​​Эксперименты с WebView

Практически всегда, когда говорят об уязвимостях в WebView - имеют ввиду возможности по выполнению JS кода, если это не отключено, чтение файлов, если опять-таки не отключена такая возможность и другие похожие проблемы.

Но вот другой интересный момент на который стоит обратить внимание, что если защищать нужно не ваше приложение, которое использует WebView, а вашу страницу, которое другое приложение отображает и данные клиентов, которую вводят на ней информацию? Простой пример - в стороннем приложении "партнера" нужно осуществить логин в ваш сервис и для этого используется Web страница. Что может сделать приложение с данными, которые отправляются через WebView и какие способы от этого защититься есть?

Подробная статья про разные методы защиты (CSP, Iframe Sandbox, X-XSS-Protection), в чем их смысл, как их можно обойти и что делать-то в итоге? Плюс этой статьи, что к каждому примеру есть работающие приложения, чтобы попробовать самому пройти все эти шаги и код, который можно изучить.

И в догонку пост от Mail.ru двухгодичной давности, но актуальный до сих пор, про безопасность мобильного OAuth2.0. Всем, кто использует или предоставляет такую возможность очень рекомендую к изучению, ребята очень дотошно и качественно подошли к материалу. Комментарии к этой статье тоже несут много полезной информации, что необычно 😁

#WebView #OAuth #Research

Ответы на вопросы по безопасности Android

Уже в эту пятницу 18 сентября в 19:00 по MSK будет стрим на Youtube по вопросам безопасности как самой системы Android, так и приложений! Отвечать на вопросы, которые также можно задать и в эфире, будет @OxFi5t, очень скиловый и крутой эксперт!

Я точно пойду послушаю )

Была бы ещё расшифровка записи, чтоб потом собрать некоторую wiki, было б вообще бомба. Может кто знает, как это можно автоматизировать? 😁

https://www.youtube.com/watch?v=zeU2wlcj_Bw

#Android #Security #Education

Интересная уязвимость в Firefox, которая позволяет запускать браузер и выполнять некорые Intent на вашем устройстве, если вы находитесь в одной сети со злоумышленником.

Но вот явного профита я пока не могу найти, что можно сделать адски плохого 👹

Полный репорт тут:
https://gitlab.com/gitlab-com/gl-security/security-operations/gl-redteam/red-team-tech-notes/-/tree/master/firefox-android-2020

P.S. новость с отличного канала, очень много интересного контента :)

Уязвимость в Firefox для Android, позволяющая управлять браузером через общий Wi-Fi
https://www.opennet.ru/opennews/art.shtml?num=53745

PoC
https://gitlab.com/gitlab-com/gl-security/security-operations/gl-redteam/red-team-tech-notes/-/blob/master/firefox-android-2020/ffssdp.py

​​CTF с защитой от root и frida

Обычно CTF решаются с помощью установки приложения на рутованное устройство, запускается Фрида и погнали!

Но не в этот раз 😁 В этом шикарном CTF (осторожно, по ссылке загрузка apk) стоит детект рута и определение Frida, что делает его непохожим на остальные и достаточно сложным.

Автор в статье описывает всю последовательность действий для прохождения этого добра. Очень здоровский CTF, можно к себе попробовать утащить детект Фриды :D

#CTF #Frida #Android

​​CVE-2020-9964 - iOS, утечка информации

Не так давно вышла новая версия iOS 14 и её тут же начали ковырять исследователи на возможность jailbreaķ. Одно время даже была новость про отвязанный jail 😱 Вот это было бы чудесно, конечно, но пока ещё нет.

Вместе с этим, выходят обзоры на уязвимости, закрытые в новой версии. Один из таких обзоров посвящен вопросу управления памяти. В описании Apple сказано, что благодаря уязвимости «локальный пользователь может читать память ядра» и называет ее «проблемой инициализации памяти».

Само по себе это не сильно опасно, но может помочь при дальнейших атаках.

