Mobile AppSec World
8.35K subscribers
187 photos
12 videos
23 files
801 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
Сборка Frida нативно на Termux

Я правда не знаю, кому и зачем это может быть полезно, но история стоит того, чтобы про нее рассказать.

Занятный ресерч от автора под ником AbhiTheModder, который искал путь, чтобы скомпилировать Frida нативно на Android/Termux, без NDK, без кросс-компиляции, без prebuilt-артефактов с build.frida.re. Просто ./configure && ninja на телефоне.

Его путь оказался, мягко говоря, нетривиальным и долгим ради цели доказать что это возможно!

Любителям поковыряться в исходниках Frida и процессах ее сборки. Это вам не в LLM тыкать)) хотя может и без них не обошлось :D

#Android #Frida #Termux #ReverseEngineering #Tools #Research
🔥10👍6👏2
Android SELinux Internals Part II: домены, отказы, обходы

Ребята из 8ksec наконец-то выпустили вторую часть серии про SELinux на Android!

Первая часть была про основы: контексты, чтение политик, sepolicy-inject. Вторая уже про то, как это всё работает в реальности.

Разбирается вся цепочка от сертификата подписи APK до SELinux-домена, роль Zygote, как работает installd.

Добавили практики: chcon, runcon, как работает magiskpolicy под капотом, чем принципиально отличаются подходы Magisk, KernelSU и APatch.

Очень сочная и большая статья для любителей мякотки и чтоб погрузиться поглубже в то, как и что устроено внутри.

Ну и анонсированная третья часть обещает быть ещё интереснее: kernel-level техники отключения SELinux и разбор реальных CVE. Что сказать, ждем :)

#Android #SELinux #Pentest #Research #Kernel #Tools
👍10🔥3
OFFZONE WANT YOU!

Ребята и девушки!

Подавайте свои крутейшие доклады на OffZone!
Пусть будет больше мобилок! Пусть будет больше сочных и крутых докладов на конфе!

И ри заведении помните, что чем подробнее вы опишите то, о чем будете говорить, тем больше шансов у вас попасть в программу!
🔥4🤡32
Forwarded from OFFZONE
⚡️ Запускаем call for papers

Заявку можно подать на сайте до 29 июня (включительно). Там же ищите подробности и требования к докладам.

Как проходит отбор и как лучше оформить заявку, читайте в статье на «Хабре».
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3
noxen: runtime-перехват Android Intent'ов

Прикольная тулза для тех, кто занимается анализом Android-приложений и при этом любит Intercept mode в BurpSuite.

Noxen - это инструмент на Python, который использует Frida для хука Java-методов в приложении. Перехватывает Intent через хук функций типо GetIntent(). Это отображается в терминале с action, component, data URI, флагами, extras и, если повезёт, стектрейсом.

Но можно не только смотреть, а еще и модифицировать Intent перед отправкой или вообще дропнуть его. Прямой аналог Burp Interceptor, но для мобилки.

Еще прикольная фича noxen-analyze: скармливаешь APK, он через androguard генерирует конфиг хуков под конкретное приложение. В целом, можно и отдельно его заиспользовать, как старт.

Вообще, давно я встречал расширение для Burp, которое нативно в его интерфейсе показывал Intent перехваченные, назывался он Brida (Burp+Frida). Я попробовал, но мне как-то не очень зашло. А тут отдельный специализированный тул, посмотрим, может будет поудобнее)

#Android #Frida #Tools #ReverseEngineering #Research
👍4🔥43
очень согласен с автором статьи)

ИИ - инструмент, который нужно уметь готовить, чтобы он действительно экономил время и силы. И как любым другим инструментом, с ним нужно учиться работать.

И к сожалению, волшебной коробочки еще нет (а может и к счастью)
5👍3
Forwarded from Android Guards
Идёт шумная деревенская свадьба. Под утро пьяный вдрызг тамада, громко спрашивает:
— Кто ещё не писал статьи про AI?
— Я — раздаётся слабый голос из — под стола.
— Кто это я
— Это я, автор канала Android Guards!
— Да ты еще успешь!
(олды здесь?)

Действительно, не хотел особо ничего писать про AI, потому что разжигать костры в аду это неблагодарное дело. Но как-то выдалось немного свободного времени и хороший чай и я решил зафиксировать свои мысли на эту тему. Может кому-то это принесет пользу и позволит выбрать правильный путь. Статья полностью философская, никаких "автопентестеров" там не будет. Я предупредил =)
👍5
Обычно стараюсь не писать ничего личного, но этот шедевр мне безумно нравится :D

Тем более выходные)
крутити боробэн
🤣155🔥3😁1😭1
Forwarded from RE:MAZE
Декомпилятор для Hermes bytecode

Дождались! Теперь нельзя спрятаться за тем фактом, что никто не умеет декомпилировать и реверсить Hermes bytecode. Ребята написали декомпилятор и выложили в открытый доступ. Ожидаем больше находок там где раньше никто и не думал копать.
И еще один инструмент доя анализа Hermes
Forwarded from по ибэ
🔥ИБТУСА🔥
03.07, 18:00 - время отдохнуть от сессии и конференций🍺

Джун или студент по ИБ? Приходи и найди:
того, кто расскажет о подводных камнях на твоем пути
друзей для хакатона и CTF
идею для пет-проекта, которую обсудите за баром

Уже эксперт? Приходи быть для них живой легендой или просто похантить таланты до конкурентов

Заявка: @ibtusa_bot ⬅️

➡️Ген. спонсор: Серебриумаудит безопасности на основе собственной интеллектуальной системы
➡️Спонсор CTF: НетХабфлагман сетевой безопасности
➡️Ген. медиа: Sachok & Пакет Безопасности & Похек

🎁 Бонус: забирай папку с каналами по ибэ и получай актуальную инфу раньше преподов!

Сегодня вы познакомились за баром. Завтра — вы сеть, которая двигает рынок ИБ


Чатик 😎 Ролик
Please open Telegram to view this post
VIEW IN TELEGRAM
4🔥2🥰2
по ибэ
🔥ИБТУСА🔥 03.07, 18:00 - время отдохнуть от сессии и конференций🍺 Джун или студент по ИБ? Приходи и найди: того, кто расскажет о подводных камнях на твоем пути друзей для хакатона и CTF идею для пет-проекта, которую обсудите за баром Уже эксперт? Приходи…
На самом деле очень интересная активность и здорово, что появляются подобные мероприятия.

В свою бытность я помню, какой кайф был от посещения небольших митапов DefCon Moscow, OWASP Russia, митапов в Яндексе, в mail.ru, где так же было не много участников, неформальная обстановка и очень интересные доклады. Насколько ты заряжался какими-то новыми идеями.

До сих пор я помню шикарный доклад от Ивана Новикова про различные девайсы IoT и как они устроены, какие забавные баги там были и как он красочно их описывал и как чайник широковещательным сообщением кидал твой WiFi и пароль в сеть. И презентация была просто мега крутой, она состояла просто из картинок с мемами, которые соотносились с рассказом. Живое подтверждение того, что презентация это всего лишь визуальное подкрепление твоего рассказа.


И сейчас этого на самом деле не хватает, все онлайн да онлайн, а живого человеческого общения на конфах/митапах становится меньше(

Так что я очень постараюсь придти на тусу))
🔥6👍1
Forwarded from OFFZONE
💀 Последний шанс стать спикером

До конца дня принимаем заявки. После этого форма закроется!

Так что если вы откладывали до последнего, торопитесь.
Please open Telegram to view this post
VIEW IN TELEGRAM
🤡5