UISprech
UISprech
Heiko Behrens
#6 Sichere Apps mit Markus Kopf
1 hour 4 minutes Posted Nov 7, 2013 at 2:00 pm.
+02:00","duration":"01:04:58.802","poster":"http:\/\/uisprech.de\/wp-content\/cache\/podlove\/3e\/01aae6c42b3ed7e463ec63ac6f75a4\/uisprech_500x.png","link":"http:\/\/uisprech.de\/p\/6","chapters":[{"start":"00:00:00.000","title":"Intro","href":"","image":""},{"start":"00:01:04.030","title":"Sponsor: AppCode","href":"","image":""},{"start":"00:02:20.110","title":"Markus Kopf","href":"","image":""},{"start":"00:04:03.180","title":"Was macht payleven?","href":"","image":""},{"start":"00:07:37.150","title":"iOS und Sicherheit im Allgemeinen","href":"","image":""},{"start":"00:13:16.060","title":"SSL und HTTPS","href":"","image":""},{"start":"00:16:32.230","title":"Man in the Middle","href":"","image":""},{"start":"00:23:00.160","title":"Social Engineering","href":"","image":""},{"start":"00:24:35.080","title":"SSL-Pinning","href":"","image":""},{"start":"00:32:40.070","title":"Hardwareunterst\u00fctzung beim Verschl\u00fcssen","href":"","image":""},{"start":"00:37:28.110","title":"Gibt es f\u00fcr Entwickler etwas fertiges?","href":"","image":""},{"start":"00:39:49.100","title":"Sicherheit beim Speichern von Daten","href":"","image":""},{"start":"00:43:36.070","title":"Steht Sicherheit im Konflikt mit einer guten UX?","href":"","image":""},{"start":"00:48:13.190","title":"Sicherheit durch Virtualisierung","href":"","image":""},{"start":"00:51:13.160","title":"Sicherheit und Jailbreak","href":"","image":""},{"start":"00:53:48.180","title":"Kann ich meine App nun sicher machen oder nicht?","href":"","image":""},{"start":"00:55:08.110","title":"Kann die NSA jede HTTPS-Verbindung mitlesen?","href":"","image":""},{"start":"00:58:01.070","title":"Ist Sicherheit ein Vertragsbestandteil?","href":"","image":""},{"start":"01:00:49.220","title":"Was war, was w\u00fcnscht Du Dir?","href":"","image":""},{"start":"01:02:41.050","title":"Kontaktdaten von Markus Kopf","href":"","image":""},{"start":"01:03:41.050","title":"Outro","href":"","image":""}],"audio":[{"url":"http:\/\/uisprech.s3.amazonaws.com\/pods\/uisprech_6__sichere_apps__markus_kopf.m4a","size":"48567855","title":"MPEG-4 AAC Audio (m4a)","mimeType":"audio\/mp4"},{"url":"http:\/\/uisprech.s3.amazonaws.com\/pods\/uisprech_6__sichere_apps__markus_kopf.opus","size":"47344195","title":"Opus Audio (opus)","mimeType":"audio\/opus"},{"url":"http:\/\/uisprech.s3.amazonaws.com\/pods\/uisprech_6__sichere_apps__markus_kopf.ogg","size":"42485077","title":"Ogg Vorbis Audio (ogg)","mimeType":"audio\/ogg"},{"url":"http:\/\/uisprech.s3.amazonaws.com\/pods\/uisprech_6__sichere_apps__markus_kopf.mp3","size":"46921308","title":"MP3 Audio (mp3)","mimeType":"audio\/mpeg"}],"files":[{"url":"http:\/\/uisprech.s3.amazonaws.com\/pods\/uisprech_6__sichere_apps__markus_kopf.mp3","size":"46921308","title":"MP3 Audio","mimeType":"audio\/mpeg"},{"url":"http:\/\/uisprech.s3.amazonaws.com\/pods\/uisprech_6__sichere_apps__markus_kopf.m4a","size":"48567855","title":"MPEG-4 AAC Audio","mimeType":"audio\/mp4"},{"url":"http:\/\/uisprech.s3.amazonaws.com\/pods\/uisprech_6__sichere_apps__markus_kopf.ogg","size":"42485077","title":"Ogg Vorbis Audio","mimeType":"audio\/ogg"},{"url":"http:\/\/uisprech.s3.amazonaws.com\/pods\/uisprech_6__sichere_apps__markus_kopf.opus","size":"47344195","title":"Opus Audio","mimeType":"audio\/opus"}],"contributors":[]}}, {"url":"http:\/\/uisprech.de\/wp-json\/podlove-web-player\/shortcode\/config\/default\/theme\/default","data":{"activeTab":"chapters","subscribe-button":null,"share":{"channels":["facebook","twitter","whats-app","linkedin","pinterest","xing","mail","link"],"outlet":"http:\/\/uisprech.de\/wp-content\/plugins\/podlove-web-player\/web-player\/share.html","sharePlaytime":true},"related-episodes":{"source":"disabled","value":null},"version":5,"theme":{"tokens":{"brand":"#E64415","brandDark":"#235973","brandDarkest":"#1A3A4A","brandLightest":"#E9F1F5","shadeDark":"#807E7C","shadeBase":"#807E7C","contrast":"#000","alt":"#fff"},"fonts":{"ci":{"name":"ci","family":["-apple-system","BlinkMacSystemFont","Segoe UI","Roboto","Helvetica","Arial","sans-serif","Apple Color Emoji","Segoe UI Emoji\", \"Segoe UI Symbol"],"src":[],"weight":800},"regular":{"name":"regular","family":["-apple-system","BlinkMacSystemFont","Segoe UI","Roboto","Helvetica","Arial","sans-serif","Apple Color Emoji","Segoe UI Emoji\", \"Segoe UI Symbol"],"src":[],"weight":300},"bold":{"name":"bold","family":["-apple-system","BlinkMacSystemFont","Segoe UI","Roboto","Helvetica","Arial","sans-serif","Apple Color Emoji","Segoe UI Emoji\", \"Segoe UI Symbol"],"src":[],"weight":700}}},"base":"http:\/\/uisprech.de\/wp-content\/plugins\/podlove-web-player\/web-player\/"}}]);
0:00
1:04:58
Download MP3
Show notes
Markus Kopf und ich sprechen darüber, wie man iOS-Apps sicher machen kann. Dabei sprechen wir über HTTPS, mögliche Risiken wie man-in-the-middle und wie man sich mit SSL-Pinning davor schützen kann. Nachdem wir das sichere Speichern von Daten auf dem Gerät und ein paar weitere Themen wie Jailbreaks anreißen, kommen wir abschließend noch knapp auf die NSA-Affäre zu sprechen.
