Обновление политики конфиденциальности Apple

Ещё в прошлом году вышло обновление политики конфиденциальности загружаемых приложений в AppStore. Теперь на странице загрузки можно посмотреть всю информацию, которую собирает приложение.

Все очень долго обсуждали тему с данными,которые собирает Facebook, там было целых 3-4 экрана всего, что они коллекционируют)) мне кажется нет ни единой крошки информации, которое бы это приложение не собирало)))

Но! Сегодня речь немного о другом, а именно о приложениях Google. Я не знаю, правда это или нет, так как проверять все их приложения времени особо нет, но на фотографии ниже представлены обновления приложений от Google. Большая часть из них последний раз обновились аккурат до 8-го декабря...

Я посмотрел на пару популярных: карты, почта, календарь, youtube. Из них только youtube загружен недавно..

Совпадение, заговор или просто приложения настолько идеальны, что их больше не нужно обновлять?)) Не знаю, с чем это связано, но сам факт очень интересен, почему нет обновлений на протяжении уже нескольких месяцев?)

Вышла статья от Паши Васильева, с которым мы общались недавно в подкасте.

В статье подробно рассказывается, что плохого можно сделать с вашим телефоном если на нем разблокирован загрузчик. Всем любителям "root это мой выбор, я хочу решать сам!" посвящается 😉

Как говорил ранее - рекомендую прочитать ее всем, независимо от вашего уровня. Она реально крутая.

https://habr.com/ru/post/541190/

Сам выпуск, в котором обсуждали эту статью уже доступен на различных подкаст площадках.

Google Podcasts - https://podcasts.google.com/feed/aHR0cHM6Ly9hbmNob3IuZm0vcy80YjMyODkxYy9wb2RjYXN0L3Jzcw==

Apple Podcasts - https://podcasts.apple.com/us/podcast/android-guards-community-podcast/id1552280775

Или поищите в своем плеере подкастов, возможно есть уже и там.

Способ MiTM при помощи VPN

Я уже как-то писал о способе завернуть трафик мобильного приложения через прокси при помощи VPN. А также при помощи API Android, но без VPN сервера.

И сегодня наткнулся на похожую статью, но с немного другим гайдом, попроще.

Это может помочь в случае, если приложение игнорирует настройки операционной системы по использованию Proxy. Немного наркоманский, но всё же способ :)

#VPN #MiTM #Proxy

Google продолжает радовать неплохими документами. На этот раз они собрали хороший чеклист, по основным требованиям к качеству Android-приложений. Это не какое-то божественно откровение, просто хороший чеклист. Нас, как обычно, интересует "шо там по безопасности". Рекомендации (или требования) опять же довольно стандартные, но удобно, что собраны в одном месте и без воды (в отличие от этого сообщения).

Коротко, что имеем:

- Запрашивать как можно меньше разрешений
- Без крайней нужды не запрашивать разрешения на возможности, которые тратят деньги пользователя (SMS и звонки)
- Запрашивать разрешения в контексте функциональности, а не "на всякий случай" при старте приложения
- Объяснять пользователю зачем запрашиваете разрешения
- Вся конфиденциальная информация должна храниться только во внутреннем хранилище (internal storage)
- ПД и прочая конфиденциальная инфа не должна попадать в логи
- Не использовать хардварные идентификаторы, такие как IMEI для идентификационных целей
- Предоставлять подcказки для autofill фреймворка
- Интегрировать One Tap Sign-up/Sign-in
- Интегрировать биометрическую аутентификацию
- Экспортировать только те компоненты, которые должны делиться данными с другими приложениями
- Все интенты и бродкасты должны следовать лучшим практикам безопасности (почитайте по ссылке, там много)
- Все контент провайдеры, которые шарят данные между вашими приложениями должны использовать protectionLevel=signature
- Весь сетевой трафик отправляется только по SSL
- Должен быть настроен пиннинг через network security configuration
- Если приложение использует сервисы Google Play, то security provider нужно инициализировать при старте приложения
- Все библиотеки должны иметь актуальные версии
- В приложении не должно быть отладочных библиотек
- Не использовать setAllowUniversalAccessFromFileURL() в WebView для доступа к локальному контенту. Вместо него нужно использовать WebViewAssetLoader. На Android 6.0 и выше, вместо этого нужно использовать HTML message channels.
- Приложение не должно динамически загружать код (dex файлы) из внешних источников. Нужно использовать App Bundles.
- Приложение должно использовать лучшие криптографические алгоритмы и генераторы случайных чисел из доступных на платформе, а не реализовывать свои алгоритмы шифрования.

