Опасная уязвимость в магазине приложений Samsung Galaxy App Store

Опасную уязвимость обнаружили в магазине приложений компании Samsung - Galaxy App Store. В статье подробно описаны технические детали, благодаря чему это стало возможным, почитать крайне полезно, так как весь флоу описывается с примерами уязвимого кода и PoC.

Если простыми словами, то суть ее заключается в возможности установить абсолютно любое приложение из магазина без участия пользователя. Принцип простой:

1. Злоумышленник готовит приложение с вирусом (майнер, вымогатель, удаленный доступ, реклама, что угодно) и загружает его в магазин “Galaxy App Store“ под видом легитимного. Таких случаев достаточно много, и они встречаются не только в магазине от Samsung, но и в Google Play, который, как мне кажется, более тщательно проверяет приложения перед их публикацией.

2. Пользователь устанавливает любое приложение, в котором заложена вредоносная функциональность (установлено приложение может быть откуда угодно, Google Play, App Gallery, Aurora Store и т.д.), или даже получает обновление уже установленного приложения.

Вредоносная функциональность понимает, что установлена на Samsung или что установлено приложение “Galaxy App Store“, и отправляет запрос на автоматическую загрузку и установку приложения.

В результате, пользовательское устройство становится заражено любым вирусом, который удалось загрузить в магазин приложений. А как мы знаем, такие приложения находятся в магазинах практически каждый месяц. Но если раньше пользователя надо было как-то заставить скачать и установить его, то теперь все происходит автоматически и без его ведома.

#samsung #cve #research #fsecure

Новости мобильной безопасности. Эпизод 4.

Продолжаем рубрику новостей из мира безопасности мобильных приложений (с 30 апреля по 6 мая). Несмотря на праздники, новостей и материалов было достаточно много, - давайте посмотрим, что интересного произошло.

Ну и напомню, что все эти ссылки переходят из канала на Хабр, а оттуда в репозитории Awesome iOS Security и Awesome Android Security, присоединяйтесь)

Всем хорошей пятницы и хорошо отдохнуть на выходных!

#habr #news #awesome

Перехват трафика мобильного приложения с использованием Wireguard, MitmProxy и Linux внутри Android

В последнее время, по какой-то причине, выходит много постов с темой перехвата трафика приложений и как настроить свое рабочее пространство. Были уже способы с Magisk, с установкой сертификата в системные руками или через специальный инструмент.

Но эта статья показалась мне самой классной!

Автор предлагает поставить на Android-устройство LineageOS, Magisk, frida-server, потом развернуть Linux на устройстве, накатить туда frida-tools и MitmProxy. После этого развлечения они начинают дружить друг с другом по SSH через Wireguard VPN (Ну и вроде как с компа туда можно подключиться).

То есть, получаем полноценную лабораторию на одном устройстве. Классно, правда?

На самом деле, выглядит немного пугающе и возникает вопрос, зачем так сложно? Но если кто-то захочет заиметь нечто подобное, то этот мануал вам поможет.

#frida #android #lineageos #mitm #network

Архивирование приложений в Android

В недавнем сообщении в своем блоге компания Google объявила, что начала работать над новой функцией, которая позволит "архивировать приложения". Архивирование приложения позволит пользователям освободить ~60% от занимаемого дискового пространства, "удалив части приложения, а не удаляя его полностью".

Поскольку приложение все еще технически установлено на устройстве, данные приложения сохраняются при его архивировании, что облегчает его резервное копирование и запуск.

Помимо самого механизма в статье рассказывается, что такое App Bundle, как его сделать, как он работает и вот это все.

Хороший материал, можно узнать много интересных вещей.

#android #apk #archieved #appbundle

Быстрый способ проверить наличие обфускации, тип шифрования apk и различных проверок

Очень полезный инструмент для быстрого анализа приложения на наличие обфускации или специального пакера, который зашифровывает dex файлы.

Помимо этого может крайне интересен при анализе приложений, так как умеет определять различные методы по защите приложения, такие как проверка на эмулятор, проверка на подключенный дебаггер. списком выводит те проверки, что ему удалось найти:

|-> anti_vm : Build.FINGERPRINT check, Build.MANUFACTURER check, Build.MODEL check, Build.PRODUCT check, Build.TAGS check, SIM operator check, device ID check, network operator name check, ro.kernel.qemu check
|-> compiler : r8
|-> obfuscator : unreadable field names, unreadable method names

То есть, теперь нет необходимости вручную смотреть, какие проверки есть внутри приложения и что нужно подменять, а достаточно запустить простую команду, передать ей на вход имя файла и получить результат.

Конечно, инструмент не покрывает всех проверок, но в качестве отправной точки может неплохо помочь.

Удачного использования!

#android #obfuscation #apk #emulation

Навигация в radare2

Небольшой получасовой экскурс на Youtube в инструмент radare2.

Вообще мне почему-то ещё не довелось его попробовать во всей красе, но по крайней мере описание его возможностей и что он умеет внушает уважение. Крайне интересный инструмент для реверса может быть. Учитывая, что у него есть куча плагинов, api и прочих полезных вещей, может поучаствовать и в автоматизации.

Для старта советую начать с официальной книги по radare2, где очень многое описано и становится более понятным, как и для чего его использовать.

