Серьезные уязвимости в приложении Evernote

Сегодня вышла ещё одна потрясающая статья от компании Oversecured, которая раскрывает детали обнаруженных уязвимостей в приложении Evernote.

Тут полный набор, начиная от UXSS, прослушивания пользователя, кражи cookie, перезаписывание произвольных файлов в директории, в общем ломай не хочу 😁

Как обычно, все уязвимости сопровождаются описанием и работающим PoC для эксплуатации. Читая такие статьи, всегда находишь для себя что-то интересное и новое, что можно применять при анализе приложений.

Кстати говоря, основателем компании Oversecured является @bagipro, наш соотечественник, посты которого я периодически публикую, так как невозможно таким не поделиться 😁

Советую попробовать прогнать свои приложения через этот сканер, благо есть 5 бесплатных сканов для новых учёток, а последующие стоят всего 10$, которые абсолютно не жалко.

Думаю, он способен найти много интересного в ваших приложениях. 😄

#Android #Vulnerability #Oversecured

Получение доступа к произвольным контент-провайдерам
Очередная отличная статья от Oversecured!

На этот раз про эксплуатацию уязвимостей в Content Providers. Как обычно, с примерами уязвимого кода и PoC эксплуатации уязвимостей, которые действительно встречаются в реальном мире, что придает им намного больше ценности!

В статье описаны целых три способа, как можно получить доступ к Content Providers и как от этого можно защититься.

Очень рекомендую к прочтению!

#Android #Oversecured #ContentProvider

Эксплуатация уязвимостей Memory Corruption в Android

Как обычно максимально детальная и крутая статья от Oversecured, посвященная уязвимостям, связанным с Memory corruption.

Для меня всегда оставалось немного непонятным, что именно можно извлечь из подобных уязвимостей, если ты добился своего SIGSEGV 😁

Благодаря этой уязвимости и нескольким условиям, можно попробовать как минимум получить критичные данные пользователя. А в статье как раз описан способ, как это можно сделать.

Всем хорошей пятницы и интересного чтения!

#MemoryCorruption #Oversecured #Education

Анализ безопасности приложений Samsung

Бери Samsung, говорили они, он безопасный, говорили они 😃

И по итогу, установка произвольных приложений (при этом им система еще выдает административные права), кража СМС, контактов, кража данных из нотификаций и много чего еще. Что-то уже не кажется, что все так хорошо))

И все это описано в потрясающей статье от великолепного @bagipro про исследование безопасности предустановленных приложений в Samsung. Все уязвимости найдены при помощи сканнера Oversecured ;)

В статье подробно изложены методики анализа и причины возникновения уязвимостей, а также представлены PoC для последующего изучения и повторения техник) Ну а что мне больше нравится, это название статьи "...Part 1", которое подразумевает продолжение.

Очень ждем продолжения и больше-больше крутых техник и уязвимостей!

#OverSecured #bagipro #vulnerabilities

Выполнение произвольного кода в приложении Google

Отличная пятничная статья (хоть она и вышла несколько дней назад, но для меня она пятничная) про очень крутую уязвимость в приложении Google от уникальной компании Oversecured!

Уязвимость persistent local code execution. позволяет выполнить произвольный код в контексте приложения Google, а это значит получить очень и очень широкие возможности в системе. При этом достаточно всего одного запуска вредоносного приложения, для того, чтобы зловредный модуль остался в системе и делал свои темные дела.

Что мне нравится в этой статье, так это реально крутая связка уязвимостей, которая привела к возможности проведения подобной атаки. И более того, про каждый элемент этой цепочки можно прочитать в соответствующей статье от Oversecured. И это действительно круто. Если вы еще не читали про различные техники эксплуатации - советую начать с этой статьи и прочитать все кросс-ссылки, это безумно интересно.

Всем приятного чтения и хороших выходных!

#Google #Vulnerability #Oversecured

Вторая часть анализа безопасности Samsung

А вот и долгожданная вторая часть детального разбора уязвимостей в приложениях Samsung.

На этот раз кража произвольных файлов, чтение произвольных файлов от имени системы, получение доступа к произвольным Content Provider, перезапись произвольных файлов и чтение/запись произвольных файлов от системны!

И как обычно, это сопровождается детальным описанием, почему это произошло, с участками кода и PoC для лучшего понимания.

Снова спасибо, @bagipro! Ждем дальше таких же сочных статей!

