Mobile AppSec World
6.28K subscribers
162 photos
12 videos
21 files
749 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
А вот и шикарная подборка статей и материалов от победителя!
Forwarded from Alexander Khamitov
Не так давно составлял подборку статей по анализу и безопасности кросс-платформенных приложений. Ресурсов очень мало, в особенности, если оставить за рамками хайповый Flutter.

Анализ приложений
Статья про исследование React Native приложений ( + обзор JS движка Hermes и утилиты для его анализа)
Статья про исследование и патчинг Xamarin приложений
Подборка полезных ресурсов для реверса Xamarin приложений

Безопасность приложений
Подборка советов по повышению безопасности React Native приложений
Подборка советов по повышению безопасности Ionic/Cordova приложений
Подборка советов по повышению безопасности Flutter приложений

Когда готовился к OSCP, случайно наткнулся на багу в Xamarin, связанную с подменой DLL. Тогда еще удивился, что популярный вектор повышения привилегий на Windows машинах может встретиться и на мобилках.

#offzone2
Как-то так получилось, что мы подружились с Мобиусом, поэтому вот ещё один пост про новый сезон :)

И надеюсь, что на него тоже разыграем билет :)
Forwarded from Аня
Mobius возвращается!

В ноябре JUG Ru Group организует конференцию для мобильных разработчиков — Mobius 2022 Autumn. В программе — технические доклады и дискуссии о языках, архитектуре, трендах, платформах, фреймворках и инструментах. На конференции соберутся iOS- и Android-разработчики, архитекторы мобильных приложений, специалисты по DevOps, тестировщики, тимлиды и руководители проектов.

Участники конференции любят обсуждать нетривиальные задачи и новые подходы в мобильной разработке. И если вам есть что сказать, тогда подавайте заявку на выступление. Программный комитет поможет с подготовкой к выступлению: назначит персонального куратора, проведет ревью материала и организует репетиции.

Выбирайте тему выступления на сайте или предлагайте свои идеи — их обязательно рассмотрят.

Всем спикерам JUG Ru Group дарит билет на все конференции сезона в онлайне и офлайне.

А билеты можно купить здесь.
👍2
Who got the key?

А вот очередная интересная заметка про ключики и их хранение. На этот раз в фокус экспертов попали ключи от Twitter API.
А сколько ещё таких ключей и сервисов может быть?) думаю, что бескрайнее множество.

Мы тоже у себя готовим интересную статистику по использованию различных ключей и их валидности в приложениях, думаю, через некоторое время подобьем аналитику и анонсируем результаты :)
Forwarded from SecAtor
Исследователи CloudSEK обнаружили 3207 мобильных приложений, которые раскрывают ключи Twitter API.

Нарушение потенциально позволяет злоумышленникам завладеть учетными записями пользователей Twitter для создания в армии ботов и продвижения фейковых новостей, реализации кампаний по распространению вредоносного ПО или других мошеннических действий.

В рамках интеграции мобильных приложений с Twitter разработчикам предоставляются специальные ключи аутентификации или токены, которые позволят взаимодействовать с API Twitter.

Ключи позволяют приложению действовать от имени пользователя, например, входить в систему через Twitter, постить твиты, отправлять DM, читать личные сообщения, управлять подписотой, а также настройками аккаунта.

CloudSEK
объясняет, что утечка ключей API обычно является результатом ошибок разработчиков, которые встраивают свои ключи аутентификации в API Twitter, но забывают удалить их по окончании разработки, оставляя их, как правило, в resources/res/values/strings.xml, source/resources/res/values-es-rAR/strings.xml, source/resources/res/values-es-rCO/strings.xml или source/sources/com/app-name/BuildConfig.java.

Список всех уязвимых приложений не раскрывается, поскольку большинство их разработчиков спустя месяц еще не подтвердили получение уведомлений CloudSEK. Однако, по данным ресерчеров, среди них есть и имеющие от 50 000 до 5 000 000 загрузок.

Исключением к настоящему моменту стала лишь компания Ford Motors, которая отреагировала и развернула исправление в приложении Ford Events, из-за которого также происходила утечка ключей API Twitter.

