Взлом и внедрение своего кода в чужое iOS-приложение 😎

URL - https://habr.com/en/company/jugru/blog/570220/

#IOSAppSecurity #IOS #Hacking #Proof

Когда же они обновят мобильный топ-10?) а то уже стыдно на дату релиза смотреть :)

Introduction to OWASP Top 10 2021

OWASP выпустили драфт документа OWASP Top 10 2021!

Из нового, что отсутствовало в последнем Top 10 2017:
- A04:2021-Insecure Design
- A08:2021-Software and Data Integrity Failures
- A10:2021-Server-Side Request Forgery

Также по списку поднялись уязвимости класса A06:2021 – Vulnerable and Outdated Components, что автоматически повышает перспективы инструментов SCA.

В начале этого года Wallarm также представили свою версию Top10, основанную на анализе базы данных Vulners.

#web #dev

После долгого молчания

Всем привет!
Простите, что долго не было информации на канале, подкосило меня здоровье, но теперь все стабилизировалось и теперь продолжу генерить контент)

Ну и в качестве первого сообщения - конференция Mobius предложили скидку на свою конференцию для подписчисков нашего канала (почему бы и нет?)

Так что если собирались сходить - по коду maw2021JRGpc можно получить скидос)

#Conference #Partners

Конференция для мобильных разработчиков Mobius — 22-25 ноября, онлайн.

Вас ждет 4 дня выступлений спикеров со всего мира, которые будут рассказывать обо всем, что происходит в индустрии и может пригодиться в работе. Речь пойдет про:
✔️ iOS;
✔️ Android;
✔️ Мультиплатформенную разработку;
✔️ Фреймворки и инструменты;
✔️ Лучшие практики;
✔️ И многое другое.

Первая программа уже на сайте, и чтобы не пропустить самые топовые доклады, рекомендуем подписаться на рассылку.

А если вы сейчас знаете, что пойдете на конференцию, то ловите промокод maw2021JRGpc , он поможет приобрести Personal Standard билет по очень выгодной цене. Ведь чем ближе конференция, тем выше цена 🔥

Реверс приложений на Flutter

Несколько раз за последнее время в различных чатах всплывал вопрос про анализ приложений на Flutter, как к ним подступиться, как анализировать?

И там же всплыла очень интересная ссылка на инструмент по реверсу Flutter-приложений под названием reFlutter.

Из описания:
Этот фреймворк помогает при реверсе Flutter приложений благодаря пропатченной версии библиотеки Flutter, которая скомпилирована и готова к переупаковке приложения. В этой библиотеке изменен процесс десериализации, для более удобного динамического анализа.

Поддерживает iOS и Android и умеет перехватыватывать трафик приложения и перенаправлять его на прокси без необходимости ставить сертификаты и рутовать устройство. По словам создателя он автоматически умеет снимать некоторые виды Certificate Pinning, который используется во Flutter. Как мне кажется, только ради этого можно его попробовать 😁

Я сам пока не добрался до него, так как не было подходящего случая, но, думаю что в скором поюзаю) Ну и если у вас есть опыт использования - напшите, как этот фреймворк показывает себя в деле)

#tools #flutter #reverse #pinning

Bugbounty от Delivery

Вышла статья на Хабре от компании Delivery Club. Ребята подготовили специальный CTF для любителей поковырять Android-приложения!

Из описания, что нужно сделать:
1 скачайте приложение с tryharder.dclub.ru;
2 получите RCE на бэкенде;
3 и отправьте на tryharder`at`delivery-club.ru:
• отчет об уязвимости;
• содержание /opt/readme.txt на бэкенде;
• ник на Hackerone.

Награда интересная, приглашение в закрытую багбаунти и бонус в 1000$ за следующий найденный server-side баг.

Можно как раз посмотреть на выходных, если не ради награды, то для интереса, что же придумали наши коллеги :)

Всем удачного анализа 😁

#ctf #bounty #delivery

Способы обхода SSL Pinning в iOS

Вечная и не теряющая актуальности тема, как обойти SSL Pinning, как посмотреть трафик приложения?

Есть очень интересный твит, призванный собрать разные способы с их плюсами и минусами. Как обычно, комментарии очень хорошо дополняют исходный текст и там больше информации и очень много полезных ссылок на самые разные материалы. Советую полистать этим субботним вечером.

