Внешние сервисы в мобильных приложениях на примере Firebase

Все мы встречаем во время анализа приложений различные токены от внешних сервисов. Но далеко не всегда мы обращаем на них внимание, а зря 😁

Самым часто встречающимся сервисом, по моему наблюдению, является Firebase. Это и пуши и Firebase Remote Config и много чего еще.

Мы не могли обойти эту тему и описали свой небольшой ресерч на тему корректности использования внешних сервисов и настройки ключей для них.

И конечно, написали небольшое приложение, которое вам поможет определить, от каких сервисов и с какими правами выданы ключи.

Надеюсь будет интересно и жду ваших комментариев!

И снова здравствуйте!

Всех с окончанием праздников и началом нового рабочего года (да, я в курсе, что уже месяц почти работаем, но лучше поздно, чем никогда).

И с сегодня начинаем разбирать кучу материала, что у меня накопилось за прошлые месяцы и праздники)

Ну и начнем мы с iOS :)

Отчет по локальному бэкапу iOS

Весьма занятный скрипт, который позволяет получить отчет по содержимому локального бэкапа iOS устройства.

Выглядит симпотично, умеет вытаскивать различную информацию вроде WhatsUp переписок, адресной книги, кукизов, смс и так далее.

Не факт, конечно, что это сильно поможет при анализе содержимого бэкапа именно приложения, но мы же знаем, что скрипт всегда можно немного расширить)))

На мой взгляд интересная штука, особенно когда тебе говорят, что пароль в открытом виде в бэкапе это норм и так и было задумано :D

Я, кстати понимаю, что в Android можно рулить настройками того, что попадет в бэкап, да и вообще его отключить. А вот можно ли доя приложения на iOS сделать аналогично? Можно при создании файла указать, что он не попадет в бэкап, но на каждый файл неудобно и можно забыть. А вот опции, чтобы вообще исключить все данные приложения из бэкапа, такого я не нашел. Может вы знаете?

#iOS #backup

Интересное поведение Keychain

Кстати, вы никогда не замечали очень интересное поведение некоторых приложений? Пользуешься им, радуешься, потом удаляешь. А через некоторое время устанавливаешь его снвп и о чудо, почему-то все данные остались и тебя просят просто ввести пин-код, вместо процедуры полной аутентификации.

А происходит это потому что при удалении приложения очищается только файловая система, а элементы внутри Keychain остаются неизменными*.

И если во время первого запуска приложение самостоятельно не очищает данные в Keychain, то они подтянутся в установленное приложение*.

Несколько раз встречал подобные приложения, достаточно интересный эффект неожиданности производит демонстрация подобного поведения.

Но такой кейс пока не удалось проверить, если приложение удалено и остались элементы в Keychain, можно ли как-то получить к ним доступ? Например, собрать приложение с таким де идентификатором? Или каким-то похожим способом? Если будет время, проверим, конечно, ну а пока что при пентестах смотрите, что произойдет с приложением при переустановке, это бывает полезно.

*Основано на личном опыте, может не соответствовать действительности и официальной документации Apple, но это так.

А вот и первый фикс Zero Day в iOS

Начинаем новый год с прекрасных новостей от Apple, которые выпустили Security Update для многих девайсов, содержащий в себе исправление уязвимости, которой «возможно, активно использовались» (с) злоумышленники, как говорится “in the wild” практически для всех устройств с ОС старше версии 17.2 😈

Как обычно, имя исследователя, кто сообщил о проблеме, Apple не упоминает (а жаль). Бага была в сервисе Core Media и позволяла повысить привилегии и получить доступ к данным. Это к слову тем, кто верит, что песочница системы защитит ваши пин-коды в открытом виде (нет).

Ну что, год начался неплохо, надеемся на стабильный Jailbreak для новых девайсов, а то Х уже заканчиваются на Авито :D

#iOS #Zeroday

Анализ Xamarin приложений.

Думали, что Xamarin мертв? Я тоже так думал, но недавно пришло на анализ сразу несколько приложений, написанных на этом фреймворке.

Нашел весьма интересную статью, которая поможет вам понять, что приложение написано на Xamarin, даст базовые понятия, как с ним работать и какие инструменты для статического анализа можно применять. Очень хорошо для старта расписано, особенно, если никогда не сталкивался с подобными приложениями!

