Обход RASP (Runtime Application Security Protection)

Совсем недавно, на одной из конференций был сделан доклад под названием «Forging golden hammer against Android app protections».

Этот доклад посвящен проверкам различных инструментов защиты в рантайме, таким как шифрование кода приложения, поиск отладчика, Frida и многое-многое другое.

Доклад очень крутой! Есть видеозапись выступления и репозиторий со слайдами и скриптами (активно наполняется). Сейчас там скрипты для Ghidra, но предполагается что все остальное тож добавит, что есть в видео).

Я пока пролистал слайды и оставил видео на более подробный разбор, так как чувствую, там придется ещё по ходу пьесы гуглить :) но выглядит очень круто, особенно часть про Frida и способ хуков с многопоточностью и хуками на ещё не загруженные классы.

Всем хороших выходных!

#rasp #frida #ghidra #android

CVE-2021-30737 (Memory corruption in ASN.1 decoder) - Writeup по writeup’у

Довольно интересную статью нашел, можно считать её описанием на описание уязвимости или writeup на writeup 😄

Оригинальный баг был найден в 2021 году и по нему написан достаточно увлекательное описание, как он был найден и в чем заключалась проблема.

Новый пост это скорее заметки, дополнения и размышления, как мог произойти баг в парсинге и обработке ASN.1 в iOS и где ещё можно поискать подобные уязвимости.

На самом деле читать такие статьи очень полезно, даже безотносительно самой уязвимости в iOS. Например, чтобы побольше узнать об ASN.1 и способах работы, учитывая что я с ним почти не сталкивался.

Приятного чтения и хорошей недели!

#iOS #vulnerability #writeup

Подборка материалов по мобильной безопасности «Awesome Mobile Security»

Всем привет!

В очередной раз, пока искал в истории канала какую-то ссылку на видео, решил что пора заканчивать с таким неблагородным делом и оформлять все материалы, которые скопились в представительный вид.

Из этого вылилось два репозитория на гитхабе с подборками всех материалов, которые были в канале, разбитые по логическим группам. Еще немного покопался в закромах и выудил ссылки на различные CTF и WriteUp по ним для Android. Получились достаточно интересные подборки. Подробнее посмотреть, что вышло можно в статье на Хабр (ну а куда без него).

Основная проблема всех таких репозиториев, что про них забывают и забивают и через месяц они становятся абсолютно неактуальными) Мне бы хотелось такого избежать, поэтому весь контент, что будет появляться в канале в конце недели я буду переносить в репозитории, а потом делать небольшой "дайджест" на Хабр по новостям текущей недели (посмотрим, зайдет ли такой формат).

Всем хорошей недели и приятного чтения, надеюсь, вы найдете для себя что-то новое в материалах.

#Habr #News #Awesome #Android #iOS

Ещё немного про WebView и ошибки при проверке URL

Если вы по какой-то причине пропустили шикарную статью от OverSecured про уязвимости в WebView и способы эксплуатации, то очень рекомендую прочитать!

Ну а для тех, кто хочет начать с чего-то попроще и в принципе понять, почему конструкции вида url.startsWith и url.endsWith иногда бывает недостаточно для валидации ссылок, которые вы открываете в вашем приложении, вышла вот такая статья от автора фреймворка Medusa на базе Frida (кстати, довольно неплохой инструмент).

В статье описан механизм работы deeplink на простейшем примере и рассмотрены базовые ошибки в механизме валидации передаваемых параметров. Написано хорошо, простыми словами, с живыми примерами и очень доступно.

#Android #WebView

Биржа, ценные бумаги, аналитика и маркетинг

Немного не в тему канала пост, но тем не менее, не могу не поделиться.

Если вы увлекаетесь торговлей на бирже, если вам интересно, как это устроено внутри, какие механизмы используют маркетологи и аналитики для привлечения и удержания клиентов, а также интересны разные аналитические и маркетинговые исследования - добро пожаловать на канал «Чайка-маркетинг»!

За контент этого канала могу ручаться головой, руками и всеми частями тела, так как автор - моя жена @Shabaloid (привет тебе) 😄

Обход SSL Pinning для Flutter-приложений с использованием Ghidra

На волне участившихся вопросов про Flutter-приложения (привет, Stepn) и большого количества людей, кто начинает их реверсить и смотреть в трафик, не могу не поделиться статьёй про снятие пиннинга при помощи Ghidra.

Статья представляет из себя последовательность действий, что делал автор, как искал и что заменял в libflutter.so. Интересно почитать, как он прошел этот путь, чем руководствовался и что в итоге получилось. Как обычно бывает, достаточно много референсов на другие не менее интересные статьи.

