Выложили видео с Black Hat Europe 2021. Даже есть несколько на мобильную тему, но внимания достойны только два из них. Так что если у вас есть время только на два (или одно) видео, то вот они:

A Titan M Odyssey. Доклад от широко известных в узких кругах ребят из Quarkslab. И это тот самый доклад который имеет смысл посмотреть если может посмотреть только один. Они расковыряли гугловый чип Titan M и рассказали о нем в одном докладе больше подробностей, чем Google во всех своих рекламных проспектах. А под занавес доклада показали еще несколько узявимостей. Вообще ничего не хочу сюда больше добавлять. Просто надо смотреть.

A Universal Way to Exploit Android PendingIntents in High-profile and System Apps. Доклад от наших друзей из Поднебесной, которые такие же мастера в придумывании коротких названий докладов как и я. Сам доклад и стоящее за ним исследование весьма достойные. Если никогда не смотрели в сторону техник эксплуатации PendingIntent-ов, то однозначно рекомендую. Правда в большинстве случаев, баги такого рода это не “низко висящие фрукты”. Эксплуатация требует ряда дополнительных условий и чаще всего не так красива как 1-click RCE через Google Play Library. Тем не менее про этот класс уязвимостей знать нужно и пентестерам и разработчикам.

Полный плейлист тут.

Гайд по пентесту iOS

Отличный гайд для начала своего пути в пентесте мобильных приложений на платформе iOS.

Написан качественно, понятно и достаточно подробно. И есть куда покопать после, походить по ссылочкам и всё такое!

Рекомендую даже тем, кто уже давно этим занимается, ведь всегда можно почерпнуть или придумать что-то новое, когда читаешь уже известные тебе вещи)

#iOS

Mobius объявляет набор докладов

Конференция для разработчиков мобильных приложений стартует CFP.
Если у вас есть, что рассказать, подавайтесь) Очень хочется, чтобы докладов по безопасности было побольше и они были посочнее, чем обзор OWASP Mobile :)

Так что очень надеюсь послушать вас на этой конфе :)

Конференция Mobius от JUG Ru Group возвращается! 🔥

Mobius 2022 Spring — 23-26 мая, онлайн

Вы можете стать ее спикером. Если хотели поделиться знаниями с профессиональным сообществом, но сомневались, стеснялись или просто ждали удачного момента — это он.

От вас требуется только идея доклада — программный комитет поможет подготовиться. Конференция пройдет онлайн, поэтому можно выступить удаленно либо приехать для этого в студию в Питере.

Вот примеры тем, которые хотели бы видеть в программе:
– под капотом: ОС, языки, интеграции;
– архитектура;
– качество продукта: перформанс, accessibility, UI/UX;
– тренды: SwiftUI, Jetpack Compose, KMM, развитие платформ и сферы в целом;
– инфраструктура.

Но это лишь рекомендации — прийти можно с чем-то совершенно своим.

Заявки принимают до 21 марта.
Переходите на сайт, чтобы узнать больше и заполнить анкету.

Кстати, билеты уже в продаже.

Обучающие видео по анализу приложений

Есть занятный канал про безопасность, на котором в том числе есть отдельная секция по мобилкам.

Достаточно подробно разбираются некоторые уязвимости, например в deeplink или intent redirection и т.д.

Достаточно годный материал, но только для тех, кто может слушать индусский английский. Я вот с трудом его переношу)) но если вам ок, то можно послушать :)

#android #youtube #guide

Интеграция Burp Suite и Frida - Brida

Продолжаю тему интеграций различных инструментов, в которых очень часто оказывается Frida 😅

Ещё давно я встречал плагин для Burp, который позволял отлавливать интенты в Android и работать с ними в Burp (повторять, фаззить и т.д.). Не могу сейчас найти это репо, но попробую.

И вот новый виток интеграции, как назвали его авторы - Brida.
Сам пока не смог протестировать, но судя по заявленному функционалу в репозитории, обещает быть очень интересным:
- большое количество готовых хуков для Android и для iOS, которые можно вызвать напрямую из GUI инструмента
- функциональность анализа бинаря, который представляется в виде дерева функций/классов и т.д. Возможность сразу навешивать хуки на интересующие методы и следить за их выполнением
- консолька для собственных хуков

И всё это из интерфейса BurpSuite!

Ну и в дополнение смотреть в одном инструменте сразу и запросы и результаты хуков может быть достаточно удобно.

