SlideShare ist ein Scribd-Unternehmen logo
1 von 32
MOBILE
Workshop Mobile Development
Fabio Lalli
CEO IQUII
!
26 Giugno 2014 Fabio CIOTOLI
CTO IQUII
WELCOME

#OPENIQUII
MERCATO
Sviluppo
security
mercato
Da dove iniziare?
framework o nativo?
che tipo di app?
Librerie
mobile security
DEVICE
NETWORK
DATA
15Tips & tricks
dati
•Non memorizzare dati
sensibili
•Master key cifrata con
pass-phrase dell’utente
•Algorimo robusto, es.
PBKDF2 con molte
iterazione (CPU
consuming)
•Memorizzarli
temporaneamente in RAM
1
caching
• Log
• Crash
• Cookies
2
parametri
!
• Query String in log e
cronologie
• Utilizzare POST con CSFR
Protection
• Se necessario negoziare una
chiave con il server (es. Diffie-
Hellman) 3
ssl/tls
• Man-in-the-middle attack
possibile
• Trusted root CA
4
Unique
Identifier
• Offuscare gli ID
• Token con mapping server-
side
• RAM Attack sul backend
5
anti
reverse
• Utilizzare offuscatori
• Objective C è riflessivo
• Runtime attack
6
logica
semplice
• if (proUser == 1)
• Con debug a basso livello
(assembly) è facile
intercettare i CBZ
(compare-and- branch-
on-zero) o CBNZ.
• Considerare paradigmi più
robusti 7
keyboard
cache
• Su iOS e Android vengono
loggate le parole digitate
• Disabilitare la correzione
automatica sui TextField
8
snapshot
• Per fornire animazione più
fluide iOS esegue snapshot
• Gestire il background
dell’app
9
broadcast
intent
• Evitare ove possibile il
broadcast intent
• Anche specificando
permessi, qualsiasi app
potrebbe implementare gli
stessi servizi dell’app
ricevente
10
keychain
• Il keychain è memorizzato in
maniera cifrata nel backup
itunes
• È possibile decifrarlo
• Impedisce il cambio di
certificato
11
webview
• Disabilitare javascript e
plugin
• Disabilitare accesso ai file
locali
• Prevenire il caricamento di
contenuti da hosts di terze
parti
12
ram
• Non mantenere informazioni
in RAM
• Variabili null appena possibile
13
Delete
file
• File.delete() non sicuro
• Sovrascrivere i file non
funziona nel mobile
• Assumere che ogni file può
essere recuperato e
memorizzarlo cifrato
14
in-app
Purchases
• Verificare ricevute tramite
server
• Non embeddare contenuti
15
Terrorizzati?
Prossimi eventi
23 Aprile – Mobile Marketing // Fabio Lalli – Fabio Ciotoli

22 Maggio – Social Media Marketing // Tommaso Sorchiotti – Simone Cinelli	



26 Giugno – Mobile Development // Fabio Ciotoli – Fabio Lalli	



10 Luglio – Wearable // Fabio Lalli – Alessandro Prunesti	



18 Settembre – Social Media Monitoring // Lorenzo Sfienti – Simone Cinelli	



16 Ottobre – Personal and Executive branding // Tommaso Sorchiotti – Alessandro Prunesti	

!
20 Novembre – Gamification // Fabio Lalli – Alessandro Prunesti	



11 Dicembre – Innovazione // Fabio Lalli
NETWORKING time
[#openIQUII - Workshop] Mobile Development e Mobile Security

Weitere ähnliche Inhalte

Ähnlich wie [#openIQUII - Workshop] Mobile Development e Mobile Security

festival ICT 2013: Il rischio è mobile
festival ICT 2013: Il rischio è mobilefestival ICT 2013: Il rischio è mobile
festival ICT 2013: Il rischio è mobilefestival ICT 2016
 
MySQL Day Milano 2017 - Dalla replica a InnoDB Cluster: l’HA secondo MySQL
MySQL Day Milano 2017 - Dalla replica a InnoDB Cluster: l’HA secondo MySQLMySQL Day Milano 2017 - Dalla replica a InnoDB Cluster: l’HA secondo MySQL
MySQL Day Milano 2017 - Dalla replica a InnoDB Cluster: l’HA secondo MySQLPar-Tec S.p.A.
 
Difendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open sourceDifendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open sourceGianluca Vaglio
 
Mobile Security su Android - LinuxDay 2018
Mobile Security su Android - LinuxDay 2018Mobile Security su Android - LinuxDay 2018
Mobile Security su Android - LinuxDay 2018Stefano Sanna
 
Smau Milano 2016 - bcloud
Smau Milano 2016 - bcloudSmau Milano 2016 - bcloud
Smau Milano 2016 - bcloudSMAU
 
Privacy e sicurezza nel cloud
Privacy e sicurezza nel cloudPrivacy e sicurezza nel cloud
Privacy e sicurezza nel cloudaspy
 
MySQL Tech Tour 2015 - Soluzioni di alta disponibilità con MySQL
MySQL Tech Tour 2015 - Soluzioni di alta disponibilità con MySQLMySQL Tech Tour 2015 - Soluzioni di alta disponibilità con MySQL
MySQL Tech Tour 2015 - Soluzioni di alta disponibilità con MySQLPar-Tec S.p.A.
 
Infrastrutture ad alta disponibilità ridondate geograficamente sull'infrastru...
Infrastrutture ad alta disponibilità ridondate geograficamente sull'infrastru...Infrastrutture ad alta disponibilità ridondate geograficamente sull'infrastru...
Infrastrutture ad alta disponibilità ridondate geograficamente sull'infrastru...seeweb
 
Smau Milano 2016 - Seeweb, Marco d'Itri
Smau Milano 2016 - Seeweb, Marco d'ItriSmau Milano 2016 - Seeweb, Marco d'Itri
Smau Milano 2016 - Seeweb, Marco d'ItriSMAU
 
SMAU Milano 2014 GAE 24/10/2014 - IWA Italy
SMAU Milano 2014 GAE 24/10/2014 - IWA ItalySMAU Milano 2014 GAE 24/10/2014 - IWA Italy
SMAU Milano 2014 GAE 24/10/2014 - IWA ItalyPaolo Dadda
 
Osd 2016 Middleware Track
Osd 2016 Middleware TrackOsd 2016 Middleware Track
Osd 2016 Middleware TrackUgo Landini
 
02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIO
02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIO02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIO
02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIOVMUG IT
 
Come mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Come mettere in sicurezza le applicazioni legacy, un approccio pragmaticoCome mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Come mettere in sicurezza le applicazioni legacy, un approccio pragmaticoAntonio Parata
 

Ähnlich wie [#openIQUII - Workshop] Mobile Development e Mobile Security (20)

Giacomo Barbieri - Modulo 5 - Valorizzare lo studio con la tecnologia - Milan...
Giacomo Barbieri - Modulo 5 - Valorizzare lo studio con la tecnologia - Milan...Giacomo Barbieri - Modulo 5 - Valorizzare lo studio con la tecnologia - Milan...
Giacomo Barbieri - Modulo 5 - Valorizzare lo studio con la tecnologia - Milan...
 
festival ICT 2013: Il rischio è mobile
festival ICT 2013: Il rischio è mobilefestival ICT 2013: Il rischio è mobile
festival ICT 2013: Il rischio è mobile
 
Xamarin Robotics
Xamarin RoboticsXamarin Robotics
Xamarin Robotics
 
MySQL Day Milano 2017 - Dalla replica a InnoDB Cluster: l’HA secondo MySQL
MySQL Day Milano 2017 - Dalla replica a InnoDB Cluster: l’HA secondo MySQLMySQL Day Milano 2017 - Dalla replica a InnoDB Cluster: l’HA secondo MySQL
MySQL Day Milano 2017 - Dalla replica a InnoDB Cluster: l’HA secondo MySQL
 
Difendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open sourceDifendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open source
 
Mobile Security su Android - LinuxDay 2018
Mobile Security su Android - LinuxDay 2018Mobile Security su Android - LinuxDay 2018
Mobile Security su Android - LinuxDay 2018
 
Smau Milano 2016 - bcloud
Smau Milano 2016 - bcloudSmau Milano 2016 - bcloud
Smau Milano 2016 - bcloud
 
Dark net.1203
Dark net.1203Dark net.1203
Dark net.1203
 
Privacy e sicurezza nel cloud
Privacy e sicurezza nel cloudPrivacy e sicurezza nel cloud
Privacy e sicurezza nel cloud
 