#Oversecured #Android #Samsung

Основные ошибки, которые можно допустить в Android Permissions

Сегодня просто отличная новостная пятница :) Статья от Oversecured про ошибки, которые можно допустить при работе Permissions в Android.

И что самое важное, это не какая-то абстрактная статья, как обычно читаешь про разрешения, и не какие-то срабатывания в сканерах про "Unused Permissions", а очень подробная и правильная статья о реальных ошибках, которые можно допустить, если недостаточно внимательно знаешь все особенности Android и его работу с разрешениями.

Наверное, это самая полезная статья о Permissions, которую я читал. Переведу ее и буду время от времени перечитывать и скидывать в качестве рекомендаций.

Так что очень рекомендую всем прочитать в прекрасный пятничный вечер!

Спасибо @bagipro!

#Oversecured #Android #Permissions

Oversecured теперь и для iOS

Мы все так долго этого ждали! Поздравляем @bagipro с релизом самого крутого статического анализатора под iOS!
Теперь наравне с Android можно искать офигенные баги и для iOS!

И дополнительно, можно посмотреть на код уязвимого приложения, которое содержит все популярные баги (и не делать так при разработке) 😁

Надеюсь, на этом исследования и новые релизы не закончатся и мы увидим ещё много интересных уязвимостей и ресерчей 😉

Enjoy!

#oversecured #ios

Уязвимости в WebView

В блоге OverSecured очередное отличное пополнение - статья по наиболее часто встречающимся багам в WebView (Android security checklist: WebView).

Статья будет полезна любой аудитории, как разработчикам, чтобы понять, какие проблемы существуют и как их недопустить, и безопасникам, чтобы понять, как эксплуатировать различные баги в WebView.

Ну а баги на любой вкус, XSS, обход проверок на проверку URL, инъекции JS и многое другое. Ну а вишенкой на торте стала ссылка на библиотеку, которая помогает получить доступ к private API, использование которого запрещено в обычных приложениях. А это значит, что бага с HierarchicalUri снова работает на последних версиях Android!

Спасибо @bagipro за прекрасный материал!

#Android #Oversecured #WebView #Bugs

Использование шифрования в мобильных приложениях

Новая статья от Oversecured - "Use cryptography in mobile apps the right way" отвечает наверное на самый частый вопрос, зачем мне шифровать данные, если они и так находятся внутри песочницы приложения? Они же уже защищены!

И конечно, ответ на этот вопрос есть в статье! Я думаю, @bagipro может всех нас научить, как доставать внутренние файлы приложений самыми разными способами:
- через WebView
- через получение доступа к произвольным * контент-провайдерам
- через неявные интенты
- сотни других примеров, не освещенных в статьях в блоге (надеюсь пока не освещенных)

Надеюсь, что вечер пятницы теперь пройдет намного интереснее, учитывая количество отсылок на различные материалы в статье 😄

#oversecured #crypto

Oversecured - бесплатные сканы!

Спасибо, @bagipro за возможность посканить разные приложения!

Oversecured снова открывает возможность бесплатного сканирования 2-х приложений!

Налетай, покупай :)

#oversecured #sast

Статья от OverSecured - Android security checklist: theft of arbitrary files

Сегодня прекрасный день на контент, несмотря на то, что выходной. Вышла новая статья от OverSecured, на этот раз про типичные уязвимости при работе с файлами.

В статье разобраны основные недостатки приложений, которые позволяют получить доступ к внутренним файлам приложения, которые по моему опыту нередко хранят в себе много интересной информации в открытом виде.

Ну и в дополнении, одна из предыдущих статей про уязвимости в WebView дополнилась еще одним пунктом, на который точно стоит обратить внимание.

Как обычно (спасибо автору @bagipro за это), статья содержит детальные описания, примеры кода, реальные срабатывания и даже несколько PoC для эксплуатации. Люблю такие статейки.

Всем приятного чтения и хороших выходных!

#Oversecured #android #files #vulnerability #filestheft

И снова шикарный трюк от @bagipro

Продолжая рубрику "советы для bugbounty", теперь про способ обхода ограничений для ContentProvider.openFile().

Вот ссылка на оригинальный пост, но для тех, у кого Твиттер закрыт и нет VPN немного пояснений и описаний.
Суть в том, что использую небольшой трюк можно получить приватную информацию через контент провайдер, если вызвать его не напрямую, а прикинуться шлангом, системным сервисом, которому по умолчанию выдаются любые Permissions.

