sicherheit mobiler apps - owasp · owasp owasp mobile security project seit 2010 [1] zielsetzung...
TRANSCRIPT
![Page 1: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/1.jpg)
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.
The OWASP Foundation
OWASP
http://www.owasp.org
Sicherheit mobiler Apps
Andreas Kurtz NESO Security Labs GmbH
Universität Erlangen-Nürnberg [email protected]
17.11.2011
![Page 2: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/2.jpg)
OWASP 2
Agenda
OWASP Mobile Security Project
OWASP TOP 10 Mobile Risks
Beispiele und Erfahrungen aus der Praxis
Fokus auf Defizite bei Authentisierung/Autorisierung
Zusammenfassung
![Page 3: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/3.jpg)
OWASP
SICHERHEIT MOBILER APPS
OWASP Mobile Security Project
3
![Page 4: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/4.jpg)
OWASP
OWASP Mobile Security Project
Seit 2010 [1]
Zielsetzung Entwicklung sicherer mobiler Apps
Inhalte Threat Model
Controls & Design Principles
Risks
Tools, Methodologies
Etc.
4
![Page 5: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/5.jpg)
OWASP
OWASP Top 10 Mobile Risks
5
1. Insecure Data Storage
2. Weak Server Side Controls
3. Insufficient Transport Layer Protection
4. Client Side Injection
5. Poor Authorization and Authentication
6. Improper Session Handling
7. Security Decisions Via Untrusted Inputs
8. Side Channel Data Leakage
9. Broken Cryptography
10. Sensitive Information Disclosure
Release Candidate v1.0
![Page 6: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/6.jpg)
OWASP
OWASP Top 10 Mobile Risks
6
1. Insecure Data Storage
2. Weak Server Side Controls
3. Insufficient Transport Layer Protection
4. Client Side Injection
5. Poor Authorization and Authentication
6. Improper Session Handling
7. Security Decisions Via Untrusted Inputs
8. Side Channel Data Leakage
9. Broken Cryptography
10. Sensitive Information Disclosure
Release Candidate v1.0
![Page 7: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/7.jpg)
OWASP
SICHERHEIT MOBILER APPS
Defizite bei Authentisierung/Autorisierung
7
![Page 8: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/8.jpg)
OWASP
1995
8
![Page 9: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/9.jpg)
OWASP
2005
9
![Page 10: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/10.jpg)
OWASP
2011
10
![Page 11: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/11.jpg)
OWASP
Zyklische Entwicklung
1990 2000 2010
1995 2005
JavaScript AJAX Mobile Apps
2011
11
Depression
![Page 12: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/12.jpg)
OWASP
Häufige Designfehler – Beispiele
Authentisierung/Autorisierung anhand statischer Merkmale
UDID, IMEI, IMSI etc.
Authentisierung/Autorisierung innerhalb der App
Manipulation des Transportwegs
Manipulation interner App-Zustände
12
![Page 13: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/13.jpg)
OWASP
Beispiel: Authentisierung anhand der UDID
Registrierung eines Chat-Accounts
GET /client/iphone/xmpp_reg.php?cc=49&me=<VictimPhoneNumber> ↵
→ &udid=<AttackerUDID>&sms=1 HTTP/1.1 […]
User-Agent: ChatApp/1.0 iPhone_OS/4.3.3 Device/iPhone_4 Accept: */* Accept-Language: en-us Accept-Encoding: gzip, deflate Connection: keep-alive Proxy-Connection: keep-alive
13
![Page 14: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/14.jpg)
OWASP
Beispiel: Authentisierung anhand der UDID
Registrierung eines Chat-Accounts
GET /client/iphone/xmpp_reg.php?cc=49&me=<VictimPhoneNumber> ↵
→ &udid=<AttackerUDID>&sms=1 HTTP/1.1 […]
User-Agent: ChatApp/1.0 iPhone_OS/4.3.3 Device/iPhone_4 Accept: */* Accept-Language: en-us Accept-Encoding: gzip, deflate Connection: keep-alive Proxy-Connection: keep-alive
Telefonnummer des Opfers (Benutzername)
14
![Page 15: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/15.jpg)
OWASP
Beispiel: Authentisierung anhand der UDID
Registrierung eines Chat-Accounts
GET /client/iphone/xmpp_reg.php?cc=49&me=<VictimPhoneNumber> ↵
→ &udid=<AttackerUDID>&sms=1 HTTP/1.1 […]
User-Agent: ChatApp/1.0 iPhone_OS/4.3.3 Device/iPhone_4 Accept: */* Accept-Language: en-us Accept-Encoding: gzip, deflate Connection: keep-alive Proxy-Connection: keep-alive
Geräte-ID des Angreifers (Passwort)
15
![Page 16: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/16.jpg)
OWASP
Wo lag der Fehler?