MySQL Tech Tour 2015 - Soluzioni di alta disponibilità con MySQL
MySQL Tech Tour 2015 - Soluzioni di alta disponibilità con MySQLMySQL Tech Tour 2015 - Soluzioni di alta disponibilità con MySQL
MySQL Tech Tour 2015 - Soluzioni di alta disponibilità con MySQL
 
Dammi il tuo iPhone e ti dirò chi sei (Forse)
Dammi il tuo iPhone e ti dirò chi sei (Forse)Dammi il tuo iPhone e ti dirò chi sei (Forse)
Dammi il tuo iPhone e ti dirò chi sei (Forse)
 
Infrastrutture ad alta disponibilità ridondate geograficamente sull'infrastru...
Infrastrutture ad alta disponibilità ridondate geograficamente sull'infrastru...Infrastrutture ad alta disponibilità ridondate geograficamente sull'infrastru...
Infrastrutture ad alta disponibilità ridondate geograficamente sull'infrastru...
 
Smau Milano 2016 - Seeweb, Marco d'Itri
Smau Milano 2016 - Seeweb, Marco d'ItriSmau Milano 2016 - Seeweb, Marco d'Itri
Smau Milano 2016 - Seeweb, Marco d'Itri
 
Sophos - Sicurezza dei Dati
Sophos - Sicurezza dei DatiSophos - Sicurezza dei Dati
Sophos - Sicurezza dei Dati
 
SMAU Milano 2014 GAE 24/10/2014 - IWA Italy
SMAU Milano 2014 GAE 24/10/2014 - IWA ItalySMAU Milano 2014 GAE 24/10/2014 - IWA Italy
SMAU Milano 2014 GAE 24/10/2014 - IWA Italy
 
Privacy in enigmate
Privacy in enigmatePrivacy in enigmate
Privacy in enigmate
 
Osd 2016 Middleware Track
Osd 2016 Middleware TrackOsd 2016 Middleware Track
Osd 2016 Middleware Track
 
IoT e l'integrazione cloud edge
IoT e l'integrazione cloud edgeIoT e l'integrazione cloud edge
IoT e l'integrazione cloud edge
 
02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIO
02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIO02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIO
02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIO
 
Come mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Come mettere in sicurezza le applicazioni legacy, un approccio pragmaticoCome mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Come mettere in sicurezza le applicazioni legacy, un approccio pragmatico
 

Mehr von IQUII

Strategie di profilazione dei fan e l'engagement in varie discipline sportive
Strategie di profilazione dei fan e l'engagement in varie discipline sportiveStrategie di profilazione dei fan e l'engagement in varie discipline sportive
Strategie di profilazione dei fan e l'engagement in varie discipline sportiveIQUII
 
"The European Football Club" Report *20th edition* | #SportInsight
"The European Football Club" Report *20th edition* | #SportInsight"The European Football Club" Report *20th edition* | #SportInsight
"The European Football Club" Report *20th edition* | #SportInsightIQUII
 
Tech & Digital Trends 2019
Tech & Digital Trends 2019Tech & Digital Trends 2019
Tech & Digital Trends 2019IQUII
 
IQUII > Culture Code - ENG
IQUII > Culture Code - ENGIQUII > Culture Code - ENG
IQUII > Culture Code - ENGIQUII
 
IQUII > Culture Code - ITA
IQUII > Culture Code - ITAIQUII > Culture Code - ITA
IQUII > Culture Code - ITAIQUII
 
Tech & Digital Trends 2018
Tech & Digital Trends 2018Tech & Digital Trends 2018
Tech & Digital Trends 2018IQUII
 
iPhone X - Le caratteristiche tecniche del nuovo device Apple
iPhone X - Le caratteristiche tecniche del nuovo device AppleiPhone X - Le caratteristiche tecniche del nuovo device Apple
iPhone X - Le caratteristiche tecniche del nuovo device AppleIQUII
 
Enterprise App Ecosystem: the benefits of a mobile, scalable and flexible ec...
Enterprise App Ecosystem: the benefits of a mobile,  scalable and flexible ec...Enterprise App Ecosystem: the benefits of a mobile,  scalable and flexible ec...
Enterprise App Ecosystem: the benefits of a mobile, scalable and flexible ec...IQUII
 