Можно попробовать это повторить или попробовать скачать уже модифицированный файл и его заменить в анализируемом приложении.

#Flutter #Android #Ghidra #pinning

Обход проверок на jailbreak, решение CTF от r2con2020

На прошедшей в прошлом году конференции r2con было множество крутых докладов и конечно, интересных CTF.

Небольшая статья о прохождении одного из CTF, а именно о втором задании в iOS, где необходимо было обойти проверку на jailbreak и как минимум запустить приложение.

Само собой, обычные решения, вроде objection не работают, поэтому приходится реверсить и смотреть, как это работает и какие проверки есть. Именно об этом и пишет автор статьи, как он прошел этот квест используя только radare2 и Frida.

Интересно почитать, особенно прикольная штука небольшой снипет-хак для SpringBoard, который предотвращает убийство процесса, если он не запустился воворемя (чтобы успеть отловить или захукать frid’ой нужные вещи).

#frida #ios #radare2 #ctf

Собираем пропавшие инструменты!

Друзья, если у вас есть аналогичные проекты, которые мы потеряли, но у вас есть форк или копия, поделитесь ими и соберем список актуальных репозиториев.

По непонятным, на текущий момент, причинам - с github-а пропал репозиторий reFlutter-а. Пропал не только он, но это уже совсем другая история... Автор сутки не спал, ползал по дискетам и по частям собирал останки погибших программ. Теперь у reFlutter-а новый дом: https://github.com/Impact-I/reFlutter. Поддержите звездочками и обязательно заведите полезный issue, а то и отправьте PR.

Хуки для Frida напрямую из Jeb

Недавно, после очередного релиза jadx, я писал про возможность создать Frida-скрипт напрямую из инструмента.

Вот и Jeb тоже недалеко ушел. Ну, вернее, не совсем он, а написанный для этого плагин, но, тем не менее, интеграция давно напрашивалась и здорово, что такие крутые инструменты начинают взаимодействовать друг с другом!

Я не использую Jeb, но если кто-то уже пробовал или попробовал, как эта штука работает, дайте знать!)

#jeb #frida #integration #android

iOS Hacking - гайд для новичков

Автор не обманул, гайд и действительно для новичков. Хорошо структурированный, описывающий основные концепции что и где можно поискать, но не сильно подробный. Мне намного больше понравился гайд на русском, от нашего соотечественника, куда более тщательно и основательно подготовленный.

Что полезного, можно дернуть некоторые регекспы и команды для поиска нужной информации, как например строка для поиска IBAN, который до недавнего времени как-то проходил мимо меня:

IBAN: [a-zA-Z]{2}[0-9]{2}[a-zA-Z0-9]{4}[0-9]{7}([a-zA-Z0-9]?){0,16}

Так что вывод простой, даже в кажущихся на первый взгляд простых статьях, из которых не ожидаешь получить чего-то интересного, всегда можно получить что-то полезное (ну или освежить знания и понять, что в целом всё не так и плохо).

#ios #guide

Первый дайджест на Хабр

Всем привет!
Сегодня вышел первый дайджест "Неделя мобильной безопасности (9-15 апреля)" на Хабр.

По факту, это подборка материала с канала за неделю. Возможно, кому-то в таком консолидированном виде будет удобнее читать, что же нового было в мире мобильного ИБ.

Если эксперимент окажется успешным и формат зайдет, то каждую неделю в пятницу или субботу я буду публиковать такую подборку и обновлять ссылки в репозиториях Awesome iOS Security и Awesome Android Security.

Всем хороших выходных!

#habr #news #awesome

Обход биометрической аутентификации в WhatsUp

Достаточно интересный баг нашел один из исследователей в приложении WhatsUp.

В WhatsUp можно настроить экран блокировки, чтобы после определенного периода неактивности пользователя нельзя было прочитать чаты, позвонить и т.д. Суть обхода заключалась в том, что достаточно было позвонить на этот номер и счетчик времени сбрасывался и считал, что пользователь ещё активен.

Стандартная ошибка логики в приложении, от которой никто не защищен, даже у Apple была бага, связанная с неправильным инкрементом счетчика пинкода от устройства, что позволяло перебрать полностью все 4-х значные коды за 48 часов.

Статья достаточно небольшая и легкая, но кейс прикольный)

#whatsup #android #bugbounty

Получение трафика с Android Emulator

Наверное, самая подробная и простая статья, которую я видел по процессу заворачивания трафика с эмулятора в бурп.