Ну и компании по анализу мобилок тоже не остаются в стороне, блог от AppKnox, который также собирает несколько способов обхода Pinning. Ничего нового, но описано неплохо и как методичка подойдет вполне 😁

Всем хороших выходных)

#ios #pinning #ssl

Exploits in the wild

Всем привет, особенно любителям видео контента :)

Нашел интересный вебинар про эксплуатацию уязвимостей в Android. И это эксплуатация именно уязвимостей в самом Андроид, не в приложениях. Интересный формат, посмотреть, как на самом деле обстоят дела с Android и каким атакам подвергались пользователи 😈

Сам ещё не успел посмотреть, но чувствую, будет очень интересно. Добавил в закладки на выходные :)

Ну и дополнительно к видео - слайды.

#exploit #Android #0day

Oversecured теперь и для iOS

Мы все так долго этого ждали! Поздравляем @bagipro с релизом самого крутого статического анализатора под iOS!
Теперь наравне с Android можно искать офигенные баги и для iOS!

И дополнительно, можно посмотреть на код уязвимого приложения, которое содержит все популярные баги (и не делать так при разработке) 😁

Надеюсь, на этом исследования и новые релизы не закончатся и мы увидим ещё много интересных уязвимостей и ресерчей 😉

Enjoy!

#oversecured #ios

Уязвимости в WebView

В блоге OverSecured очередное отличное пополнение - статья по наиболее часто встречающимся багам в WebView (Android security checklist: WebView).

Статья будет полезна любой аудитории, как разработчикам, чтобы понять, какие проблемы существуют и как их недопустить, и безопасникам, чтобы понять, как эксплуатировать различные баги в WebView.

Ну а баги на любой вкус, XSS, обход проверок на проверку URL, инъекции JS и многое другое. Ну а вишенкой на торте стала ссылка на библиотеку, которая помогает получить доступ к private API, использование которого запрещено в обычных приложениях. А это значит, что бага с HierarchicalUri снова работает на последних версиях Android!

Спасибо @bagipro за прекрасный материал!

#Android #Oversecured #WebView #Bugs

Закончился Android Dev Summit, а значит появилось несколько видео по "нашей теме", которые можно посмотреть.
1. Best practices for making your app private by design - если внимательно смотрели Google I/O и мой обзор после, то ничего интересного в этом видео вы не найдете. Кроме более конкретных примеров кода, которые так или иначе можно добыть из документации.
2. Android Memory Safety Tools - а это уже для любителей самописных нативных библиотек в приложениях. Рассказывают о тулах, которые могут быть полезны разработчикам таких решений: HWASan, GWP-ASan и Arm MTE. Если не пишите нативный код руками, то не тратьте время.
3. The most interesting (and unexpected) submissions to the Android Security Bulletin - вы еще не читаете ежемесячные бюллетени безопасности? После этого видео начнете =) Заманивают в свою багбаунти и сулят 100 килобаксов за обход экрана блокировки и рассказывают про несколько интересных CVE-шек.
4. Introducing Play Integrity API: Protect your apps and games - в очередной раз рассказали про Integrity API, который похоже будет единым фасадом над SafetyNet (можем ли мы доверять устройству?) и Google Play Licensing (можем ли мы доверять приложению?). А это означает, что думать о квотах, фолбэках на девайсах без гуглосервисах и еще куче вещей все равно придется. Ну и конечно же это нельзя просто взять и попробовать прямо сейчас. Надо заполнить форму и объяснить гуглу зачем оно вам надо....

Ближайшие конференции

Парочка постов про конференции, которые пройдут в ближайшее время.

Первая, это Мобиус, я думаю, достаточно интересно для разработки + есть скидос по коду maw2021JRGpc

Программа конференции для мобильных разработчиков Mobius 2021 Moscow готова🔥

В ней — 34 доклада и 2 воркшопа о разных аспектах мобильной разработки. Вот список тематических блоков:
✔ Архитектура. Как строить проекты так, чтобы они работали правильно и не ломались.
✔ Инфраструктура. Доклады об организации IT-процессов и инструментах для этого.
✔ Качество продукта. О том, что делать и чего не делать, чтобы результат был крутым.
✔ Под капотом. Копаемся во внутренностях инструментов и платформ, чтобы лучше их понимать и эффективнее использовать.
✔ Тренды мобильной разработки. Что-то набирает популярность, что-то теряет актуальность — выясняем, что брать в прод.

