
Internet
Report
Share
Report
Share
1 of 26
Download now
Download to read offline
Recommended
Android Security
Android Security
Robin De Croon
Android Security
Android Security
Lars Jacobs
Sperasoft talks: Android Security Threats
Sperasoft talks: Android Security Threats
Sperasoft
Building secure android apps
Building secure android apps
Kaushal Bhavsar
Threat Hunting with Cyber Kill Chain
Threat Hunting with Cyber Kill Chain
Suwitcha Musijaral CISSP,CISA,GWAPT,SNORTCP
Android security
Android security
Midhun P Gopi
iOS Security - Secure-iOS-Guidelines - Apple | iOS | Swift
iOS Security - Secure-iOS-Guidelines - Apple | iOS | Swift
Bunty Madan
Untitled 1
Untitled 1
Sergey Kochergan
Recommended
Android Security
Android Security
Robin De Croon
Android Security
Android Security
Lars Jacobs
Sperasoft talks: Android Security Threats
Sperasoft talks: Android Security Threats
Sperasoft
Building secure android apps
Building secure android apps
Kaushal Bhavsar
Threat Hunting with Cyber Kill Chain
Threat Hunting with Cyber Kill Chain
Suwitcha Musijaral CISSP,CISA,GWAPT,SNORTCP
Android security
Android security
Midhun P Gopi
iOS Security - Secure-iOS-Guidelines - Apple | iOS | Swift
iOS Security - Secure-iOS-Guidelines - Apple | iOS | Swift
Bunty Madan
Untitled 1
Untitled 1
Sergey Kochergan
Firebase analytics for_android _ i_os
Firebase analytics for_android _ i_os
baroqueworksdev
Firebase
Firebase
TriState Technology
Android pen test basics
Android pen test basics
OWASPKerala
Android Security
Android Security
Suminda Gunawardhana
Android Security - Common Security Pitfalls in Android Applications
Android Security - Common Security Pitfalls in Android Applications
BlrDroid
Firebase Android
Firebase Android
Sudipta K Paik
Android security model
Android security model
rrand1
Introduction, Examples - Firebase
Introduction, Examples - Firebase
Eueung Mulyana
Никита Шляхов. Учёт времени разработчиков
Никита Шляхов. Учёт времени разработчиков
Svetlana Gulyaeva
Первухин Даниил. Веб-интерфейсы.
Первухин Даниил. Веб-интерфейсы.
Svetlana Gulyaeva
Николай Яремко. Использование вики методик при разработке Яндекс.Почты.
Николай Яремко. Использование вики методик при разработке Яндекс.Почты.
Svetlana Gulyaeva
Дмитрий Качмар, Яндекс - Сервис Яндекс.Авто
Дмитрий Качмар, Яндекс - Сервис Яндекс.Авто
Svetlana Gulyaeva
Виктор Лисицын, East Media Как учитывать время разработчиков, чтобы их не тош...
Виктор Лисицын, East Media Как учитывать время разработчиков, чтобы их не тош...
Svetlana Gulyaeva
Александр Чернин. Система грэйдов и категорий — внедрение и развитие.
Александр Чернин. Система грэйдов и категорий — внедрение и развитие.
Svetlana Gulyaeva
Android system security
Android system security
Chong-Kuan Chen
Introduction to Firebase with Android and Beyond...
Introduction to Firebase with Android and Beyond...
Kasper Loevborg Jensen
Android Security & Penetration Testing
Android Security & Penetration Testing
Subho Halder
Deep Dive Into Android Security
Deep Dive Into Android Security
Marakana Inc.