https://developer.android.com/docs/quality-guidelines/core-app-quality#sc

Обновление книги Android Internals
Ух ты! Под новый год оказывается вышло обновление одной из самых классных книг по Android - "Android Internals: A Confectioner's Cookbook" с дополнениями по Android 10, 11 и кучей новой информации.

К сожалению, на просторах интернета не найти, но, тот кто любит такие вещи, должен оценить. Я вот собираюсь себе заказать :)

Если что, первое издание есть в подборке книг тут

#books #Android #Internals

Вступление про безопасность iOS

@testing_guy продолжает радовать ссылками, спасибо! На этот раз видео с недавно прошедшей (в 2020 году) конференции по iOS про то, как сделать iOS приложения более безопасными!

Я с удовольствием посмотрел это видео, оно отличное для того, чтобы вкатиться в тему и получить представление об угрозах касательно iOS, узнать про OWASP и т.д.

Я сначала удивился, что такие простые вещи рассказывают на конференции в 2020 году! Чувак рассказывает про Owasp Testing Guide и показывает примеры на уязвимом приложении от того же Owasp. Но потом посмотрел и всё понял, это конференция разработчиков, так что норм :)

На самом деле, в тренингах я тоже много рассказываю и про овасп и про тестинг гайды и прочие основные вещи. Так что видео очень хорошее для для тех, кто хочет приобщиться к теме безопасности iOS и понять,на что смотреть.

Приятного просмотра!

#iOS #OWASP #Talks

О! Шикарная тема аутентификации по пину :)

Приходите поспорить и пообщаться, думаю, есть, что обсудить)

Я часто говорю про аутентификацию по pin-коду, но еще чаще я слышу вопросы на эту тему. При кажущейся простоте, тема весьма глубокая и неоднозначная. В четверг (18.02.2021) поговорим на эту тему максимально подробно и разберемся, какие есть проблемы у локальной аутентификации по короткому коду. Кроме очевидной теории, конечно же пощупаем это на практике! Взломаем pin-код реального приложения в прямом эфире и поговорим как улучшить текущую реализацию локально и с применением сервера.

https://youtu.be/XTzOD9CnK6U

Эксплойт для всех Samsung девайсов

Боже, это прекрасно!
Приложение без разрешений, которое автоматом становится администратором устройства и получает огромное количество власти, в том числе и удалять другие приложения :D

Вроде как подвержены все Самсунги) как хорошо, что у меня Сяоми и там уже всё давно предустановлено из коробки)))

Ждём подробностей от лучшего Android багхантера и автора этой новости - @bagipro

#Android #Samsung #Exploit

Дамп iOS приложений с устройства

Недавно у одного из подписчиков случилась интересная ситуация, классический вариант по дампа приложения из памяти при помощи frida ios dump не работал, скрипт просто висел и грустно показывал пустой терминал. Учитывая, что последний коммит в репозиторий был 1 июня прошлого года и накопилось приличное количество ишью и пуллреквестов, походу автор забил на проект :) привет опенсорс! 👋

Но исправить ситуацию помог другой инструмент, также на базе Frida - bagbak. В целом делает всё тоже самое, только активно развивается и пока что поддерживается (2 недели назад релиз).