Enjoy 😉

#android #xamarin

Это прекрасно)

мне кажется многим приложениям не хватает такого функционала)))

Hardering Guide для iOS

Продолжая тему про iOS…

Отличная подборка для тех, кто хочет знать какие функцию есть в iOS, которые могут нарушить нашу приватность.

Более того, каждая строка в данном списке сопровождается описанием настроек и маппингом на ATT&CK TTPs.

Ну а если вы по другую сторону баррикад, то знаете, что можно собирать и что эти данные вам потенциально дадут :)

OWApp-Benchmarking-Suite для своих APK

Нашел интересный инструмент – OWApp-Benchmarking-Suite. Это фреймворк для анализа мобильных приложений с помощью статического анализа (SAST). По сути, он берет уязвимые APK из проекта OWApp, прогоняет их через различные OpenSource анализаторы и выдает отчет. Внутри используются инструменты MobSF,SEBASTiAN,Trueseeing,APKHunt.

Проект заточен именно под те apk, что есть в бенчмарке, но можно нго не ного подтюнить, чтобы он принимал на вход любые.

Как это сделать?

1.Редактируем скрипты
- В download_script.py вместо загрузки OWApp-файлов прописываем путь к своим APK.

2.В running_script.py убеждаемся, что SAST-инструменты работают с нашим приложением.

3. Запускаем анализ
После внесения правок запускаем running_script.py, и фреймворк проведет анализ, выдав отчет о найденных уязвимостях.

Стоит ли заморачиваться?
На мой взгляд, неплохая обвязка, если хочется есть кактус использовать опенсорс :)

но лучше использовать более продвинутые инструменты ;)

Конференция Территория Безопасности

Удивительно, но в прошлом году мне очень понравилась конференция, как по атмосфере, так и по контенту.
Поэтому, когда ребята пришли в этом году, не могу их не поддержать)

Самое запоминающееся это объявление докладов/сессий. По площадке ходил красиво одетый конферансье (не побоюсь этого слова), звенел в ручной звоночек и зычным голосом объявлял следующий доклад или сессию. Это было очень прикольно и необычно))

В общем, если кто планирует, встретимся там)

🗓 03.04.2025 состоится форум «ТЕРРИТОРИЯ БЕЗОПАСНОСТИ 2025: все pro ИБ» - новаторское мероприятие, состоящее из ЧЕТЫРЕХ конференций и ВЫСТАВКИ отечественного ИБ-хозяйства.

📍 Hyatt Regency Moscow Petrovsky Park

❕ ЧЕТЫРЕ ЖАРКИЕ КОНФЕРЕНЦИИ 2025 ГОДА:
▫️PRO облака
▫️PRO безопасность подрядчиков
▫️PRO анализ защищенности
▫️PRO бизнес

⭐️ НАШ ЗВЕЗДНЫЙ СОСТАВ СПИКЕРОВ: https://www.comnews-conferences.ru/ru/conference/tb2025#experts

ПОДРОБНЕЕ О МЕРОПРИЯТИИ: www.terrabez-conf.ru

РЕГИСТРАЦИЯ: https://www.comnews-conferences.ru/ru/conference/tb2025/registration
* Участие руководителей ИБ-департаментов компаний-заказчиков БЕСПЛАТНОЕ!

TruffelHog на страже ваших секретов

С удивлением для себя обнаружил, что популярный инструмент для поиска секретов TruffleHog научился искать секреты в Android-приложениях «из коробки». То есть раньше нужно было обязательно предварительно декомпилировать приложение, например при помощи jadx и потом натравливать инструмент на получившиеся исходники.

Теперь же, на вход можно сразу отдать apk и инструмент сам все сделает. У такого подхода есть как плюсы, так и минусы на самом деле. Плюс в скорости работы, заявляется ускорение до 9 раз. Минус же в том, что поиск идет только в dex-файлах и ресурсах. Если файлик с секретами лежит где-то рядом, скорее всего его пропустят.

Но все равно это крайне интересная новость и может помочь тем, кто уже использует этот инструмент.