Brief Tour about Android Security
Brief Tour about Android Security
National Cheng Kung University
Understanding android security model
Understanding android security model
Pragati Rai
Смирнов Александр, Security in Android Application
Смирнов Александр, Security in Android Application
SECON
Security in Android Applications / Александр Смирнов (RedMadRobot)
Security in Android Applications / Александр Смирнов (RedMadRobot)
Ontico
More Related Content
Viewers also liked
Firebase analytics for_android _ i_os
Firebase analytics for_android _ i_os
baroqueworksdev
Firebase
Firebase
TriState Technology
Android pen test basics
Android pen test basics
OWASPKerala
Android Security
Android Security
Suminda Gunawardhana
Android Security - Common Security Pitfalls in Android Applications
Android Security - Common Security Pitfalls in Android Applications
BlrDroid
Firebase Android
Firebase Android
Sudipta K Paik
Android security model
Android security model
rrand1
Introduction, Examples - Firebase
Introduction, Examples - Firebase
Eueung Mulyana
Никита Шляхов. Учёт времени разработчиков
Никита Шляхов. Учёт времени разработчиков
Svetlana Gulyaeva
Первухин Даниил. Веб-интерфейсы.
Первухин Даниил. Веб-интерфейсы.
Svetlana Gulyaeva
Николай Яремко. Использование вики методик при разработке Яндекс.Почты.
Николай Яремко. Использование вики методик при разработке Яндекс.Почты.
Svetlana Gulyaeva
Дмитрий Качмар, Яндекс - Сервис Яндекс.Авто
Дмитрий Качмар, Яндекс - Сервис Яндекс.Авто
Svetlana Gulyaeva
Виктор Лисицын, East Media Как учитывать время разработчиков, чтобы их не тош...
Виктор Лисицын, East Media Как учитывать время разработчиков, чтобы их не тош...
Svetlana Gulyaeva
Александр Чернин. Система грэйдов и категорий — внедрение и развитие.
Александр Чернин. Система грэйдов и категорий — внедрение и развитие.
Svetlana Gulyaeva
Android system security
Android system security
Chong-Kuan Chen
Introduction to Firebase with Android and Beyond...
Introduction to Firebase with Android and Beyond...
Kasper Loevborg Jensen
Android Security & Penetration Testing
Android Security & Penetration Testing
Subho Halder
Deep Dive Into Android Security
Deep Dive Into Android Security
Marakana Inc.
Brief Tour about Android Security
Brief Tour about Android Security
National Cheng Kung University
Understanding android security model
Understanding android security model
Pragati Rai
Viewers also liked
(20)
Firebase analytics for_android _ i_os
Firebase analytics for_android _ i_os
Firebase
Firebase
Android pen test basics
Android pen test basics
Android Security
Android Security
Android Security - Common Security Pitfalls in Android Applications
Android Security - Common Security Pitfalls in Android Applications
Firebase Android
Firebase Android
Android security model
Android security model
Introduction, Examples - Firebase
Introduction, Examples - Firebase
Никита Шляхов. Учёт времени разработчиков
Никита Шляхов. Учёт времени разработчиков
Первухин Даниил. Веб-интерфейсы.
Первухин Даниил. Веб-интерфейсы.
Николай Яремко. Использование вики методик при разработке Яндекс.Почты.
Николай Яремко. Использование вики методик при разработке Яндекс.Почты.
Дмитрий Качмар, Яндекс - Сервис Яндекс.Авто
Дмитрий Качмар, Яндекс - Сервис Яндекс.Авто
Виктор Лисицын, East Media Как учитывать время разработчиков, чтобы их не тош...
Виктор Лисицын, East Media Как учитывать время разработчиков, чтобы их не тош...
Александр Чернин. Система грэйдов и категорий — внедрение и развитие.
Александр Чернин. Система грэйдов и категорий — внедрение и развитие.
Android system security
Android system security
Introduction to Firebase with Android and Beyond...
Introduction to Firebase with Android and Beyond...