Полагаем, что Макс одним из первых ознакомился с результаты исследования, если и вовсе не был соавтором.
👍4
Анализ iOS-приложений

Свеженькая статья от Digital Security, а вернее продолжение первой части про подготовку устройства.

Очень годная для начинающих статья, содержащая в себе разбор нескольких наиболее часто встречающихся уязвимостей в iOS приложениях и способе их поиска. Применяются известные и актуальные инструменты для анализа (Grapefruit и Objection), а также чистая frida :)

Очень доступно и понятно написано, спасибо ребятам)

#ios #dsec #frida #objection
🔥5👍3
И снова шикарный трюк от @bagipro

Продолжая рубрику "советы для bugbounty", теперь про способ обхода ограничений для ContentProvider.openFile().

Вот ссылка на оригинальный пост, но для тех, у кого Твиттер закрыт и нет VPN немного пояснений и описаний.
Суть в том, что использую небольшой трюк можно получить приватную информацию через контент провайдер, если вызвать его не напрямую, а прикинуться шлангом, системным сервисом, которому по умолчанию выдаются любые Permissions.

Атака возможна, если:
1. Контент-провайдер экспортируется
2. Внутри он проверяет вызывающий UID, имя пакета и/или набор разрешений

Таким образом, можно вызвать ContentProvider.openFile() через IActivityManager.openContentUri(). Он проверит права доступа, но затем проксирует вызов из своего контекста, а именно к Binder.getCallingUid() == 1000, и, так как это UID системы, то ей по умолчанию предоставлены все права.

Что тут сказать, аплодирую стоя 👍👍

#android #binder #contentProvider #oversecured
👍8🔥2
Поговорим о безопасности?

Пригласили поговорить за безопасность кода и различных способах проверки его на всякое разное в части безопасности)

Кому интересно, приходите в четверг послушать и пообщаться, постараюсь не говорить совсем уж банальные вещи и сделать эфир поинтереснее)
Forwarded from Just Security
Как обещали продолжаем говорить о безопасной разработке в эфирах!

В следующий четверг, 11 августа в 18:00 зовем гостем Юрия Шабалина — ведущего архитектора Swordfish Security, автора канала @mobile_appsec_world и DevSecOps-евангелиста. А компанию составит специалист по безопасной разработке Awillix, эксперт в области внедрения и управления DevSecOps в организациях— Анастасия Худоярова.

Обсудим поиск секретов в коде, поиск уязвимостей и небезопасных конструкций.

До связи :)
🔥7
Очень годный контент)

Про проверку ключей я тоже немного писал)
Forwarded from Пост Импакта
#sdlc #apikeys

> хей, подскажите, чем нынче модно искать всякие лики секретов на сайте? для бёрпа или лучше браузера?

Разработчики часто совершают ошибки управления секретами, особенно в незрелом процессе SDLC. В кодовую базу попадают пароли, хардкодятся API-ключи к CI/CD, заносятся учетные данные пользователей. Для того чтобы отслеживать наличие секретов существует ряд утилит:

github.com/eth0izzle/shhgit — отслеживает все коммиты через api GitHub и BitBucket для поиска конфиденциальных данных в режиме реального времени. Однажды нашёл с помощью этой утилиты креды от QA сотрудника Dyson. Как итог удалось скачать сорцы главного сайта и зайти в их Slack. Однако внимательный читатель заметит, что последний коммит был два года назад, верно, автор замутил на основе этого стартап и начал продавать как SaaS.

github.com/zricethezav/gitleaks — инструмент SAST для обнаружения и предотвращения жестко закодированных секретов, таких как пароли, ключи API и токены в репозиториях git. Можно использовать на склонированном репозитории локально.

github.com/hisxo/gitGraber — функциями схож с shhgit, однако есть некий фильтр по компаниям, вообще работает всё это дело так api.github.com/search/code?q=Компания|Yahoo, а затем уже в результатах ищет секреты.

github.com/securing/DumpsterDiver — если предыдущие утилиты искали ключи используя regex, то этот использует метод вычисления энтропии, есть возможность задать порог. Например для Azure Shared ключа порог будет начинаться от 5.1. Из плюсов ищет не только в git, но и в любой папке.

github.com/trufflesecurity/trufflehog — по функционалу ближе всего к gitleaks. Доступен в github actions.