Среди спикеров — Кирилл Розов, Giorgio Natili, Николай Иготти, Виталий Фридман.

Полная программа на сайте — переходите туда, чтобы узнать больше и выбрать билеты.
А промокод maw2021JRGpc поможет приобрести Personal Standard билет по цене прошлого месяца.

Ближайшие конференции, часть 2

Следующей достаточно интересной конфой может стать конференция от NowSecure (не смотря на то, что прошлые их семинары были слабоваты), что-то мне подсказывает, что эти выступления будут интересными. Обещают переработку OWASP Mobile 🙀 и много докладов про то, какой хороший у них инструмент )))

В общем, можно сходить на несколько интересных докладов, не относящихся к их продукту)

Hi everyone,
on November 16th - 17th, 2021 next Tuesday Nov 16, 2:30 PM EST / 8:30 PM CET we will be giving a nice talk at the virtual NSConnect: https://events.bizzabo.com/NSConnect21/agenda/session/634089
We’ll be introducing most of the big changes that will come to the OWASP MASVS and MSTG including the big refactoring of the MASVS verification controls. We’re very excited to share this with you all!
You can register for free here using the promo code HOLGUERAC21:
https://events.bizzabo.com/NSConnect21/home
There will be a lot of Mobile Application Security focused sessions including some from the creators of radare2 and Frida and from our great OWASP members such as @Vandana and @Steve Springett
Please share around, there’s still time and everyone’s welcome!

Получение строк из dex файла

В соседнем чате возник интересный вопрос, как получить все строки из apk, а именно из dex-файла?

Действительно, в случае с бинарниками всё просто, воспользоваться стандартной утилитой strings и получить строки, с которыми дальше уже можно делать угодно.

Но в случае с dex такой подход не сработает (вроде). На просторах гитхаба был найден скрипт, который умеет быстро выводить строки. Можно легко собрать ссылки, понять, используется ли где-то http, может найти пару-другую ключей шифрования 😅

Сам ещё не пробовал, но в ближайшую неделю точно придется :)

#Android #dex #strings

Получение строк из dex файла, часть 2

В комментариях @IkeMurami подсказал еще несколько полезных инструментов, которые умеют делать аналогичные вещи: androguard (правда давненько не было обновлений) и lief.

Оба имеют достаточно интересный функционал по анализу, и если androguard работает преимущественно с Android, то lief умеет работать с намного большим количеством форматов, включая и iOS-ный MachO.

Пример кода на основе LIEF:

from pathlib import Path
import lief

lief_dex_file = lief.DEX.parse(’my.dex’)
if lief_dex_file.strings:
print('I have strings')
for s in lief_dex_file.strings:
// do smth
print(s)

Так что, не китайским кодом едины :)))

Спасибо за то, что оставляете комментарии, это очень помогает и очень полезно!

#Android #iOS #dex

Delivery Club опубликовали решение задачи, которую я публиковал некоторое время назад. Ощущение искусственности самой задачи, которое у многих возникло - полностью подтвердилось =) Но это ничуть не умаляет заслуг человека, который эту задачу решил и написал репорт (он и приведен в статье).
Лично у меня, после прочтения репорта, возникло ощущение того, что эта задача - демо-версия вот этого челленджа. Рекомендую прочитать write-up-ы к нему, они довольно интересны.

Доклады с BlackHat EU

Подъехала пачка докладов с блэкхата по нашей тематике. Есть хардкорные вещи про эксплуатацию уязвимостей в ядре и более приземленные для простых смертных.

1. The art of exploiting UAF by Ret2bpf in Android kernel
Хардкорная история и описание эксплойтов для ядра Андроида.
Презентация и сопутствующая к ней статья

2. Re route Your Intent for Privilege Escalation (A Universal Way to Exploit Android PendingIntents in High profile and System Apps).
Любимая всеми тема с перенаправлением интентов и получением привилегий. Очень интересный доклад. Кстати, Oversecured умеет эти баги находить в статике, а мы скоро научимся в динамике их подтверждать :) Тут преза

3. A Deep Dive into Privacy Dashboard of Top Android Vendors
Анализ того, как работает Privacy Dashboard у различных вендоров и что под капотом у него. Преза

Как будут видосы (или как я их найду), обязательно выложу или дополню пост) Презы это конечно хорошо, но хотелось бы и сам доклад глянуть.

#blackhat #android #talks