Android Security & Penetration Testing
Android Security & Penetration Testing
Deep Dive Into Android Security
Deep Dive Into Android Security
Brief Tour about Android Security
Brief Tour about Android Security
Understanding android security model
Understanding android security model
Similar to Security in Android Application, Александр Смирнов, RedMadRobot, Москва
Смирнов Александр, Security in Android Application
Смирнов Александр, Security in Android Application
SECON
Security in Android Applications / Александр Смирнов (RedMadRobot)
Security in Android Applications / Александр Смирнов (RedMadRobot)
Ontico
Android (Speech Recognizer)
Android (Speech Recognizer)
Nilanshi Nigam
iOS application (in)security
iOS application (in)security
iphonepentest
Security testing of mobile applications
Security testing of mobile applications
GTestClub
Mobile Application Security Code Reviews
Mobile Application Security Code Reviews
Denim Group
Android OS & Security.pptx
Android OS & Security.pptx
BhumiAvhad1
DEF CON 24 - Dinesh and Shetty - practical android application exploitation
DEF CON 24 - Dinesh and Shetty - practical android application exploitation
Felipe Prado
Windows Phone 8 application security
Windows Phone 8 application security
Andrey Chasovskikh
[Wroclaw #1] Android Security Workshop
[Wroclaw #1] Android Security Workshop
OWASP
Evaluating iOS Applications
Evaluating iOS Applications
iphonepentest
Introduction to Android Application Security Testing - 2nd Sep 2017
Introduction to Android Application Security Testing - 2nd Sep 2017
Satheesh Kumar V
ToorCon 14 : Malandroid : The Crux of Android Infections
ToorCon 14 : Malandroid : The Crux of Android Infections
Aditya K Sood
Securely Deploying Android Device - ISSA (Ireland)
Securely Deploying Android Device - ISSA (Ireland)
Angelill0
Android - Workshop By Secure-Net Technologies
Android - Workshop By Secure-Net Technologies
Namita Mahajan
OWASP Mobile TOP 10 2014
OWASP Mobile TOP 10 2014
Islam Azeddine Mennouchi
Dmitry 'D1g1' Evdokimov - BlackBox analysis of iOS apps
Dmitry 'D1g1' Evdokimov - BlackBox analysis of iOS apps
DefconRussia
Androidoverview 100405150711-phpapp01
Androidoverview 100405150711-phpapp01
Santosh Sh
Mengenal Fitur Keamanan Dasar pada Windows 7
Mengenal Fitur Keamanan Dasar pada Windows 7
Aris Lesmana
Designing Secure Mobile Apps
Designing Secure Mobile Apps
Denim Group
Similar to Security in Android Application, Александр Смирнов, RedMadRobot, Москва
(20)
Смирнов Александр, Security in Android Application
Смирнов Александр, Security in Android Application
Security in Android Applications / Александр Смирнов (RedMadRobot)
Security in Android Applications / Александр Смирнов (RedMadRobot)
Android (Speech Recognizer)
Android (Speech Recognizer)
iOS application (in)security
iOS application (in)security
Security testing of mobile applications
Security testing of mobile applications
Mobile Application Security Code Reviews
Mobile Application Security Code Reviews
Android OS & Security.pptx
Android OS & Security.pptx
DEF CON 24 - Dinesh and Shetty - practical android application exploitation
DEF CON 24 - Dinesh and Shetty - practical android application exploitation
Windows Phone 8 application security
Windows Phone 8 application security
[Wroclaw #1] Android Security Workshop
[Wroclaw #1] Android Security Workshop
Evaluating iOS Applications
Evaluating iOS Applications
Introduction to Android Application Security Testing - 2nd Sep 2017
Introduction to Android Application Security Testing - 2nd Sep 2017
ToorCon 14 : Malandroid : The Crux of Android Infections
ToorCon 14 : Malandroid : The Crux of Android Infections
Securely Deploying Android Device - ISSA (Ireland)
Securely Deploying Android Device - ISSA (Ireland)
Android - Workshop By Secure-Net Technologies
Android - Workshop By Secure-Net Technologies
OWASP Mobile TOP 10 2014
OWASP Mobile TOP 10 2014
Dmitry 'D1g1' Evdokimov - BlackBox analysis of iOS apps
Dmitry 'D1g1' Evdokimov - BlackBox analysis of iOS apps
Androidoverview 100405150711-phpapp01
Androidoverview 100405150711-phpapp01
Mengenal Fitur Keamanan Dasar pada Windows 7
Mengenal Fitur Keamanan Dasar pada Windows 7
Designing Secure Mobile Apps
Designing Secure Mobile Apps
More from it-people
«Про аналитику и серебряные пули» Александр Подсобляев, Rambler&Co
«Про аналитику и серебряные пули» Александр Подсобляев, Rambler&Co
it-people
«Scrapy internals» Александр Сибиряков, Scrapinghub
«Scrapy internals» Александр Сибиряков, Scrapinghub
it-people
«Отладка в Python 3.6: Быстрее, Выше, Сильнее» Елизавета Шашкова, JetBrains
«Отладка в Python 3.6: Быстрее, Выше, Сильнее» Елизавета Шашкова, JetBrains
it-people
«Gevent — быть или не быть?» Александр Мокров, Positive Technologies
«Gevent — быть или не быть?» Александр Мокров, Positive Technologies
it-people
«Ещё один Поиск Яндекса» Александр Кошелев, Яндекс
«Ещё один Поиск Яндекса» Александр Кошелев, Яндекс
it-people
«How I Learned to Stop Worrying and Love the BFG: нагрузочное тестирование со...
