Кибербезопасность мобильных приложений: Николай Исламов, Т-Банк — Как это работает

Один из самых хардовых выпусков этого сезона! В этот раз обсудим кибербезопасность мобильных приложений. В качестве эксперта пригласили Николая Исламова, руководителя управления безопасности приложений Т-Банка. Выпуск длится чуть больше часа. И за это время мы успели обсудить, как работать с данными пользователей, каким библиотекам можно доверять, за что на самом деле отвечает разработчик и почему профессия специалиста по безопасности — вымышленная. Эпизод рекомендован к просмотру всем ИТ-специалистам, связанным с разработкой. Полезные ссылки: — — топ-10 типичных уязвимостей мобильных приложений (2023); — — Mobile Application Security Testing Guide (MASTG). Книжные рекомендации от Николая: — «Прикладная криптография: протоколы, алгоритмы и исходный код на C», Брюс Шнайер; — Android Security Internals: An In-Depth Guide to Android’s Security Architecture, Nikolay Elenkov. Ведущий: Денис Коротков, старший Android-разработчик в Т-Банке Гость: Николай Исламов, руководитель управления безопасности приложений Т-Банка Тайм-коды: 00:00 Начало подкаста 00:43 Гость — Николай Исламов 03:55 Информационная безопасность — это… 06:28 Топ уязвимостей от OWASP Foundation 07:45 Неправильное использование учетных данных 09:57 Обход локальной аутентификации 11:38 Небезопасная передача данных 12:28 Ошибки с TLS и атака Evil Twin через точку доступа Wi-Fi 14:39 Уязвимость библиотек и open-source-систем 17:12 Тулы при работе с open-source-объектами 18:43 Правила работы с библиотеками 20:19 Домашнее задание 20:39 Проблемы с аутентификацией и авторизацией 22:06 Баланс между защищенностью и удобством использования приложения 24:31 Работа с Face ID и Touch ID 26:44 SQL-инъекция — не самая актуальная уязвимость для мобилки 28:08 WebView — безопасно или нет 29:40 Аккуратная работа с данными 31:26 Кейс с зашифрованной базой данных SQL 33:37 Кейс с экспортным контентным провайдером 34:28 Покрывает ли Android и iOS часть уязвимостей 36:51 Диплинк: для чего не стоит использовать 40:10 Показываем кейс с диплинком 41:25 Кейс с Session Fixation 46:36 Некорректная конфигурация безопасности 49:29 Контроль за криптографией 51:25 Чем пользоваться при шифровании данных 53:20 Шифрование данных в мобильном Т-Банке 56:31 Существует ли абсолютный рандом 58:46 Как внедрить безопасность на каждом этапе разработки 01:03:42 Философские мысли о профессии безопасника 01:06:24 База знаний: рекомендации от Николая 01:09:11 Подводим итоги