#radare2 #video

Writeup по простенькому Android CTF

Прохождение достаточно простого CTF на одной из недавних конференций NahamCon2022.

Автор описывает принцип работы приложения и решает его при помощи модификации smali-кода, попутно немного объясняя что и как он делает.

Небольшой и занятный writeup’чик, можно для эксперимента пройти его не через модификацию smali, а через frida, например.

#smali #ctf #wtiteup

А вот и сам apk от этого прохождения

Можно попробовать свои силы)

Ещё несколько Frida snippets

В одном из чатов подсмотрел полезную заметку по использованию Frida с несколькими примерами, которые могут помочь в работе.

Примеры для С, Android и iOS. Их не сильно много и они довольно общие, но в целом, крайне полезные во время анализа приложения и однозначно стоит их поместить в закладки, а лучше сохранить локально.

#frida #android #ios

Курс по Burp Suite (пока бесплатно)

Очень часто для работы с перехватом трафика используется очень полезный и мощный инструмент - Burp Suite. Это просто швейцарский нож и его возможности очень велики, как из коробки, так и благодаря различным плагинам и возможности написать свои собственные расширения.

Сегодня (ещё 20 часов) цена на 8-часовой курс по Burp бесплатно!

Название «BUG BOUNTY HUNTING WITH BURP SUITE» обещает много интересного и полезного материала.

Проведите выходные с пользой :)

#course #burp

Ещё можно

Всё, время вышло :(
Кто успел из под впн оформить, молодцы))

Всем любителям Flutter посвящается

В последнее время из каждого чата доносится Flutter, Flutter, Stepn Flutter.

Вот и исследователю попалось приложение, потенциально похожее на зловредное. А во время анализа выяснилось, что написано оно на платформе Andromo, что на самом деле тот же флаттер.

Статья разделена на несколько частей, анализ таких приложений в целом (подходы, инструменты и т.д.).
И вторая часть про анализ зловредности. Вообще, достаточно познавательная статейка.

Как оказалось в итоге, приложение это не малварь, но что-то мне подсказывает, что в скором времени мы ещё увидим статьи о новых типах зловредов, написанных на Dart..

#malware #flutter #reflutter

Найти всё, что скрыто. Поиск чувствительной информации в мобильных приложениях

Одной из самых трудоемких задач в процессе анализа приложения (по времени так точно) - это поиск неправильно хранящихся чувствительных данных в приложении, понимание, откуда они там появились и где дальше используются.

В своей статье я немного рассказал про наши принципы и подходы к такому поиску, поразмышлял на тему того, как найти более сложные кейсы и как это связать воедино.

В секции про правильное хранение получилось добавить немного про шифрование и, думаю, в ближайшее время, я сделаю пост про основы шифрования, что нужно знать, чтобы не допустить простых ошибок во время реализации (по аналогии с SSL Pinning).

Надеюсь, что этот материал покажется вам интересным и вы сможете что-то нужное подчерпнуть для анализа или для защиты)

Всем хорошего понедельника и продуктивной недели!

#habr #sensinfo #blog #crypto

Биометрия, как много в этом слове

И снова про биометрическую аутентификацию в приложениях и один маленьки нюанс, который точно стоит учитывать при добавлении/анализе биометрии.

Отдельное спасибо автору @OxFi5t за готовый frida-скрипт)

Небольшая заметка про маленький, но противный баг, который периодически встречается в приложениях использующих биометрическую аутентификацию

Пора конференций
Ну что же, настает пора конференций, phd, offzone и все остальные)

Но и конференции для разработчиков тоже не отстают, вот и коллеги из Мобиус выслали промокод для билетов maw2022JRGpc

Возможно, кому-то будет интересно :)

Итак, Mobius не за горами! Вас ждут три дня докладов, воркшопов, круглых столов и дискуссий обо всем, чем живет мобильная разработка.

Конференция пройдет 25–27 мая, на 80% в онлайне, но в этот раз будет еще и offline-день. 22 июня в Санкт-Петербурге соберутся все, кто соскучился по живым выступлениям, дискуссионным зонам и тусовкам.

Программа online-части уже полностью готова и ждет вас на сайте.

Кстати, не забывайте про промокод maw2022JRGpc, который поможет приобрести персональный билет со скидкой.

Oversecured - бесплатные сканы!

Спасибо, @bagipro за возможность посканить разные приложения!

Oversecured снова открывает возможность бесплатного сканирования 2-х приложений!

Налетай, покупай :)

#oversecured #sast

Смотреть трансляцию Positive Hack Days бесплатно и без смс можно здесь - https://event.phdays.com/ru. Есть удобный фильтр по зонам. Доклады уже идут!

Fuzzing инструмента radare2 в Kubernetes

Весьма занятная статья вышла про увеличение скорости фаззинга используя кубер.

Автор реализовал (а вернее взял из предыдущего исследования) небольшой блок кода, который рандомно меняет последовательность бит в бинарном файле. После, измененный бинарный файл отправляется в radare2 и отслеживаются падения, то есть, удалось ли обработать файл или нет.

Ну и всё это развернуто в кубе и гоняется на каждый релиз.

Вообще, несмотря на кажущуюся сложность, статья написана весьма неплохо и читается очень легко.

#fuzzing #radare2 #kuber