Атака возможна, если:
1. Контент-провайдер экспортируется
2. Внутри он проверяет вызывающий UID, имя пакета и/или набор разрешений

Таким образом, можно вызвать ContentProvider.openFile() через IActivityManager.openContentUri(). Он проверит права доступа, но затем проксирует вызов из своего контекста, а именно к Binder.getCallingUid() == 1000, и, так как это UID системы, то ей по умолчанию предоставлены все права.

Что тут сказать, аплодирую стоя 👍👍

#android #binder #contentProvider #oversecured

Всё, что вы хотели знать о Content Provider, но боялись спросить

Всем привет!

И для этого пятничного вечера я принес несколько классных новостей. Во-первых, это замечательная статья про практически все потенциальные возможности атаки на приложения через Content Provider (я думаю, что все-таки не все, уверен, кто-то еще знает несколько способов, но молчит и тихо их использует). В статье описаны несколько способов получения данных и как этих проблем избежать. Я бы рекомендовал эту статью не только тем, кто любит ломать приложения, но и разработке, чтобы посмотреть на свои компоненты с другой стороны.

Ну а для тех, кто любит послушать и посмотреть, есть отличное интервью Critical Thinking и автора OverSecured - @bagipro.

#android #contentprovider #oversecured

Ну и всем, конечно, хорошего вечера!

Новая атака на цепочку поставок: Java и Android под ударом!

Буквально на днях компания Oversecured выпустила потрясающую статью про новую атаку на цепочку поставок. В этот раз под ударом оказались Java-пакеты и, конечно, под раздачу попал и Android...

Способ атаки крайне прост и изящен. Для того, чтобы загрузить новую версию или измененную старую в репозиторий, например, MavenCentral необходимо подтвердить, что ты это ты. Как это сделать? Перевернуть имя пакета и на указанном домене разместить dns-запись.

К примеру, пакет com.stingray.mobile превращается в домен mobile.stingray.com. И, добавив несколько полей в TXT-запись мы получаем верифицированный аккаунт, который может загружать новые и обновлять существующие версии.

Но как правило, при смене имени пакета случается так, что про старый домен забывают.. Или вообще домен уже давно разделегирован.

Суть атаки в покупке домена, регистрации себя, как собственника библиотеки и заливанию новой/обновленной версии с зловредной нагрузкой в репозиторий. Вуаля, и все проекты использующие эту зависимость или выкачивающие ее как транзитивную получают к себе бомбу замедленного действия...

Идеальный план и более того, ребята провели исследование всех библиотек в нескольких репозиториях и получили крайне интересные цифры по уязвимым либам:
1. По доменам: 3,710 or 14.18%
2. На основании приватных github-репо: 291 or 3.86%

Крайне интересные цифры.

Снимаю шляпу перед исследователями такого уровня :)

Я думаю, что скоро нас ждет интересное продолжение :)

#oversecured #supplychain #android

Уязвимости в приложениях Xiaomi

Всем привет!

Тут как-то мимо меня прошла очередная статья про анализ безопасности приложений различных вендоров от знаменитого OverSecured!

На этот раз, после разгрома Samsung пришла очередь Xiaomi. Я даже писать ничего не хочу, на это стоит посмотреть самим!
Более 20-ти различных уязвимостей критического уровня, которые позволяют получать файлы, выполнять произвольный код, получать данные Mi-аккаунта и осуществлять другие не менее серьезные вектора атак.

Что сказать, как обычно, уровень профессионализма на высоте!

Ну а от себя хочу сказать, что такая ситуация неудивительна и сколько бы Google не боролся с фрагментацией и сколько бы сил не прикладывал к обеспечению безопасности своих сервисов, все равно каждый вендор накладывает свои особенности. Так что андроид от Сяоми сильно отличаются от того же Пикселя.

И тем, кто разрабатывает приложения, необходимо учитывать, что выполняться они могут где угодно и на чем угодно и можно получить доступ к тем вещам, которые, как казалось, защищены самой системой. Например, хранение паролей, персональных данных в песочнице в открытом виде и всего того, что мы встречаем каждый день.

Будьте в безопасности и приятного чтения!

Ждем, кто из вендоров на очереди :)

#oversecured #xiaomi #cve