Enterprise App Ecosystem: i vantaggi di un ecosistema mobile scalabile e fles...
Enterprise App Ecosystem: i vantaggi di un ecosistema mobile scalabile e fles...Enterprise App Ecosystem: i vantaggi di un ecosistema mobile scalabile e fles...
Enterprise App Ecosystem: i vantaggi di un ecosistema mobile scalabile e fles...IQUII
 
Tech & Digital Trend 2017
Tech & Digital Trend 2017Tech & Digital Trend 2017
Tech & Digital Trend 2017IQUII
 
Automatizzare il Customer Care con Chatbot e Intelligenza Artificiale - Talk ...
Automatizzare il Customer Care con Chatbot e Intelligenza Artificiale - Talk ...Automatizzare il Customer Care con Chatbot e Intelligenza Artificiale - Talk ...
Automatizzare il Customer Care con Chatbot e Intelligenza Artificiale - Talk ...IQUII
 
Mobile App Analytics: misurare le performance e individuare i KPI utili al bu...
Mobile App Analytics: misurare le performance e individuare i KPI utili al bu...Mobile App Analytics: misurare le performance e individuare i KPI utili al bu...
Mobile App Analytics: misurare le performance e individuare i KPI utili al bu...IQUII
 
Mobile App Engagement: come attivare il comportamento degli utenti - Social M...
Mobile App Engagement: come attivare il comportamento degli utenti - Social M...Mobile App Engagement: come attivare il comportamento degli utenti - Social M...
Mobile App Engagement: come attivare il comportamento degli utenti - Social M...IQUII
 
Mobile App Marketing @ Social Media Week 2016
Mobile App Marketing @ Social Media Week 2016Mobile App Marketing @ Social Media Week 2016
Mobile App Marketing @ Social Media Week 2016IQUII
 
Progettazione Mobile: come pubblicare la tua app sullo Store in 12 step [#ope...
Progettazione Mobile: come pubblicare la tua app sullo Store in 12 step [#ope...Progettazione Mobile: come pubblicare la tua app sullo Store in 12 step [#ope...
Progettazione Mobile: come pubblicare la tua app sullo Store in 12 step [#ope...IQUII
 
#QuriosityCamp: le app progettate dai bambini
#QuriosityCamp: le app progettate dai bambini#QuriosityCamp: le app progettate dai bambini
#QuriosityCamp: le app progettate dai bambiniIQUII
 
Ubiquitous Advertising: i nuovi touchpoint del People-Based Marketing [#openI...
Ubiquitous Advertising: i nuovi touchpoint del People-Based Marketing [#openI...Ubiquitous Advertising: i nuovi touchpoint del People-Based Marketing [#openI...
Ubiquitous Advertising: i nuovi touchpoint del People-Based Marketing [#openI...IQUII
 
Mobile Engagement [#openIQUII - Workshop]
Mobile Engagement [#openIQUII - Workshop]Mobile Engagement [#openIQUII - Workshop]
Mobile Engagement [#openIQUII - Workshop]IQUII
 
Top Tech & Digital Trends 2016
Top Tech & Digital Trends 2016Top Tech & Digital Trends 2016
Top Tech & Digital Trends 2016IQUII
 
Growth Hacking - [#shareIQUII - Workshop]
Growth Hacking - [#shareIQUII - Workshop]Growth Hacking - [#shareIQUII - Workshop]
Growth Hacking - [#shareIQUII - Workshop]IQUII
 

Mehr von IQUII (20)

Strategie di profilazione dei fan e l'engagement in varie discipline sportive
Strategie di profilazione dei fan e l'engagement in varie discipline sportiveStrategie di profilazione dei fan e l'engagement in varie discipline sportive
Strategie di profilazione dei fan e l'engagement in varie discipline sportive
 
"The European Football Club" Report *20th edition* | #SportInsight
"The European Football Club" Report *20th edition* | #SportInsight"The European Football Club" Report *20th edition* | #SportInsight
"The European Football Club" Report *20th edition* | #SportInsight
 
Tech & Digital Trends 2019
Tech & Digital Trends 2019Tech & Digital Trends 2019
Tech & Digital Trends 2019
 
IQUII > Culture Code - ENG
IQUII > Culture Code - ENGIQUII > Culture Code - ENG
IQUII > Culture Code - ENG
 