Так что, если на последних версиях iOS не работает frida ios dump можно смело юзать вторую тулзу!

#iOS #Dump #Frida

Отличный cheatsheet по инструментам и советам по тестированию iOS приложений

Спасибо большое @grokaem_realnost за отличный репозиторий с набором инструментов, списком репозиториев для cydia, советами и ссылками на другие подборки для анализа iOS приложений. Некоторые вещи давно известны, о некоторых я даже не догадывался.

Очень годный контент, однозначно в закладках оставлю :)

#iOS #tools

Не забываем, через 30 минут начало увлекательного стрима по вопросам аутентификации по pin-коду.

Наливаем кофе/чай/горячительные напитки и присоединяемся!

Курс по анализу Android приложений

В течении 24 часов будет доступен курс по анализу Android приложений - "Course: Get started with android bug bounties". Раньше он стоил аж целых 30$, но сегодня он доступен бесплатно :)

Судя по оглавлению, большая часть посвящена настройке окружения, но может что-то полезное будет. Как минимум,можно скачать видео полностью и посмотреть как будет время

Материалы курса Get started with android bug bounties

Спасибо @OxFi5t, что уcпел зарегистрироваться и скачать материалы)

По ссылке доступен архив с полным видео и материалами курса.
А также рядом лежат остальные курсы и книги по безопасности мобильных приложений!

Enjoy!

Курс по взлому мобильных приложений

Спасибо @ezek1el_red, благодаря ему у нас есть возможность посмотреть и скачать курс от китайцев по анализу мобильных приложений!

Размер внушающий - 2,2 Гб, так что будьте осторожнее 😃

Состав курса:
01 Introduction
02 Run Android on Windows
03 Run iPhone on MAC
04 Hack Android with Metasploit
05 Android Debug Bridge
06 OWASP GOAT
07 Ghost Framework
08 Android Hack via Browser Attacks
09 Android Defense

Сам курс пока не смотрел, но какая-то часть может быть безусловно полезна)

#Courses #Training

Сергей Тошин (@bagipro) - самый крутой хакер Android, очень рекомендую послушать подкаст с его участием!

Записали подкаст с Сергеем Тошиным. По его словам, а также по версии Google Play Security Rewards — Сергей является хакером #1 😎. В выпуске обсуждаем путь на вершины bug bounty, часто встречающиеся баги и авторский проект для поиска таких багов — Oversecured сканер.

Послушать выпуск можно в Google/Apple подкастах и на Youtube:
🎥 YouTube: https://youtu.be/wvSnM8YFcVM
🎙 Google Podcasts: http://bit.ly/2PVXGh5
🍏 Apple Podcasts: http://apple.co/3eDKkAB

Алло, мы ищем таланты

Всем привет!

Меня зовут Юрий Шабалин (@Mr_R1p), я автор этого, надеюсь, полезного, канала.

В последнее время было не так много постов, но я обязательно исправлюсь, материала скопилось очень много и очень интересного! А все из-за увлекательной работы, в которую я ушел с головой.

Как некоторые из вас знают, мы разрабатываем систему Stingray, которая проводит динамический анализ мобильных приложений. До этого времени мы были в основном сосредоточены на Android, но пришло время полноценно подключить к этому действию и iOS.

Друзья, мы ищем себе в команду специалистов по анализу iOS-приложений, которым интересно не только искать известные уязвимости в приложениях, но и придумывать новые способы эксплуатации, а так же автоматизировать всё это добро. Заниматься придется много чем, это и исследовательская работа, и проработка архитектурных решений и, конечно главное - поиском уязвимостей.

Если кому-то из вас интересно попробовать свои силы и присоединиться к нашей дружной команде, пишите мне в личку, все более подробно расскажу. Ну или если есть кого порекомендовать или поделиться нашей вакансией или этим постом, то я буду очень благодарен.

Спасибо за внимание)