#iOS #Kernel #CVE #Vulnerability

Казалось бы, еще одна статья про биометрическую аутентификацию в Android... Но нет. В этой даются полезные пояснения по новым классам аутентификации, которые появились в Android 11.

#4developers #biometric

https://proandroiddev.com/biometrics-in-android-50424de8d0e

​​Jailbreak на iOS 14

Появился jailbreak для iOS 14! Пока что не для всех моделей, но всё-таки!

Тенденция очень радует, чем старше версия iOS, тем быстрее её ломают. Может это и не так, нужно проверить 😁

Для устройств на процессорах A9(X) jailbreak уже доступен:
- iPhone 6s, 6s Plus, and SE
- iPad 5th generation
- iPad Air 2
- iPad mini 4
- iPad Pro 1st generation
- Apple TV 4 and 4K
- iBridge T2

Интересно, что в iOS 14 Apple добавила новое средство защиты SEPOS на процессорах A10 и выше: если устройство было загружено из режима DFU и Secure Enclave получает запрос на расшифровку пользовательских данных, то сработает защита. Поскольку основной эксплойт checkm8 не может обойти это ограничение, то очень кстати оказалась выявленная недавно уязвимость blackbird, которая позволяет получить контроль над Security Enclave и отключить эту проверку.

Устройства, которые ждут "скрещивания" checkm8 и blackbird:
- iPhone 7 and 7 Plus
- iPad 6th and 7th generation
- iPod touch 7
- iPad Pro 2nd generation

По заверению исследователей, это дело нескольких недель.

Для остальных устройств, на процессорах выше А10(Х), на данный момент не понятно, сработает ли уязвимость blackbird.

Будем следить :)

#iOS #Jailbreak #iOS14 #checkm8

Вебинар - Android Hacking Proving Ground

Уже сегодня (24 сентября) в 20:00 пройдет вебинар по анализу мобильных приложений (обязательна регистрация, а то не придет ссылка) от одного из активных участников OWASP и контрибьютора в MSTG из компании Acronis.

В программе:
- Вступление
- О себе
- Разнообразие мобильной безопасности
- Атака, защита и поиск ошибок в Android-приложениях
- CTF InjuredAndroid
- Демо различных атак
- Карьера в области безопасности мобильных приложений
- Полезные Ресурсы
- Вопросы и ответы

Может будет что-то интересное/полезное 😄

#Android #Webinar #CTF

Что нового в безопасности iOS 14

Новая версия iOS уже с нами и выходит все больше статей про новые функции безопасноcти и анализ нововведений, таких как App Clips.
Одна из первых новостей - статья от Elcomsoft про обновления в части Forensic для новой iOS.

Несколько полезных статей про изменения и новый функционал:
- Анализ новой функциональности App Clips
- Анализ цепочек сообщений в iMessages
- Большая обзорная статья про нововведения в механизмы безопасности

Из интересного:
- Немного изменился формат локального бекапа (для того, чтобы его создать нужна последняя версия iTunes). Так что утилиты для разбора и анализа бекапов могут какое-то время не работать до их обновления под измененный формат. Данные, которые туда попадают, остаются такими же.
- Такая участь постигла и облачные бэкапы
- Минорные изменения в структуре файловой системы
- Появилась возможность разрешать приложениям доступ только к приблизительному местоположению
- В правой верхней части экрана устройства будет отображаться индикатор использования камеры и микрофона

Глобально, по большому счету, мало что изменилось)

#iOS #Update #Security

​​RCE в Instagram на Android и iOS

Очень подробная, длинная и качественная статья про найденную уязвимость в приложении Instagram для обеих платформ.

Дьявол, как обычно, кроется в деталях. Исследователи решили искать уязвимости не в самом приложении, а в используемых open-source библиотеках!

