Laborator 7: Secure Boot și Autentificarea Codului pentru Aplicații Mobile
Obiective
- Înțelegerea conceptelor de Secure Boot și verificarea integrității codului în aplicațiile mobile
- Implementarea unui mecanism de verificare a integrității aplicației pentru a detecta modificări neautorizate
- Asigurarea protecției împotriva atacurilor de repackaging (modificarea și redistribuirea aplicației)
- Implementarea firmware authentication și securizarea procesului de actualizare a aplicației
- Prevenirea încărcării codului malițios și protejarea comunicațiilor dintre aplicație și server
Cerințe tehnologice
- Platforme mobile: Android (Java/Kotlin), iOS (Swift)
- Mecanisme de protecție: Play Integrity API (Android), App Attest API (iOS)
- Semnarea aplicației: APK Signing v3 (Android), Code Signing (iOS)
- Securizarea update-urilor: Firebase App Distribution, App Store Connect, criptare firmware pentru OTA
- Tehnologii criptografice: RSA/ECDSA pentru verificarea integrității codului
- Mecanisme de protecție anti-tampering: Obfuscation, Root/Jailbreak detection
Funcționalități
1. Implementarea Secure Boot pentru aplicația mobilă
- Semnarea digitală a aplicației pentru prevenirea modificărilor neautorizate
- Verificarea integrității codului la rulare folosind checksums și hashing
- Detectarea încercărilor de modificare a aplicației (anti-repackaging)
2. Protejarea firmware-ului și a update-urilor aplicației
- Semnarea și criptarea actualizărilor pentru a preveni atacurile de tip man-in-the-middle
- Implementarea verificării criptografice înainte de instalarea unui update
- Utilizarea unui canal securizat pentru descărcarea actualizărilor (TLS, certificate valide)
3. Prevenirea atacurilor de manipulare și încărcare de cod malițios
- Detectarea aplicațiilor care rulează pe dispozitive rootate sau jailbreak
- Implementarea protecției împotriva atacurilor prin încărcarea dinamică de cod (Dynamic Code Loading)
- Monitorizarea și raportarea încercărilor de modificare a aplicației în timp real
Evaluare
- Implementarea mecanismului de verificare a integrității codului (30%)
- Protecția procesului de update și verificarea firmware-ului (40%)
- Detectarea și prevenirea atacurilor asupra aplicației (30%)
Resurse suplimentare
- [https://developer.android.com/guide/app-bundle/app-signing Android APK Signing]
- [https://developer.apple.com/documentation/security/app_attest Apple App Attest]
- [https://developer.android.com/google/play/integrity Play Integrity API]
* [https://owasp.org/www-project-mobile-security-testing-guide/ OWASP Mobile Security Testing Guide]