IQUII > Culture Code - ITA
IQUII > Culture Code - ITAIQUII > Culture Code - ITA
IQUII > Culture Code - ITA
 
Tech & Digital Trends 2018
Tech & Digital Trends 2018Tech & Digital Trends 2018
Tech & Digital Trends 2018
 
iPhone X - Le caratteristiche tecniche del nuovo device Apple
iPhone X - Le caratteristiche tecniche del nuovo device AppleiPhone X - Le caratteristiche tecniche del nuovo device Apple
iPhone X - Le caratteristiche tecniche del nuovo device Apple
 
Enterprise App Ecosystem: the benefits of a mobile, scalable and flexible ec...
Enterprise App Ecosystem: the benefits of a mobile,  scalable and flexible ec...Enterprise App Ecosystem: the benefits of a mobile,  scalable and flexible ec...
Enterprise App Ecosystem: the benefits of a mobile, scalable and flexible ec...
 
Enterprise App Ecosystem: i vantaggi di un ecosistema mobile scalabile e fles...
Enterprise App Ecosystem: i vantaggi di un ecosistema mobile scalabile e fles...Enterprise App Ecosystem: i vantaggi di un ecosistema mobile scalabile e fles...
Enterprise App Ecosystem: i vantaggi di un ecosistema mobile scalabile e fles...
 
Tech & Digital Trend 2017
Tech & Digital Trend 2017Tech & Digital Trend 2017
Tech & Digital Trend 2017
 
Automatizzare il Customer Care con Chatbot e Intelligenza Artificiale - Talk ...
Automatizzare il Customer Care con Chatbot e Intelligenza Artificiale - Talk ...Automatizzare il Customer Care con Chatbot e Intelligenza Artificiale - Talk ...
Automatizzare il Customer Care con Chatbot e Intelligenza Artificiale - Talk ...
 
Mobile App Analytics: misurare le performance e individuare i KPI utili al bu...
Mobile App Analytics: misurare le performance e individuare i KPI utili al bu...Mobile App Analytics: misurare le performance e individuare i KPI utili al bu...
Mobile App Analytics: misurare le performance e individuare i KPI utili al bu...
 
Mobile App Engagement: come attivare il comportamento degli utenti - Social M...
Mobile App Engagement: come attivare il comportamento degli utenti - Social M...Mobile App Engagement: come attivare il comportamento degli utenti - Social M...
Mobile App Engagement: come attivare il comportamento degli utenti - Social M...
 
Mobile App Marketing @ Social Media Week 2016
Mobile App Marketing @ Social Media Week 2016Mobile App Marketing @ Social Media Week 2016
Mobile App Marketing @ Social Media Week 2016
 
Progettazione Mobile: come pubblicare la tua app sullo Store in 12 step [#ope...
Progettazione Mobile: come pubblicare la tua app sullo Store in 12 step [#ope...Progettazione Mobile: come pubblicare la tua app sullo Store in 12 step [#ope...
Progettazione Mobile: come pubblicare la tua app sullo Store in 12 step [#ope...
 
#QuriosityCamp: le app progettate dai bambini
#QuriosityCamp: le app progettate dai bambini#QuriosityCamp: le app progettate dai bambini
#QuriosityCamp: le app progettate dai bambini
 
Ubiquitous Advertising: i nuovi touchpoint del People-Based Marketing [#openI...
Ubiquitous Advertising: i nuovi touchpoint del People-Based Marketing [#openI...Ubiquitous Advertising: i nuovi touchpoint del People-Based Marketing [#openI...
Ubiquitous Advertising: i nuovi touchpoint del People-Based Marketing [#openI...
 
Mobile Engagement [#openIQUII - Workshop]
Mobile Engagement [#openIQUII - Workshop]Mobile Engagement [#openIQUII - Workshop]
Mobile Engagement [#openIQUII - Workshop]
 
Top Tech & Digital Trends 2016
Top Tech & Digital Trends 2016Top Tech & Digital Trends 2016
Top Tech & Digital Trends 2016
 
Growth Hacking - [#shareIQUII - Workshop]
Growth Hacking - [#shareIQUII - Workshop]Growth Hacking - [#shareIQUII - Workshop]
Growth Hacking - [#shareIQUII - Workshop]
 

[#openIQUII - Workshop] Mobile Development e Mobile Security