Давно мы не говорили про безопасность приложений, платформ и вообще аспекты безопасности в разработке. Исправляем! Встречайте 137-й выпуск подкаста. У меня в гостях Артём Кулаков, исследователь безопасности в компании «Positive Technologies». В этом выпуске мы говорим с Артёмом про его путь в айти и трансформацию из разработчика в исследователя безопасности в целом и в контексте мобильной платформы Android в первую очередь. Обсуждаем безопасность самой платформы, её эволюцию, что делают вендоры и Гугл в частности для улучшения безопасности платформы и приложений на ней. Какие есть инструменты, техники, приёмы и механизмы для контроля и предотвращения и улучшения вопросов безопасности. Обсуждаем вопросы документации и базовых знаний разработчиков. Как официальная документация платформы и примеры кода влияют на качество кода разрабатываемых приложений. Какими базовыми знаниями по безопасности необходимо обладать разработчикам. Где и как получать эти знания и информацию. Обсудили тему фреймворков и различных библиотек, который абстрагируют работу с различными системными компонентами и как это влияет на качество кода. Обсудили, какие есть варианты аудита безопасности приложений: внутри компаний и вне. В заключении выпуска немного подискутировали о новых тенденциях и веяниях в области безопасности приложений. Ссылки на ресурсы по темам выпуска: * Проект Артёма “Android Guards”: * Канал в телеграме: https://t.me/android_guards_today * Чат в телеграме: https://t.me/android_guards * Канал на YouTube: https://www.youtube.com/c/AndroidGuards * Подкаст “Android Guards Podcast” в iTunes (https://podcasts.apple.com/us/podcast/android-guards-podcast/id1552280775) * Подкаст “Android Guards Podcast” в Google (https://podcasts.google.com/feed/aHR0cHM6Ly9jbG91ZC5tYXZlLmRpZ2l0YWwvMzI2NzM) * Статья про предсказуемый рандом в паролях Касперского (en) (https://donjon.ledger.com/kaspersky-password-manager/) * Заметка “Zoom Lied about End-to-End Encryption” (https://www.schneier.com/blog/archives/2021/08/zoom-lied-about-end-to-end-encryption.html) * iOS 15 RCE: * https://saaramar.github.io/IOMFB_integer_overflow_poc/ * https://github.com/jonathandata1/ios_15_rce * OWASP Top Ten: * Web: https://owasp.org/www-project-top-ten/ * API: https://owasp.org/www-project-api-security/ * Mobile: https://owasp.org/www-project-mobile-top-10/ * Примеры IPC багов в Android: * Доступ к защищенным компонентам приложения (https://blog.oversecured.com/Android-Access-to-app-protected-components/) * Кража файлов и RCE в TikTok (https://blog.oversecured.com/Oversecured-detects-dangerous-vulnerabilities-in-the-TikTok-Android-app/) * Книги: * Android Hacker's Handbook (https://www.amazon.com/Android-Hackers-Handbook-Joshua-Drake/dp/111860864X) * Android Security Internals (https://nostarch.com/androidsecurity) * Чем проверить свои приложения: * OWASP Dependency Checker (https://owasp.org/www-project-dependency-check/) * MobSF. Сканер безопасности, который можно развернуть у себя в инфраструктуре (https://mobsf.github.io/docs/#/) * Плагин для анализатора FindBugs сконцентрированный на безопасности (https://find-sec-bugs.github.io/) Понравился выпуск? — Поддержи подкаст на patreon.com/KSDaemon (https://www.patreon.com/KSDaemon), звёздочками в iTunes (https://podcasts.apple.com/ru/podcast/software-development-podcast/id890468606?l=en) или своём подкаст-плеере, а так же ретвитом или постом! Заходи в телеграм-чат SDCast (https://t.me/SDCast), где можно обсудить выпуски, предложить гостей и высказать свои замечания и пожелания!