SDCast #137: в гостях Артём Кулаков, исследователь безопасности в компании «Positive Technologies»

Давно мы не говорили про безопасность приложений, платформ и вообще аспекты безопасности в разработке. Исправляем! Встречайте 137-й выпуск подкаста. У меня в гостях Артём Кулаков, исследователь безопасности в компании «Positive Technologies».

В этом выпуске мы говорим с Артёмом про его путь в айти и трансформацию из разработчика в исследователя безопасности в целом и в контексте мобильной платформы Android в первую очередь. Обсуждаем безопасность самой платформы, её эволюцию, что делают вендоры и Гугл в частности для улучшения безопасности платформы и приложений на ней. Какие есть инструменты, техники, приёмы и механизмы для контроля и предотвращения и улучшения вопросов безопасности.

Обсуждаем вопросы документации и базовых знаний разработчиков. Как официальная документация платформы и примеры кода влияют на качество кода разрабатываемых приложений. Какими базовыми знаниями по безопасности необходимо обладать разработчикам. Где и как получать эти знания и информацию. Обсудили тему фреймворков и различных библиотек, который абстрагируют работу с различными системными компонентами и как это влияет на качество кода. Обсудили, какие есть варианты аудита безопасности приложений: внутри компаний и вне.

В заключении выпуска немного подискутировали о новых тенденциях и веяниях в области безопасности приложений.

Ссылки на ресурсы по темам выпуска:

• Проект Артёма “Android Guards”:
  • Канал в телеграме:https://t.me/android_guards_today
  • Чат в телеграме: https://t.me/android_guards
  • Канал на YouTube: https://www.youtube.com/c/AndroidGuards
  • Подкаст “Android Guards Podcast” в iTunes
  • Подкаст “Android Guards Podcast” в Google
• Статья про предсказуемый рандом в паролях Касперского (en)
• Заметка “Zoom Lied about End-to-End Encryption”
• iOS 15 RCE:
  • https://saaramar.github.io/IOMFB_integer_overflow_poc/
  • https://github.com/jonathandata1/ios_15_rce
• OWASP Top Ten:
  • Web: https://owasp.org/www-project-top-ten/
  • API: https://owasp.org/www-project-api-security/
  • Mobile: https://owasp.org/www-project-mobile-top-10/
• Примеры IPC багов в Android:
  • Доступ к защищенным компонентам приложения
  • Кража файлов и RCE в TikTok
• Книги:
  • Android Hacker’s Handbook
  • Android Security Internals
• Чем проверить свои приложения:
  • OWASP Dependency Checker
  • MobSF. Сканер безопасности, который можно развернуть у себя в инфраструктуре
  • Плагин для анализатора FindBugs сконцентрированный на безопасности

Понравился выпуск? — Поддержи подкаст на patreon.com/KSDaemon, звёздочками в iTunesили своём подкаст-плеере, а так же ретвитом или постом! Заходи в телеграм-чат SDCast, где можно обсудить выпуски, предложить гостей и высказать свои замечания и пожелания!