document.addEventListener("DOMContentLoaded", function() {
podlovePlayerCache.add([{"url":"http:\/\/uisprech.de\/wp-json\/podlove-web-player\/shortcode\/publisher\/6","data":{"version":5,"show":{"title":"UISprech","subtitle":"Deutschsprachiger Podcast zur iOS-Entwicklung","summary":"Ein deutschsprachiger Podcast rund um die iOS-Entwicklung f\u00fcr alle, die sich f\u00fcr die Erstellung von Apps interessieren. Heiko Behrens spricht mit einer breiten Auswahl von interessanten Figuren aus der deutschen iOS-Szene \u00fcber alles, was man f\u00fcr das Bauen von Apps braucht. H\u00f6rt wie Freelancer begonnen haben, welche Prozesse namenhafte App-Schmieden einsetzen, welche technischen Neuigkeiten es gibt und wie sie von anderen verwendet werden, aber auch wie ihr Euer Marketing verbessern k\u00f6nnt.","poster":"http:\/\/uisprech.de\/wp-content\/cache\/podlove\/3e\/01aae6c42b3ed7e463ec63ac6f75a4\/uisprech_500x.png","link":"http:\/\/uisprech.de"},"title":"#6 Sichere Apps mit Markus Kopf","subtitle":"Ein Grundlagengespr\u00e4ch zu Themen wie HTTPS, Schutz vor Man-in-the-Middle mit SSL-Pinning, die NSA-Aff\u00e4re und \u00fcber Sicherheit im Allgemeinen.","summary":"Markus Kopf und ich sprechen dar\u00fcber, wie man iOS-Apps sicher machen kann. Dabei sprechen wir \u00fcber HTTPS, m\u00f6gliche Risiken wie man-in-the-middle und wie man sich mit SSL-Pinning davor sch\u00fctzen kann. Nachdem wir das sichere Speichern von Daten auf dem Ger\u00e4t und ein paar weitere Themen wie Jailbreaks anrei\u00dfen, kommen wir abschlie\u00dfend noch knapp auf die NSA-Aff\u00e4re zu sprechen.","publicationDate":"2013-11-07T
podlovePlayer("#player-6868ebc3d4502", "http://uisprech.de/wp-json/podlove-web-player/shortcode/publisher/6", "http://uisprech.de/wp-json/podlove-web-player/shortcode/config/default/theme/default");
});
Alternativ zum Download könnt Ihr UISprech bei iTunes oder mit einem anderen Podcast-Client abonieren.
Shownotes
Hier die Links und Anmerkungen zu dieser Episode:
Diese Episode wird gesponsort von der JetBrain’s AppCode. Vielen Dank!
Wenn Ihr beim Kauf einer Personal License den Rabatt-Code AppCodeUISprechNovember beim Kauf verwendet, bekommt Ihr bis zum Ende November 25% Rabatt.
Was macht payleven?
payleven, und die Konkurrenz Square und iZettle
Reed-Kontakt (habe mir inzwischen sagen lassen, dass der im Kassettenrekorder gar nicht verbaut wird…)
iOS und Sicherheit im Allgemeinen
Angriffsvektor
Man-in-the-Middle-Angriff
Talk vom BSI (vor 20 Jahren im Desktop genauso) (Markus?)
Standard X.509 zum erstellen digitaler Zertifikate
Sicherheitsprobleme
SSL (bzw. TLS) und HTTPS
Man-in-the-Middle-Angriff (noch einmal, dieses Mal genauer)
Social Engineering
Phishing Attacke
In-App-Purchase Receipt Manipulation
SSL-Pinning
Vielen Dank Jochen Zilske für diese Links!
Adam Langley über Public Key Pinning
Graham Lee über SSL Pinning  und noch ein kurzes Paper “TLS DONE LESS WRONG”
SSL-Pinning diskutiert von iSEC Partners (hier noch Folien)
Pinning beschrieben vom OWASP (samt netter Zusammenfassun derg Begriffe)
Weitere Schutzmöglichkeiten
NSURLConnectionDelegate willSendRequest:ForAuthentictionChallenge:
Obfuscation
Hopper, ein Decompiler und Debugger für iOS
HMAC
AFNetworking
Blackhat-Konferenz-Talk über Chaining und co. Als Beispiel (hast Du dazu infos, Markus?)
Keychain ist eine gute Sache
Rechtliches und NSA
Section 3.3.2 (leider aus rechtlichen Gründen kein direkter Link möglich)
Safe Harbor Abkommen
Lavabit (Bericht im Guardian) und Edward Snowden
Weitere Infos
Buchtipp: Hacking and Securing iOS Applications von Jonathan Zdziarski, erschienen bei O’Reilly
Kontaktdaten von Markus Kopf
Twitter
Blog (Markus: “wird nicht wirklich genutzt”)
GitHub
Diese und alle anderen Folgen von UISprech sind veröffentlicht unter der CC BY-SA 3.0 Lizenz.