«ИнфоТеКС Академия» объявляет о запуске конкурса «Прозрачная безопасность» в рамках формата «Соревнование», который направлен на разработку программного кода, осуществляющего механизм модификации (repackage) iOS-приложения и статического контроля кода. Конкурс продлится до 10 ноября, заявки на участие принимаются уже сегодня после регистрации в личном кабинете на сайте проекта.
За картинку спасибо AdExchanger!
Многие из нас сегодня пользуются смартфонами и планшетами, ведь это так удобно забронировать отель или билет на самолет через приложение, оплатить мобильный, использовать мобильный онлайн-банкинг или оплачивать кофе. Кстати о кофе! Наверное, многие также слышали об исследовании Даниела Вуда (Daniel Wood) уязвимостей приложения Starbucks для iOS, согласно которому имена пользователей клиентов, адреса электронной почты, пароли и данные о местоположении становятся доступными через специальное программное обеспечение для краш-аналитики в лог-файлах.
Сколько ещё приложений не очевидным образом хранит данные и/или обещает их защиту, которой фактически не оказывается? Мы предлагаем разобраться в этом вопросе подробнее в рамках конкурса.
Участникам конкурса «Прозрачная безопасность» предлагается в качестве тестовых приложений выбирать следующие 5 из магазина приложений Apple:
1) AnywayAnyday
2) RBKMoney
3) ViaProtect
4) AppMe Chat Messenger
5) McAfee Security
Далее предлагается разработать приложение, встраивающее инструкции (hooks), которые позволяют анализировать параметры функций и методов от локальных до сетевых, а также проверять (подтверждать/опровергать) надёжность используемых механизмов, реализуемых тестовыми приложениями для защиты данных и сам факт наличия этих механизмов, например, шифрования паролей или хранения их в открытом виде.
Тестирование представленных на конкурс приложений производится организатором. За участие в конкурсе предполагается три призовых места, которые распределяются соответственно по наибольшему числу удовлетворяющих условиям задачи критериев. Победители должны предоставить исходные коды, которые способны пройти повторное тестирование. Каждое призовое место будет отмечено финансовым вознаграждением, максимальный размер которого составляет до 300000 рублей.
Подробнее с дополнительными требованиями, критериями оценки и условиями реализации можно ознакомиться ниже:
Требования – приложение должно реализовывать функционал вставки в бинарный исполняемый код ряда «анализирующих» инструкций в отношении выбранных методов для каждого приложения и покрывать наибольшее количество устройств и версий ОС (iOS 4 – iOS 7.0.3), опционально симулятор. Анализирующие инструкции должны записывать параметры аудируемого метода/функции (см. ниже) в лог-файл, заменять на тестовые (выбираются участником и описываются в readme), которые также сохраняются в лог-файл следом за оригинальными значениями; в качестве места расположения лог-файла рекомендуется использовать каталог документов пользователя; также необходимо предусмотреть возможно экспорта лог-файла с устройства для анализа на Desktop. В качестве тестовых приложений выбираются 5 приложений из магазина приложений Apple (см. ниже).
Условия реализации – исходный код, в котором допускается использование сторонних библиотек, собирается штатным компилятором IDE (MS Visual Studio, Xcode 4.6+, GCC 4.8) для каждой ОС. ОС выбирается участником. Модифицированное приложение запускается на платформе iOS 4+, Jailbreak. Модифицированное приложение запускается на Jailbreak-устройстве (iPhone/iPad).
Критерии оценки – участники предоставляют на конкурс техническое описание и скомпилированные файлы. Модифицированное iOS-приложение не должно использовать более 10% ресурсов в сравнении с оригинальным; утилита для модификации iOS-приложения не должна использовать более 500 Мб оперативной памяти. Тестирование проводится на стороне Организаторов, результаты фиксируются и публикуются в общем зачёте (параметры тестовой системы – Win7, Intel Core i7 3Ghz, 8Gb RAM). Оценка будет производиться для указанных версий ОС (iOS 4+) и для каждого типа устройств (iPhone, iPad). В качестве результата берётся средневзвешенное значение всех показателей, при этом подразумевается наименьший использованный объём ресурсов, поддержка версий ОС. Оценка параметров реализации каждого из участников доступна публично.
Методы/функции для анализа (для каждого приложения выбираются применимые):
1) Методы сохранения и загрузки данных/файлов в файлы и/или БД (локальные)
2) Методы сохранения и загрузки данных в/из бэкап-файлов
3) Методы защиты данных (шифрования/расшифрования), например, сообщений (при отправке и приёме), взаимодействии с защищённой адресной книгой (создание, удаление, изменение записи о контакте), защиты паролей или другой чувствительной информации
4) Методы передачи сообщений и получения информации о контакте
5) Методы используемые при выполнении login-активностей (ввода логина, пароля, pin-кодов и т.п.)
Ждем Ваших заявок! Сайт — academy.infotecs.ru
Автор: Infotecs