Post on 15-Apr-2017
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Based on data rather than
assumptions
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
https://techinfographics.com/2016-mobile-app-development-trends/
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
http://www.smartinsights.com/mobile-marketing/mobile-marketing-analytics/mobile-marketing-statistics/
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
http://www.smartinsights.com/mobile-marketing/mobile-marketing-analytics/mobile-marketing-statistics/
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
https://securityintelligence.com/how-to-protect-mobile-apps-essentials/
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
75% of mobile applications would not be able to pass out even the critical security tests--Gartner’s prediction
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Most apps have been hacked !!
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
97% of the top 100 paid apps on the Google Android platform had been hacked—Arxan :: State of mobile security
https://securityintelligence.com/how-to-protect-mobile-apps-essentials/
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
87% of the top 100 paid apps for Apple iOS had been hacked
—Arxan :: State of mobile security
https://securityintelligence.com/how-to-protect-mobile-apps-essentials/
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
80% of popular free apps on Android had been hacked
—Arxan :: State of mobile security
https://securityintelligence.com/how-to-protect-mobile-apps-essentials/
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
75% of popular free apps on Apple iOS had been hacked
—Arxan :: State of mobile security
https://securityintelligence.com/how-to-protect-mobile-apps-essentials/
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Most apps have been hacked !!
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
http://www.technoinfonet.com/blog/7-mobile-app-development-trends-to-watch-in-2016/
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Security will still be a huge challenge in mobile applications
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Mobile Security problems ?
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Mobile Security problems ?
Unintended leakage of dataBroken cryptographyInsecure data storage
etc…
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
We need developer !!
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
But …
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Mobile Developer
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
And …
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Most developers are not trained to develop secure applications !!
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Most developers are new to creating mobile applications !!
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Reload
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Mobile Application Security
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Mobile technologies have their own distinct risks
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Features of Mobile ?
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Features of Mobile ?Carry in pocketDrop in toiletSell on e-commerceLeave on taxiAlways onlineetc …
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Many mobile solutions are not secure as you think
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Attackers will be able to access
Target user/deviceYour application binary
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Mobile applications are different than web applications
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Revolution
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Why Mobile Security ?
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Why Mobile Security ?
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Why Mobile Security ?
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Why Mobile Security ?
network !!
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
http://blog.scottlogic.com/2014/07/07/School-of-Testing.html
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
http://blog.scottlogic.com/2014/07/07/School-of-Testing.html
Security Expert
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Stop Protecting Your Apps; It's Time for Apps to Protect Themselves--Joseph Feiman
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
1. Secure the code
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
2. Secure the device
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
3. Secure the data
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
4. Secure the transaction
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
5. Secure the network
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Not enough !!
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
provide checklist & resources
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Mobile Top Ten 2016
M1 Improper Platform Usage
M2 Insecure Data Storage
M3 Insecure Communication
M4 Insecure Authentication
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Mobile Top Ten 2016
M1 Improper Platform Usage
M2 Insecure Data Storage
M3 Insecure Communication
M4 Insecure Authentication
M5 Insufficient
Cryptography
M6 Insecure Authorization
M7 Client Code Quality
M8 Code Tempering
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Mobile Top Ten 2016
M1 Improper Platform Usage
M2 Insecure Data Storage
M3 Insecure Communication
M4 Insecure Authentication
M5 Insufficient
Cryptography
M6 Insecure Authorization
M7 Client Code Quality
M8 Code Tempering
M9 Reverse Engineering
M10 Extraneous
Functionality
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
State of Software Security in 2015
https://www.veracode.com/blog/2015/07/what-state-software-security-2015
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Top 3
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Mobile Application Security
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Common mobile threats
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Mobile Security Threats
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Mobile Assessment
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Assessment activities
Type Activities
Static AnalysisScan source codeReview source code Reverse engineering from binary
Dynamic AnalysisDebug execution Traffic capture via proxy Analysis remote services
Forensic AnalysisFile permission analysis File content analysis
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Mobile Security Review
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Demo with Android AppReverse engineering
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
APK file is ZIP fileA lot of information !!
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
http://www.javadecompilers.com/apk
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Analyse APK in Android Studio
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Analyse APK in Android Studio
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Analyze Source Code
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Analyze Source Code
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Analyze Source Code
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Analyze Source Code
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Analyze Source Code
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
http://www.javadecompilers.com/apk
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
http://www.javadecompilers.com/apk
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Bad news for developer !!
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Bad guys care,So you should … please
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Attack tree
https://www.owasp.org/images/0/04/Security_Testing_Guidelines_for_mobile_Apps_-_Florian_Stahl%2BJohannes_Stroeher.pdf
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
Most apps have been hacked !!
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี
บริษัท สยามํานาญกิจ จํากัด และเพ่ือนพ้องน้องพ่ี