У них достаточно много выступлений, неплохая документация. Из последнего, можно посмотреть видео с конференции Hack the Paris 2021

А так же два демо приложения в репозитории, на которых можно потестить (на них он должен работать :D )

Выглядит достаточно вкусно 🤓

#frida #ios #android #burp #integration

Вот это красота :))

Группа LAPSU$ объявила о взломе компании Samsung. В сеть утекло порядка 190Гб данных: исходный код различных продуктов компании, загрузчиков, механизмов аутентификации и идентификации, серверов активации, системы защиты Knox, online-сервисов, API, а также проприетарных компонентов, поставляемых компанией Qualcom.

Кроме этого великолепия, заявляется, что утечка содержит код всех TA-апплетов для TEE, а также код управления ключами модулей DRM и биометрической идентификации. Все это добро можно найти самостоятельно на torrent-ах или взять готовый файлик у бота r0 crew: https://tttttt.me/c/1344358540/91620 (инвайт в канал тоже нужно получать через бота).

Это все грозит нам очень интересными последствиями. Ожидаем волны RCE эксплойтов для смартфонов любимого производителя ;)

Наиболее распространенные уязвимости в мобильных приложениях

Всем привет!

Для начала, простите за длительное молчание, в связи со всеми событиями, да еще и подготовкой самого масштабного релиза, совсем не оставалось времени на то, чтобы что-то публиковать. Но потихоньку дела налаживаются и самое время снова выйти из тени.

И вернуться я хочу с публикации статьи "Наиболее распространенные уязвимости в мобильных приложениях".
Так как мы разрабатываем свой инструмент для динамического анализа, мы постоянно тестируем и анализируем десятки приложений (иногда прям по 10-ку в день получается) и за все время собрали немало статистики и наблюдений. Все эти вещи вылились в статью, в которой я описал наиболее распространенные уязвимости, которые мы находим в приложениях во время анализа.

Как ни странно, но они мало чем отличаются от OWASP, даже не смотря на то, что последняя версия Mobile Top 10 вышла в далеком 2016 году. Я попробовал совместить наши наблюдения и небольшой опыт по способам недопущения этих проблем и как лучше всего было бы сделать те или иные вещи.

Я на самом деле каждый раз переживаю, как будет воспринята та или иная статья и всегда с радостью принимаю замечания, так что пишите, не стесняйтесь, если с чем-то не согласны или где-то есть ошибки и неточности.

Надеюсь эта статья и такой формат зайдут, так как я хочу попробовать выдерживать некоторую регулярность и раз в неделю-две писать новые статьи и материалы на основе нашего опыта и наших данных. На это меня сподвигло понимание того, как на самом деле немного годного материала на русском языке про безопасность мобильных приложений.
Сейчас я составляю некоторую подборку и понимаю, что основным контент-мейкером является @OxFi5t, за что ему огромное спасибо! Ну и я постараюсь внести свой небольшой вклад в это замечательное дело 😁

Всем хорошей недели и приятного чтения!

#Android #iOS #Habr

RCE в Evernote

И снова в главной роли приложение Evernote!

После того, как @bagipro написал пост про обнаружение в нём кучи дырок, я думал, они задумались над безопасностью, но похоже, что не очень.

Исследователь обнаружил возможность перезаписи произвольных файлов через Path Traversal, ну и как следствие, перезапись .so файлов и выполнение произвольного кода.

Интересно на самом деле почитать дискуссию автора и компании на H1, сколько он сделал для того, чтобы они поняли, в чем бага и как её просплойтить :) ну и код можно подрезать))

Такие дисклозы ещё раз подтверждают необходимость тщательно следить за входными данными от пользователя 😄

Ну и конечно, надо отдать должное, функционал, в котором бага была найдена достаточно интересный и специфичный.

Приятного чтения!

#android #h1 #rce #evernote

Что такое SafetyNet и зачем он нужен

Нашел неплохой 40 минутный подкаст на тему SafetyNet, что это такое, зачем нужно, какие плюсы и минусы.

Краткий тайминг, что внутри:
• 02:09 - What is SafetyNet and what does it do?
• 06:41 - How do modders get around SafetyNet?
• 11:22 - What advantages does each side of this battle have?
• 15:33 - What is hardware attestation? What makes it hard to break? Can it be bypassed?
• 24:50 - What options do developers have in ensuring their apps are operating in safe envrionments?
• 32:26 - What's the overall outlook as Google begins to replace SafetyNet with its new Play Integrity API?

Должно быть интересно тем, кто задумывается над его использованием.

#google #safetynet #android

Что нового в Android 13?

Очень подробное описание практически всех нововведений и изменений в новой версии Android 13 было опубликовано некоторое время назад.