> Хочу искать секреты и вне работы!

Ок, вот тебе Extension TruffleHog под Chromium. Просто гуляя по сайтам, это чудо-расширение будет искать секреты на страницах и выводить alert(apikey) в случаях совпадения. У расширения есть настройки, которые включают автоматические get запросы для файлов .git или .env на сайте.

> И как мне самому узнать, какая утилита лучше всего ищет секреты?

Вот вам файл со специально забытыми api ключами на github.com/sourcegraph-community/no-secrets/blob/main/secret-examples.md

> Нашёл ключ что мне делать?

Тестировать и проверять на действительность используя этот замечательный репозиторий github.com/streaak/keyhacks


> Когда в github добавят нормальный regex?

Уже добавили, вот поиск по всему github используя Regex Facebook key: cs.github.com/?scopeName=All+repos&scope=&q=%2FEAACEdEose0cBA%5B0-9A-Za-z%5D%2B%2F
Но вам придётся запросить у github инвайт в их beta =)
🔥6
Всем любителям и неравнодушным к StepN Flutter

Всем привет!
Все, кто любит CTF и Flutter - в канале Новости SPbCTF появился CTF Андроид приложения, очень похожего на всеми обожаемый StepN 😄

По факту - нужно разреверсить флаттер приложение и получить флаг)
Ну что, те, кто хотел проходку на OFFZONE, но не успел, могут попробовать свои силы во Flutter!

Подробности в следующем посте.

Хорошей пятницы всем)
😁2
Forwarded from Новости SPbCTF (Vlad Roskov)
This media is not supported in your browser
VIEW IN TELEGRAM
👟 #Таск 2022-08-12: Android Reverse (автор: @rozetkinrobot)

Нынче достаточно популярны всякие Play-to-Earn проекты. Ыж решил попытать удачу в одном из таких под названием StepOFF.

Как оказалось, для регистрации нужен инвайт-код, а те, что он смог найти в Discord проекта, уже использованы.

Помогите Ыжу получить заветный доступ к приложению.

Сдавать на борде: tasks.blzh.fr/tasks/friday
🏃‍♂️ Не забывайте, что чем быстрее, тем больше очков!

vk.com/wall-114366489_2183
👍2
Немного спойлеров про стенд Swordfish Security на оффзон!
Стильно и круто у нас будет, заходите на огонёк и ко мне на стенд и к фишам, будет много активностей и мерча :)
🔥6
Forwarded from OFFZONE
Наш партнер и соорганизатор AppSec.Zone — Swordfish Security — вовсю готовится к OFFZONE.

Вас ждет стильный стенд и CTF для любителей веба.

А еще маскот Swordfish — Security Champion — поможет вам в небольшой фан-активности от нас.

Подробности вы узнаете на конференции, а пока небольшой спойлер: образ маскота вдохновлен эстетикой киберпанка.

Ищите на OFFZONE!
👍7🔥2
Новости SPbCTF
👟 #Таск 2022-08-12: Android Reverse (автор: @rozetkinrobot) Нынче достаточно популярны всякие Play-to-Earn проекты. Ыж решил попытать удачу в одном из таких под названием StepOFF. Как оказалось, для регистрации нужен инвайт-код, а те, что он смог найти в…
Решение задачи с Flutter

А вот и решение этого таска, кому интересно.

В видео рассказывают про то, как можно было решить задание и в целом, что можно сделать с флаттером, как его анализировать, что смотреть и прочие интересные вещи. Тут нам и reFlutter (❤️) и статья по реверсу от GuardSquare пригодилась и вообще неплохая демо анализа подобных приложений.

Советую всем, кто начинает знакомиться с анализом кроссплатформ и любит Stepn Flutter 😁

#flutter #ctf
🔥6