«How I Learned to Stop Worrying and Love the BFG: нагрузочное тестирование со...
it-people
«Write once run anywhere — почём опиум для народа?» Игорь Новиков, Scalr
«Write once run anywhere — почём опиум для народа?» Игорь Новиков, Scalr
it-people
«Gensim — тематическое моделирование для людей» Иван Меньших, Лев Константино...
«Gensim — тематическое моделирование для людей» Иван Меньших, Лев Константино...
it-people
«Тотальный контроль производительности» Михаил Юматов, ЦИАН
«Тотальный контроль производительности» Михаил Юматов, ЦИАН
it-people
«Детские болезни live-чата» Ольга Сентемова, Тинькофф Банк
«Детские болезни live-чата» Ольга Сентемова, Тинькофф Банк
it-people
«Микросервисы наносят ответный удар!» Олег Чуркин, Rambler&Co
«Микросервисы наносят ответный удар!» Олег Чуркин, Rambler&Co
it-people
«Память и Python. Что надо знать для счастья?» Алексей Кузьмин, ЦНС
«Память и Python. Что надо знать для счастья?» Алексей Кузьмин, ЦНС
it-people
«Что такое serverless-архитектура и как с ней жить?» Николай Марков, Aligned ...
«Что такое serverless-архитектура и как с ней жить?» Николай Марков, Aligned ...
it-people
«Python на острие бритвы: PyPy project» Александр Кошкин, Positive Technologies
«Python на острие бритвы: PyPy project» Александр Кошкин, Positive Technologies
it-people
«PyWat. А хорошо ли вы знаете Python?» Александр Швец, Marilyn System
«PyWat. А хорошо ли вы знаете Python?» Александр Швец, Marilyn System
it-people
«(Без)опасный Python», Иван Цыганов, Positive Technologies
«(Без)опасный Python», Иван Цыганов, Positive Technologies
it-people
«Python of Things», Кирилл Борисов, Яндекс
«Python of Things», Кирилл Борисов, Яндекс
it-people
«Как сделать так, чтобы тесты на Swift не причиняли боль» Сычев Александр, Ra...
«Как сделать так, чтобы тесты на Swift не причиняли боль» Сычев Александр, Ra...
it-people
«Клиенту и серверу нужно поговорить» Прокопов Никита, Cognician
«Клиенту и серверу нужно поговорить» Прокопов Никита, Cognician
it-people
«Кошелек или деньги: сложный выбор между памятью и процессором» Алексеенко Иг...
«Кошелек или деньги: сложный выбор между памятью и процессором» Алексеенко Иг...
it-people
More from it-people
(20)
«Про аналитику и серебряные пули» Александр Подсобляев, Rambler&Co
«Про аналитику и серебряные пули» Александр Подсобляев, Rambler&Co
«Scrapy internals» Александр Сибиряков, Scrapinghub
«Scrapy internals» Александр Сибиряков, Scrapinghub
«Отладка в Python 3.6: Быстрее, Выше, Сильнее» Елизавета Шашкова, JetBrains
«Отладка в Python 3.6: Быстрее, Выше, Сильнее» Елизавета Шашкова, JetBrains
«Gevent — быть или не быть?» Александр Мокров, Positive Technologies
«Gevent — быть или не быть?» Александр Мокров, Positive Technologies
«Ещё один Поиск Яндекса» Александр Кошелев, Яндекс
«Ещё один Поиск Яндекса» Александр Кошелев, Яндекс
«How I Learned to Stop Worrying and Love the BFG: нагрузочное тестирование со...