Ну и в любом случае приятно, что в е больше внимания уделяется мобилкам :D

Подборка ИБ-каналов

Меня тут пригласили поучаствовать в подборке ТГ-каналов)

Так что, если будет интересна тематика, не стесняйтесь, добавляйтесь)

🔥 Добро пожаловать в «ИБ-шечную» – телеграм-папку для тех, кто живёт и дышит информационной безопасностью! 🔥

Ты работаешь в сфере ИБ? Или просто хочешь разбираться в кибербезопасности, защите данных и хакерских атаках?
Тогда «ИБ-шечная» – это твоя обязательная подписка!

📌 В папке тебя ждут:
✅ Экспертные разборы корпоративной ИБ и безопасного конфигурирования систем
✅ Глубокая аналитика и OSINT – следим за трендами, исследуем риски
✅ Обучающие материалы и инструкции – от новичков до гуру кибербеза
✅ Законы и регуляции – персональные данные, 152-ФЗ, GDPR без воды
✅ Новости, события, кейсы, лайфхаки – всё, что важно в мире ИБ
✅ Этичный хакинг – изучаем техники защиты и атаки на практике

🎯 9 топовых каналов в одной папке – бери максимум из инфосферы!

📎 Ссылка на папку

💡 Залетай в «ИБ-шечную» и держи руку на пульсе безопасности!

Совместная работа Frida-trace и Frida

На самом деле я не так часто работаю с frida-trace, как хотелось бы, но всегда поражал этот инструмент своими возможностями и способами применения.

Но вот статья, которая показывает, как использовать оба инструмента совместно. Для начала, используем frida-trace для определения функций, которые вызываются при определенном действии, через Ghidra анализируем, что там происходит и далее через уже саму Frida меняем логику работы приложения.

В статье описывается модификация игр, но мы же понимаем, что этот подход можно переложить на совершенно другие приложения)

Надеюсь, этот подробный пример послужит вам отличным введением и помощью при использовании frida-trace)

и снова в комментариях Apple фраза «использовалось в точечных таргетированных атаках».

И так на каждую закрытую серьезную проблему) Может так оно и есть, конечно, но видеть это каждый раз уже немного улыбает)

Без пароля

Apple закрыла уязвимость, позволявшую доставать даннные из заблокированных iPhone.

Режим USB Restricted Mode блокирует передачу данных через порт, если гаджет пролежал в заблокированном состоянии больше часа. По словам Apple, брешь использовалась в «сложных точечных атаках». Эксперты из Citizen Lab же считают, что эксплойт мог серьёзно помочь создателям шпионского ПО вроде GrayKey и Cellebrite, ведь при успехе порт внезапно снова начинал передавать данные без пароля.

Логическая ошибка в системе авторизации приводила к тому, что устройство снимало ограничение порта, даже если никто не разблокировал экран. Apple выпустила экстренный патч в iOS 18.3.1 и iPadOS 18.3.1, прикрыв лазейку.

Технические подробности компания не обнародовала, однако отметила редкую сложность эксплойта и указала, что его использовали лишь в узком круге целевых взломов.

НеКасперский

Конференция по мобильной разработке AppsConf

Знаю, что среди подписчиков достаточно большое количество разработчиков, поэтому хотел бы подсветить одну из очень хороших, на мой взгляд конференций по мобилкам - AppsConf.

Ну и на самом деле, тем, кто занимается безопасностью мобилок тоже крайне важно быть в курсе того, как развивается разработка, тренды и т.д. Ведь как анализировать приложения, если не знаешь, как именно они работают?)

Я обязательно подам доклад на конфу, так что вполне возможно, мы с вами там встретимся (если конечно доклад примут). CFP до 23-го февраля, так что еще успею из отпуска оформить заявку))

Ну а если нет, придется платить за билет :(

Так что, в любом случае, до встречи на конференции!!

P.S. И кстати, организаторы обещали мне проходку, поэтому скоро ждем конкурс!

Техническое описание уязвимости CVE-2025-24200

А вот и подоспело очень хорошее исследование описанной ранее проблемы с доступом по USB в последних версиях iOS.

В статье подробно расписано, как исследователи находили измененные части прошивки в security-патче от Apple по сравнению с предыдущей версией.

Даже если вам не очень интересно про эту уязвимость, советую почитать ради описанного относительно простого способа сравнить несколько версий прошивок.

Ну а тем кому небезинтересен iOS, внутри ждут подробности, как можно провернуть эту атаку (в теории), так как полностью раскрутить цепочку до конца так и не вышли)

Приятного чтения!