Как это обычно бывает, наиболее интересные баги всегда связаны с обработкой изображений, уже ни раз находили подобные проблемы и в приложениях и в самих операционных системах. В данном случае жертвой стала библиотека Mozjpeg. При помощи прекрасного инструмента для фаззинга American Fuzzy Lop (AFL) нашли ряд проблем, одну из которых почти докрутили до полноценного эксплойта. Но чуть не хватило 😁

В статье подробно расписан процесс анализа и объясняется, как именно исследователи строили и проверяли различные предположения. С выкладками кода, бинарщиной, манипуляциями с памятью, всё как надо)

Почитать на ночь,что надо 😁

#Android #iOS #Instagram #Vulnerability

​​Universal XSS в WebView

Описание одной из найденных уязвимостей, позволяющей выполнить произвольный JS код в рамках WebView и в некоторых особенно запущенных случаях получить доступ к привилегированным API-интерфейсам, предоставляемых приложением.

Сработало интересное поведение WebView, которое при настройке по умолчанию, запрещает иметь несколько окон, WebSettings.setSupportMultipleWindows(). Такая настройка позволяет из iframe обходить политику Same-Origin и выполнять произвольный JavaScript сразу на вашей странице.

Эта уязвимость затрагивает приложения, которые используют WebView с настройками по умолчанию и которые работают в системах с версией Android WebView до 83.0.4103.106.

Как защититься, если не уверены, что работаете на пропатченной версии:
1. Включите поддержку нескольких окон (WebSettings.setSupportMultipleWindows() установить в true). При этом поведение и внешний вид может остаться аналогичным и незаметным для пользователя.

2. Загружаете в WebView только доверенный контент со своих серверов.

Интересная находка, которая затрагивает сразу и приложения, использующие WebView и сами браузеры 😃

Пора автоматизировать и на h1?) 🤔

#Android #Vulnerability #XSS

​​Вторая часть прохождения CTF с защитой от root и frida

Вышла вторая и заключительная статья про прохождение безумно интересного и сложного CTF r2pay.

В этой части автор разбирает функцию JNI для генерации токена, исследует криптографические операции и в итоге вычисляет ключ шифрования.

Некоторые моменты в этой статье заставляют прочитать её более вдумчиво несколько раз и обязательно походить по ссылкам, чтобы понять, что же за магия там происходит.

#CTF #Android #Crypto

Недокументированные команды в Fastboot

Статья про разбор загрузчика Pixel 3.

В статье описано, как работать с образами загрузчиков, какие инструменты можно использовать и что можно интересного найти. Никогда не имел дело с настолько низкоуровневыми вещами, но это правда интересно!

Например, для меня стало открытием, что UEFI используется на телефонах.

Век живи, век читай 😁

#Android #Bootloader #Fastboot

Эксплуатация Deeplink и экспортируемых компонентов в Android

Тут подоспело отличное видео про эксплуатацию deeplink и экспортируемых компонентов в Android приложениях от @B3nac. У него очень качественный контент, интересно смотреть и читать. И это видео не стало исключением.

Основное внимание уделяется тому, как использовать экспортированные компоненты Android и Deeplink с примерами и векторами атак.

Большое спасибо, что к этому видео есть отдельно слайды и все используемые материалы!

Ну и также @B3nac автор интересного CTF, про который я упоминал раньше.

#Android #Video #Deeplink #Exported

Многие из вас уже знают, что Google недавно представил две новые концепции хранения данных в Android в рамках библиотеки DataStore. Библиотека представляет из себя два хранилища: Preferences DataStore и Proto DataStore. Первое это привычные и понятные всем SharedPreferences, но немного поумневшие и типобезопасные. А вот второе уже гораздо интереснее. как следует из названия это хранилище работает со схемами ProtoBuf и обещает нам много интересного. Единственное, чего оно не обещает из коробки это шифрования данных. Это довольно странно в 2020-м году и при условии, что у Google уже есть все нужные компоненты для реализации. Ну нет так нет. Я написал эту интеграцию сам и хочу поделиться ей с вами. Там никакого космоса, просто Tink встроенный в proto-сериализатор данных. Код можно слить с GitHub-а и поиграться с ним.

https://github.com/Fi5t/secured-datastore

#4developers #cryptography

Советы для мобильного BugBounty

Советы для мобильного BugBounty от потрясающего ресерчера @bagipro:

1. Декомпилировать приложение с помощью jadx.
2. Найти все обработчики deeplink из AndroidManifest.xml, они выглядят как <data android:scheme="airbnb" android:host="d"/>
3. Grep'нуть шаблон из обработчика, в данном случае airbnb://d
4. Можно найти множество захардкоженных URL-адресов, например airbnb://d/openurl?url=https:// http://airbnb.com/blabla. Это намного проще, чем изучать исходники
5. Теперь попробуйте использовать свои собственные домены через adb (adb shell am start -a android.intent.action.VIEW airbnb://d/openurl?url=http:// http://evil.com) или вставить ссылку в HTML-страницу (см. отчет H1 ниже)
6. Можно повторить тоже самое для iOS приложений. Обычно функциональность аналогична, но сама реализация может отличаться.

Отчет на H1, который эксплуатирует эту багу.

Спасибо огромное @bagipro, что он делится своим опытом, это очень полезно!

#BugBounty #H1 #Android #iOS

But most of all, Samy is my hero!

Новость не про мобильные приложения, но пропустить такое нельзя!

Сегодня 15 лет с момента, наверное, первого (ну или по крайней мере такого масштабного) XSS-червя в социальной сети MySpace.

4 октября 2005 года Samy Kamkar разместил на своей странице пост, содержащий JS-код. Этот код выполнял несколько простых функций:
- копировал себя на страницу к тому, кто зашёл к Samy в профиль (а дальше по цепочке и всем остальным, кто этот пост видел)
- отправлял заявку в друзья
- ставил в статус "but most of all, samy is my hero"

Ничего страшного, но всего за 20 часов этот червь "заразил" более миллиона пользователей! Для того, чтобы убрать последствия и остановить распространение пришлось на несколько часов полностью отключить MySpace 😁

По итогу - Samy получил запрет на доступ в интернет, разрешение пользоваться только одним компьютером и три года условного срока.

Но эта история навсегда вошла в мир информационной безопасности.

Хорошая статья на русском на эту тему есть в журнале Хакер:
https://xakep.ru/2015/10/06/samy-worm/

#SamyIsMyHero

Как отследить устройство используя камеру и спрашивая разрешения

На самом деле, достаточно старая бага и доклад, но от этого не менее изящная. Видео с конференции RSA, слайды с blackhat.

Вся соль заключается в том, что можно было вызвать экспортируемую Activity у приложения камеры, сделать фото или видео, поставить геометку и всё это без каких либо пермишенов со стороны приложения! Ни доступа к камере, ни к галерее, в общем ничего подозрительного.

При этом, чтобы дополнительно скрыть своё присутствие и не вызвать подозрения пользователя, что у него камера всегда включается сама, ребята сделали определение, что телефон заблокирован и только тогда записывали видео.

Чтобы убрать звуки камеры нашли способ обойти ограничение системы и программно, опять таки без permission, убирать звук телефона в ноль.

А благодаря геометкам на фото можно получить отличный девайс трекер 😁

Советую посмотреть выступление, хотябы часть с livedemo, выглядит очень здорово.

Пойду и на телефоне камеру заклею, что-ли...

#Android #Spyware #Vulnerability

Выполнение произвольного кода в приложении Facebook

Прекрасная бага, позволяющая выполнить произвольный код в контексте приложения Facebook.

Принцип эксплуатации построен на классическом Path Traversal, который стал возможен благодаря использованию самописной функции для загрузки файлов без какой либо фильтрации. То есть, если имя файла "../file", то он будет записан на директорию выше от предполагаемого места сохранения. Ну а дальше можно перезаписать любой нативный файл в песочнице и получить ACE.

Интересно, что в другом месте используется безопасная реализация через DownloadManager. Наверное, функционал писали разные команды 😁

Так что правила санитизации любого контента пришедшего из-вне в мобильных приложениях актуальны как никогда!

Перефразируя известное высказывание пишите код так, как будто кругом враги,не доверяйте никому и проверяйте все данные, что приходят к вам в приложение 😁

#Android #Facebook #ACE