«How I Learned to Stop Worrying and Love the BFG: нагрузочное тестирование со...
«Write once run anywhere — почём опиум для народа?» Игорь Новиков, Scalr
«Write once run anywhere — почём опиум для народа?» Игорь Новиков, Scalr
«Gensim — тематическое моделирование для людей» Иван Меньших, Лев Константино...
«Gensim — тематическое моделирование для людей» Иван Меньших, Лев Константино...
«Тотальный контроль производительности» Михаил Юматов, ЦИАН
«Тотальный контроль производительности» Михаил Юматов, ЦИАН
«Детские болезни live-чата» Ольга Сентемова, Тинькофф Банк
«Детские болезни live-чата» Ольга Сентемова, Тинькофф Банк
«Микросервисы наносят ответный удар!» Олег Чуркин, Rambler&Co
«Микросервисы наносят ответный удар!» Олег Чуркин, Rambler&Co
«Память и Python. Что надо знать для счастья?» Алексей Кузьмин, ЦНС
«Память и Python. Что надо знать для счастья?» Алексей Кузьмин, ЦНС
«Что такое serverless-архитектура и как с ней жить?» Николай Марков, Aligned ...
«Что такое serverless-архитектура и как с ней жить?» Николай Марков, Aligned ...
«Python на острие бритвы: PyPy project» Александр Кошкин, Positive Technologies
«Python на острие бритвы: PyPy project» Александр Кошкин, Positive Technologies
«PyWat. А хорошо ли вы знаете Python?» Александр Швец, Marilyn System
«PyWat. А хорошо ли вы знаете Python?» Александр Швец, Marilyn System
«(Без)опасный Python», Иван Цыганов, Positive Technologies
«(Без)опасный Python», Иван Цыганов, Positive Technologies
«Python of Things», Кирилл Борисов, Яндекс
«Python of Things», Кирилл Борисов, Яндекс
«Как сделать так, чтобы тесты на Swift не причиняли боль» Сычев Александр, Ra...
«Как сделать так, чтобы тесты на Swift не причиняли боль» Сычев Александр, Ra...
«Клиенту и серверу нужно поговорить» Прокопов Никита, Cognician
«Клиенту и серверу нужно поговорить» Прокопов Никита, Cognician
«Кошелек или деньги: сложный выбор между памятью и процессором» Алексеенко Иг...
«Кошелек или деньги: сложный выбор между памятью и процессором» Алексеенко Иг...
Recently uploaded
Unidad 4 – Redes de ordenadores (en inglés).pptx
Unidad 4 – Redes de ordenadores (en inglés).pptx
mibuzondetrabajo
ETHICAL HACKING dddddddddddddddfnandni.pptx
ETHICAL HACKING dddddddddddddddfnandni.pptx
NIMMANAGANTI RAMAKRISHNA
Cybersecurity Threats and Cybersecurity Best Practices
Cybersecurity Threats and Cybersecurity Best Practices
Lumiverse Solutions Pvt Ltd
『澳洲文凭』买拉筹伯大学毕业证书成绩单办理澳洲LTU文凭学位证书
『澳洲文凭』买拉筹伯大学毕业证书成绩单办理澳洲LTU文凭学位证书
rnrncn29
『澳洲文凭』买詹姆士库克大学毕业证书成绩单办理澳洲JCU文凭学位证书
『澳洲文凭』买詹姆士库克大学毕业证书成绩单办理澳洲JCU文凭学位证书
rnrncn29
SCM Symposium PPT Format Customer loyalty is predi
SCM Symposium PPT Format Customer loyalty is predi
eusebiomeyer
IP addressing and IPv6, presented by Paul Wilson at IETF 119
IP addressing and IPv6, presented by Paul Wilson at IETF 119
APNIC
Company Snapshot Theme for Business by Slidesgo.pptx
Company Snapshot Theme for Business by Slidesgo.pptx
Mario
TRENDS Enabling and inhibiting dimensions.pptx
TRENDS Enabling and inhibiting dimensions.pptx
AndrieCagasanAkio
Recently uploaded
(9)
Unidad 4 – Redes de ordenadores (en inglés).pptx
Unidad 4 – Redes de ordenadores (en inglés).pptx
