Android Security Training

Formation Android: Attaque et défense
Cette formation, intensive et 100% pratique, fournit les informations, les outils et
le savoir-faire nécessaire à l’audit d’applications Android. Les participants
apprendront également quelles sont les principales menaces et comment
s’en prémunir. Ils auront aussi l’occasion lors d’exercices et d’un défi de voir
comment les hackers opèrent et de se mettre à leur place.
Informations
Réf:
Durée:
Participants:
Prix:
Prix étudiants:
F_1
1 jour
12 maximum
750 CHF
300 CHF
Participants
Un environnement complet et pré-configuré sera fourni à chaque participant.
Pas d’installation, pas de temps perdu. Vous serez tout de suite dans le vif du
sujet, les mains dans les applications Android.
Développeurs, ingénieurs et
techniciens, auditeurs
Le programme de la formation est le suivant (il peut être adapté suivant le
niveau des participants ou les illuminations du formateur):
100% pratique
Matin
Présentation et connexion à l’environnement
de lab
Se connecter à un appareil Android, adb
Inspection du système de fichiers
Décortiquer une application Android (APK)
Le manifeste, les permissions, les activities,
les services, ...
Etudes des ressources (fichiers, SQLite, ...)
Décompilation avec apktool, dex2jar, JD-GUI.
Le smali, Dalvik, ...
Etude statique des binaires avec Androlyze
Etude dynamique avec Fino, injection de
code
Modification d’application, recompilation et
signature
Après-midi
Etude d’applications du marché (Google Play)
Interception des communications avec Burp
Suite. modifications des requêtes, ...
Désactivation des mesures de sécurité
(SSL, ...)
Les frameworks d’audits: Fino, Virtuous Ten,
Drozer (ex-Mercury), ...
Le chiffrement, les pièges à éviter
Les bonnes pratiques
L’obscurcissement
Le défi !
Inscription sur
http://2013.appsec-forum.ch/formations/
Type de formation
Niveau
Avancé
Pré-requis
1 laptop (Linux, Mac ou Win)
pouvant se connecter à un
wi-fi, avec un viewer VNC
(RealVNC recommandé)
Objectifs
Comprendre les enjeux de la
sécurité en particulier
concernant les applications
Android.
Acquérir les compétences
nécessaires à l’audit et au
développement
d’applications Android
sécurisées.
Le défi !
A la fin de la formation, un petit défi sera proposé aux participants de la
formation. Le but sera de mettre en pratique les notions apprises, avec un
enjeu à la clef.
Le plus rapide à trouver une solution gagnera:
un Samsung Galaxy S4 LTE 16 GB
Les conditions de participation sont les suivantes:
- Suivre la formation.
- La première personne à remplir l’objectif indiqué par le
formateur au début du défi remporte le prix.
- Si aucun des participants n’est en mesure d’atteindre
l’objectif à mi-parcours, le formateur donnera des
indices à tous les participants, en même temps.
- Si à l’issu du défi, personne n’a été en mesure
d’atteindre l’objectif, la personne s’en approchant le
plus ou avec la meilleure solution reporte le défi. Il n’y
aura pas de tirage au sort.
- Le formateur est seul juge. Aucune contestation ne sera
admise, aucune correspondance ne sera échangée au
sujet de ce défi.
Le défi devrait en principe durer deux heures.
Formateur: Sébastien Andrivet
Sébastien est plongé dans le monde informatique depuis le début
des années ’80. Après avoir passé quelques années avec les
processeurs 8-bit et l’assembleur, il s’est spécialisé dans les années ’90 en
C/C++ et en assembleur x86 sous Windows. Pendant les années Internet, il a
participé à plusieurs startups et a publié des outils libres, en particulier un
analyseur XML multi-plateformes écrit en C++. A cette époque, il a été
confronté au piratage de logiciels, au monde des “buffer overflows” et des
injections SQL. En 2002, il a basculé dans le domaine de la sécurité des
applications et des sciences forensiques et a co-fondé la société ADVTOOLS à
Genève.
Sébastien est régulièrement invité comme conférencier lors d’évènements tels
que Hack in Paris, Hashdays, APPD, etc. Il est également auteur pour le
magazine MISC.
Plus récemment, il s’est illustré lors de deux conférences où il a démontré
d’une part la faiblesse de certains systèmes de gestion de mobiles (MDM) et
d’autre part, les vulnérabilités de certains systèmes de vote électronique.
Depuis septembre 2013, il a intégré un grand groupe de la région romande en
tant que Security Expert, spécialisé dans le reverse engineering et les mobiles.
E-mail:
Twitter:
[email protected]
@AndrivetSeb