Markus Kopf und ich sprechen darüber, wie man iOS-Apps sicher machen kann. Dabei sprechen wir über HTTPS, mögliche Risiken wie man-in-the-middle und wie man sich mit SSL-Pinning davor schützen kann. Nachdem wir das sichere Speichern von Daten auf dem Gerät und ein paar weitere Themen wie Jailbreaks anreißen, kommen wir abschließend noch knapp auf die NSA-Affäre zu sprechen.
Alternativ zum Download könnt Ihr UISprech bei iTunes oder mit einem anderen Podcast-Client abonieren.
Shownotes
Hier die Links und Anmerkungen zu dieser Episode:
Diese Episode wird gesponsort von der JetBrain’s AppCode. Vielen Dank!
Wenn Ihr beim Kauf einer Personal License den Rabatt-Code AppCodeUISprechNovember beim Kauf verwendet, bekommt Ihr bis zum Ende November 25% Rabatt.
Was macht payleven?
- payleven, und die Konkurrenz Square und iZettle
- Reed-Kontakt (habe mir inzwischen sagen lassen, dass der im Kassettenrekorder gar nicht verbaut wird…)
iOS und Sicherheit im Allgemeinen
- Angriffsvektor
- Man-in-the-Middle-Angriff
- Talk vom BSI (vor 20 Jahren im Desktop genauso) (Markus?)
- Standard X.509 zum erstellen digitaler Zertifikate
Sicherheitsprobleme
- SSL (bzw. TLS) und HTTPS
- Man-in-the-Middle-Angriff (noch einmal, dieses Mal genauer)
- Social Engineering
- Phishing Attacke
- In-App-Purchase Receipt Manipulation
SSL-Pinning
Vielen Dank Jochen Zilske für diese Links!
- Adam Langley über Public Key Pinning
- Graham Lee über SSL Pinning und noch ein kurzes Paper “TLS DONE LESS WRONG”
- SSL-Pinning diskutiert von iSEC Partners (hier noch Folien)
- Pinning beschrieben vom OWASP (samt netter Zusammenfassun derg Begriffe)
Weitere Schutzmöglichkeiten
- NSURLConnectionDelegate willSendRequest:ForAuthentictionChallenge:
- Obfuscation
- Hopper, ein Decompiler und Debugger für iOS
- HMAC
- AFNetworking
- Blackhat-Konferenz-Talk über Chaining und co. Als Beispiel (hast Du dazu infos, Markus?)
- Keychain ist eine gute Sache
Rechtliches und NSA
- Section 3.3.2 (leider aus rechtlichen Gründen kein direkter Link möglich)
- Safe Harbor Abkommen
- Lavabit (Bericht im Guardian) und Edward Snowden
Weitere Infos
- Buchtipp: Hacking and Securing iOS Applications von Jonathan Zdziarski, erschienen bei O’Reilly
Kontaktdaten von Markus Kopf
Diese und alle anderen Folgen von UISprech sind veröffentlicht unter der CC BY-SA 3.0 Lizenz.
Passend zu dieser Ausgabe ist der folgende Beitrag auf heise online erschienen: Android-Apps mit SSL-Lücken. Es handelt sich zwar um Android-Apps, aber das Prinzip gilt natürlich auch für iOS. Die entsprechenden Entwickler hätten wohl besser mal diese Folge von UISprech gehört (und entsprechend gehandelt)!
Danke für die Ergänzung, Peter 🙂