ETHICAL HACKING dddddddddddddddfnandni.pptx
ETHICAL HACKING dddddddddddddddfnandni.pptx
Cybersecurity Threats and Cybersecurity Best Practices
Cybersecurity Threats and Cybersecurity Best Practices
『澳洲文凭』买拉筹伯大学毕业证书成绩单办理澳洲LTU文凭学位证书
『澳洲文凭』买拉筹伯大学毕业证书成绩单办理澳洲LTU文凭学位证书
『澳洲文凭』买詹姆士库克大学毕业证书成绩单办理澳洲JCU文凭学位证书
『澳洲文凭』买詹姆士库克大学毕业证书成绩单办理澳洲JCU文凭学位证书
SCM Symposium PPT Format Customer loyalty is predi
SCM Symposium PPT Format Customer loyalty is predi
IP addressing and IPv6, presented by Paul Wilson at IETF 119
IP addressing and IPv6, presented by Paul Wilson at IETF 119
Company Snapshot Theme for Business by Slidesgo.pptx
Company Snapshot Theme for Business by Slidesgo.pptx
TRENDS Enabling and inhibiting dimensions.pptx
TRENDS Enabling and inhibiting dimensions.pptx
Security in Android Application, Александр Смирнов, RedMadRobot, Москва
1.
SECURITY IN ANDROID APPLICATION 08/04/2016 ALEXANDER
SMIRNOV v1.0
2.
- 3+ years
Android dev - 6+ years commercial dev - 1 year bank app dev - BlackHat friends since 2007 - DC7499 member WhoAmI 2
3.
Why? 3
4.
- Android Security
Model - Reality - Vulnerabilities - One more sentence - Appendix Agenda 4
5.
Security • I • Android
Security Model 5
6.
6
7.
Application Isolation 7
8.
- Is the
parent of all App processes - COW(Copy On Write) strategy - /dev/socket/zygote Zygote 8 App 1 App 2 App 3 Zygote fork() fork() fork() start new App
9.
- Before M -
After M - Custom permissions - Protection level Permissions 9
10.
- Protect user
data - Protect system resources - Provide application isolation Android Security Overview 10
11.
• II • Android
Security Model Reality Security 11
12.
12 Root
13.
13 TRIADA
14.
Security 14 • III• Vulnerabilities
15.
- Memory Cache -
DB + SQLCipher - SharedPreference + MODE_PRIVATE + Cipher - 21+ setStorageEncryption for local files - KeyStore Data Storage 15
16.
- MITM has
you - Check network – why? - Diffie–Hellman key exchange - Certificate Pinning == SSL Pinning (okhttp 2.7.4 || 3.1.2) Transport 16
17.
- Use explicit
intents - Validate Input - Manifest: intent-filter = exported=«yes» Intent 17
18.
- Secure PUSH -
Mobile application - SIMApplets - DCV (Dynamic Code Verification) 2FA: SMS 18
19.
- Custom keyboard -
Secure persistent datastore - No EditText - No immutable (Strings -> char[]) - Notify if root Insecure Device 19
20.
- Check debug -
Verify sign - Emulator check - Obfuscation - JNI Reverse Protection 20
21.
Security 21 • IV • One
more sentence
22.
- Convenience vs
Security - Socialization & Tools - Layered Security - Better than others - OWASP TOP 10 Mobile Risks One more sentence 22
23.
Security 23 • V • Appendix
24.
- Cyber Risk
Report: bit.ly/1MuoIDS - OWASP Top 10 Mobile Risks: bit.ly/1FAIJiv - DefCon Groups List: bit.ly/1JQlNgC - Triada Malware: bit.ly/1qvyFqY - Obfuscation tools list: bit.ly/1XiHf6Z - Security Official Docs: bit.ly/1qvw1BK - Diffie–Hellman Video: bit.ly/23jV7Se - Tools for SA and Hacking: bit.ly/1qvxpUM Additional Information 24
25.
- Android Security
Model - Reality - Vulnerabilities - One more sentence Result 25
26.
Thank you! sm@redmadrobot.com @_smred
Download now