Authentisierung bzw. Session anhand statischer, kompromittierter Merkmale (z.B. Geräte-ID)
Geräte-ID wird häufig für Statistikzwecke an Dienstleister übermittelt (kein Geheimnis)
Geräte-ID sowie beliebige andere Hardware-Merkmale können mittels Software manipuliert werden
16
![Page 17: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/17.jpg)
OWASP
Unique Device Identifier (UDID)
"Important: Never store user information based solely on the UDID. Always use a combination of UDID and application-specific user ID. A combined ID ensures that if a user passes a device on to another user, the new user will not have access to the original user’s data." Quelle: iOS Developer Library http://developer.apple.com/library/ios/#documentation/uikit/reference/UIDevice_Class/Reference/UIDevice.html Deprecated in
iOS 5.0
17
![Page 18: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/18.jpg)
OWASP
Forschungsprojekt „Gorilla“
Erweitert das iOS Betriebssystem um verschiedene Sicherheits- und Kontrollfunktionen
Absicherung des Systems sowie eine bessere Überwachung installierter Apps
18
![Page 19: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/19.jpg)
OWASP
Forschungsprojekt „Gorilla“
Kostenlos verfügbar in Cydia [2] (ab Anfang 2012 auch für iOS 5)
19
![Page 20: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/20.jpg)
OWASP
Häufige Designfehler – Beispiele
Authentisierung/Autorisierung anhand statischer Merkmale
UDID, IMEI, IMSI etc.
Authentisierung/Autorisierung innerhalb der App
Manipulation des Transportwegs
Manipulation interner App-Zustände
20
![Page 21: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/21.jpg)
OWASP
Beispiel: Authentisierung via SMS
Authentisierung eines Nutzers anhand dessen Telefonnummer
Schritt 1: Benutzer gibt seine Telefonnummer ein
Schritt 2: Telefonnummer wird ans Backend übermittelt
Schritt 3: Backend schickt SMS mit PIN an die angegebene Nummer
Schritt 4: Benutzer beendet die Verifikation durch Eingabe der PIN
21
![Page 22: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/22.jpg)
OWASP
Schritt 1: Eingabe der Telefonnummer
22
![Page 23: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/23.jpg)
OWASP
Schritt 2: Übermitteln der Nummer
HTTPS-Anfrage an den Server:
GET /client/iphone/smsproxy.php?to=4915143[..]&auth=569 ↵ → &in=15143[..]&code=49&udid=b33f6a2df975532f846ca[…] HTTP/1.1
[…]
User-Agent: Messenger/2.6.4 iPhone_OS/4.3.3 Device/iPhone_4 Accept: */* Accept-Language: en-us Accept-Encoding: gzip, deflate Connection: keep-alive
23
![Page 24: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/24.jpg)
OWASP
Schritt 2: Übermitteln der Nummer
Server-Antwort:
HTTP/1.1 200 OK X-Powered-By: PHP/5.2.11 Content-type: text/html Connection: close Date: Sat, 18 Jun 2011 13:48:13 GMT Server: lighttpd/1.4.24 Content-Length: 60 ID: 1308404892 #Message Receive correctly ORDERID=18542673
24
![Page 25: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/25.jpg)
OWASP
Schritt 3/4: Eingabe & Verifikation der PIN
25
![Page 26: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/26.jpg)
OWASP
Wo lag der Fehler?
Verifikation der PIN innerhalb der App [3]
GET /client/iphone/smsproxy.php?to=4915143[..]&auth=569 ↵ → &in=15143[..]&code=49&udid=b33f6a2df975532f846ca[…] HTTP/1.1
[…]
User-Agent: Messenger/2.6.4 iPhone_OS/4.3.3 Device/iPhone_4 Accept: */* Accept-Language: en-us Accept-Encoding: gzip, deflate Connection: keep-alive
26
![Page 27: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/27.jpg)
OWASP
Wo lag der Fehler?