Начиная от того, как собственно поставить и настроить эмулятор, как получить на нем нужные права, поставить magisk, добавить нужные плагины и наконец, добавить сертификат в системные и пустить весь трафик через burp suite.

В статье прям на каждый пункт по одному-два скрина, так что если это ваш первый раз, то этот материал будет отличным подспорьем в разворачивании рабочего пространства

#Android #network #emulator

Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом

Очень часто и много вопросов в разных чатах и на тренингах вызывает тема защиты канала связи, а именно SSL Pinning. Попробовать рассказать, что это такое, а также, к чему может привести отстутствие этого механизма я попробовал в статье "Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом".

Но на самом деле, прежде чем говорить о пиннинге, нужно понимать, что вообще происходит при взаимодействии клиента и сервера, как проходит установка безопасного соединения и еще несколько базовых вещей.
Я постарался описать все эти вещи максимально просто, так, как сам их понимаю, и надеюсь, что этот материал будет полезен тем, кто хочет сделать свой продукт более безопасным и разобраться, как работает этот механизм.

Я старался, так что, надеюсь, вам понравится!

Всех с понедельником и хорошей недели!

#Habr #SSL #Pinning

Как работают обновления в Android

Очень подробная и крутая статья про то, как работают обновления внутри Android.

Много сказано про механизм TREBLE (способ разделения Android на две независимые части, призванные решить проблемы фрагментации Android и доставки патчей на устройства различных производителей), про тестирование обновлений, в принципе про процесс , про производителей и много-много других очень интересных вещей.

Тем, кто интересуется, как устроена система внутри и что происходит «за сценой» обязательно к прочтению. Да и всем остальным, тоже, думаю будет полезно почитать. Кода в статье нет, это чисто описание различных процессов и технологий (да и автор уверяет, что многие вещи под NDA, так что публиковать это нельзя).

Приятного чтения!

#Android #Trebble #updates #article

Анализ приложения под DexGuard

Очень мне понравилась статья про анализ приложения для MDM (Mobile Device Management), которое оказалось защищено при помощи DexGuard.

В статье автор очень подробно рассказывает про все этапы анализа, особенности DexGuard, различие имплементации AES классического и в исполнении DexGuard и многое другое, что очень интересно почитать и поизучать.

Ну и вывод, который можно сделать из всего этого, даже если ты используешь DexGuard, и с его помощью шифруешь строки, то не стоит забывать, что оставлять креды в конфигах приложения не стоит в любом случае, особенно администраторские 😉

Так что шифруйте и храните свои данные правильно!

#Android #dexguard

Разбор очередного калькулятора для шифрования фото.

В прошлый раз, под маской калькулятора для хранения фотографий скрывался DES с вшитым в код паролем «12345678» и более чем 10 млн установок.

Посмотрим, что на этот раз скрывается под капотом.

Статья, подробно разбирающая используемые технологии и механизмы шифрования, используемые в приложении «Secret Calculator Photo Vault». А внутри использование Facebook Conceal API в связке с получением ключа из пина пользователя на основе PBKDF2.

Достаточно прикольная статья, описывающая процесс понимания того, как именно зашифрованы данные и что нужно сделать, чтобы их расшифровать. Ну и вишенкой на торте, репозиторий автора со скриптами для брутфорса пина и расшифровкой медиа файлов,

И всё таки меня не покидает вопрос, почему именно калькуляторы? Почему в большинстве случаев именно они призваны скрывать фото? :)

#calculator #photovault #android #encryption

Сборник WriteUp по уязвимостям приложений Facebook

Нашел занятный репозиторий, который собирает в себе все описания найденных багов в приложениях Facebook, включая WhatsUp, Instagram и прочие сервисы компании.

Сразу в едином месте можно посмотреть всё, что было найдено в разных версиях и сколько за это получили исследователи :) ну и там не только приложения, но и любые баги в Web в том числе.

Так что, если вы нашли багу в приложениях этой компании и написали WriteUp, можно смело создавать PR 😉

#writeup #facebook #bugbounty

Вторая серия подборки

Всем хорошего вечера пятницы, выпустил, как обещал вторую версию дайджеста с подборкой материалов за неделю.

Эксперимент оказался вполне успешным, по крайнере мере негатива не было =)

И у меня возник вопрос, а стоит ли это публиковать на канале и добавилось в репозитории, раз уж это все равно по факту сборник того, что уже было на неделе, просто на другой площадке?

Если не сложно, отметьте, нужно такое или нет =)

#quiz #habr #news #awesome