Конечно, эта статья не очень из мира ИБ, но почитать все равно очень интересно, что и как улучшают в своей системе Google, где и что пришло к ним от Apple (и можно еще попробовать угадать, что появится в следующей версии iOS из этого списка).

Интереснее всего почитать про Platform Changes и API Updates, а так же про изменения в Privacy Dashboard

Приятного чтения!

#Android13 #changes #updates

Google начнет скрывать приложения, собранные с устаревшей версией TargetSDK

Компания Google предупредила разработчиков, что будут усилены требования к уровню Target API (Android API), для которого собираются приложения.

На практике это означает, что с 1 ноября 2022 года приложения в магазине Google Play не будут доступны для поиска и установки, если при их создании использовался устаревший TargetSDK (срок давности которого превышает два года). По мере выхода новых релизов Android, окно версий, в рамках которого можно указывать целевой уровень, будет меняться соответствующим образом.

Говорят, это только одно из нововведений в политике, так что ожидаем и других новостей. Но, как мне кажется, следующим логичным шагом будет аналогичное “окно“ для установки минимальной версии SDK, которое позволит отсечь совсем уж старые устройства.

#google #android #targetsdk #privacy

Обход RASP (Runtime Application Security Protection)

Совсем недавно, на одной из конференций был сделан доклад под названием «Forging golden hammer against Android app protections».

Этот доклад посвящен проверкам различных инструментов защиты в рантайме, таким как шифрование кода приложения, поиск отладчика, Frida и многое-многое другое.

Доклад очень крутой! Есть видеозапись выступления и репозиторий со слайдами и скриптами (активно наполняется). Сейчас там скрипты для Ghidra, но предполагается что все остальное тож добавит, что есть в видео).

Я пока пролистал слайды и оставил видео на более подробный разбор, так как чувствую, там придется ещё по ходу пьесы гуглить :) но выглядит очень круто, особенно часть про Frida и способ хуков с многопоточностью и хуками на ещё не загруженные классы.

Всем хороших выходных!

#rasp #frida #ghidra #android

CVE-2021-30737 (Memory corruption in ASN.1 decoder) - Writeup по writeup’у

Довольно интересную статью нашел, можно считать её описанием на описание уязвимости или writeup на writeup 😄

Оригинальный баг был найден в 2021 году и по нему написан достаточно увлекательное описание, как он был найден и в чем заключалась проблема.

Новый пост это скорее заметки, дополнения и размышления, как мог произойти баг в парсинге и обработке ASN.1 в iOS и где ещё можно поискать подобные уязвимости.

На самом деле читать такие статьи очень полезно, даже безотносительно самой уязвимости в iOS. Например, чтобы побольше узнать об ASN.1 и способах работы, учитывая что я с ним почти не сталкивался.

Приятного чтения и хорошей недели!

#iOS #vulnerability #writeup

Подборка материалов по мобильной безопасности «Awesome Mobile Security»

Всем привет!

В очередной раз, пока искал в истории канала какую-то ссылку на видео, решил что пора заканчивать с таким неблагородным делом и оформлять все материалы, которые скопились в представительный вид.

Из этого вылилось два репозитория на гитхабе с подборками всех материалов, которые были в канале, разбитые по логическим группам. Еще немного покопался в закромах и выудил ссылки на различные CTF и WriteUp по ним для Android. Получились достаточно интересные подборки. Подробнее посмотреть, что вышло можно в статье на Хабр (ну а куда без него).

Основная проблема всех таких репозиториев, что про них забывают и забивают и через месяц они становятся абсолютно неактуальными) Мне бы хотелось такого избежать, поэтому весь контент, что будет появляться в канале в конце недели я буду переносить в репозитории, а потом делать небольшой "дайджест" на Хабр по новостям текущей недели (посмотрим, зайдет ли такой формат).

Всем хорошей недели и приятного чтения, надеюсь, вы найдете для себя что-то новое в материалах.

#Habr #News #Awesome #Android #iOS

Ещё немного про WebView и ошибки при проверке URL

Если вы по какой-то причине пропустили шикарную статью от OverSecured про уязвимости в WebView и способы эксплуатации, то очень рекомендую прочитать!

Ну а для тех, кто хочет начать с чего-то попроще и в принципе понять, почему конструкции вида url.startsWith и url.endsWith иногда бывает недостаточно для валидации ссылок, которые вы открываете в вашем приложении, вышла вот такая статья от автора фреймворка Medusa на базе Frida (кстати, довольно неплохой инструмент).

В статье описан механизм работы deeplink на простейшем примере и рассмотрены базовые ошибки в механизме валидации передаваемых параметров. Написано хорошо, простыми словами, с живыми примерами и очень доступно.

#Android #WebView