Verifikation der PIN innerhalb der App [3]
GET /client/iphone/smsproxy.php?to=4915143[..]&auth=569 ↵ → &in=15143[..]&code=49&udid=b33f6a2df975532f846ca[…] HTTP/1.1
[…]
User-Agent: Messenger/2.6.4 iPhone_OS/4.3.3 Device/iPhone_4 Accept: */* Accept-Language: en-us Accept-Encoding: gzip, deflate Connection: keep-alive
PIN wird bereits innerhalb der App generiert und zum
SMS-Versand an das Backend übermittelt
27
![Page 28: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/28.jpg)
OWASP
Auswirkungen
Übernahme einer beliebigen Identität
Eingabe der Telefonnummer des Opfers
„Abfangen“ der HTTP-Anfrage und auslesen der PIN
Vortäuschen einer korrekten Server-Antwort
Eingabe der PIN
SMS-Proxy
28
![Page 29: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/29.jpg)
OWASP
SMS-Proxy
Eingabevalidierung?
29
![Page 30: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/30.jpg)
OWASP
Anmerkung: Analyse von HTTPS
Transportverschlüsselung stellt Vertraulichkeit und Integrität der übertragenen Daten sicher
Schützt nicht die Backend-Schnittstelle vor Angriffen (Obscurity)
“Just out of curiosity - did you setup ssl proxy with fake ssl certificate? didn't think it was possible.” “
30
![Page 31: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/31.jpg)
OWASP
Häufige Designfehler – Beispiele
Authentisierung/Autorisierung anhand statischer Merkmale
UDID, IMEI, IMSI etc.
Authentisierung/Autorisierung innerhalb der App
Manipulation des Transportwegs
Manipulation interner App-Zustände
31
![Page 32: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/32.jpg)
OWASP
Häufige Probleme
Sicherheitsmaßnahmen auf Client-Seite
Beispiel: Vorgelagerte Oberflächen zur Benutzeranmeldung verhindern Zugriff auf App-Funktionen
App-Zustände können zur Laufzeit beliebig manipuliert werden
32
![Page 33: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/33.jpg)
OWASP
Manipulation interner App-Zustände
AJAX Mobile App (iOS)
Sprache HTML / JavaScript C / Objective-C
Werkzeuge Firebug, Chrome Developer Tools etc.
gdb, Objective-C Runtime etc.
33
![Page 34: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/34.jpg)
OWASP
Manipulation interner App-Zustände
Umfangreiche Objective-C Runtime [4] ermöglicht Manipulation von Apps zur Laufzeit
Einbringen einer Bibliothek mit Debugging-Funktionalität in den Prozess der App (Library Injection)
34
![Page 35: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/35.jpg)
OWASP
Demonstration
Ausblenden einer Anmeldemaske durch Manipulation interner App-Zustände
35
![Page 36: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/36.jpg)
OWASP
Manipulation interner App-Zustände
Wo lag der Fehler? Statischer „AppToken“ zur Kommunikation mit dem
Backend
Übertragbar auf andere Beispiele Apps zur PIN/Passwortverwaltung
Dokumentenverwaltung
Etc.
Erweiterbar auf beliebige client-seitige Logik „Freischalten“ versteckter App-Funktionalität
Zugriff auf Code aus der Entwicklung
Etc.
36
![Page 37: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/37.jpg)
OWASP
Zusammenfassung
Mobile Apps als alternatives Frontend
Viele Probleme (und Lösungen!) aus der Browser-basierten Welt sind auf mobile Apps übertragbar
Häufig noch Defizite in der Umsetzung
37
![Page 38: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/38.jpg)
OWASP
Quellen
[1] OWASP Mobile Security Project https://www.owasp.org/index.php/OWASP_Mobile_Security_Project
[2] Gorilla, App zur Absicherung von Apple iOS http://www.nesolabs.de/software/gorilla/
[3] Shooting the Messenger, Blogeintrag http://www.andreas-kurtz.de/2011/09/shooting-messenger.html
[4] Objective C Runtime Reference http://developer.apple.com/library/mac/#documentation/Cocoa/Reference/ObjCRuntimeRef/Reference/reference.html
38
![Page 39: Sicherheit mobiler Apps - OWASP · OWASP OWASP Mobile Security Project Seit 2010 [1] Zielsetzung Entwicklung sicherer mobiler Apps Inhalte Threat Model Controls & Design Principles](https://reader035.vdocument.in/reader035/viewer/2022062508/605164d0ec773b48515c5bfe/html5/thumbnails/39.jpg)
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.
The OWASP Foundation
OWASP
http://www.owasp.org
Vielen Dank!
Andreas Kurtz NESO Security Labs GmbH
Weipertstr. 8-10 74076 Heilbronn [email protected] http://www.nesolabs.de