Сам выпуск, в котором обсуждали эту статью уже доступен на различных подкаст площадках.

Google Podcasts - https://podcasts.google.com/feed/aHR0cHM6Ly9hbmNob3IuZm0vcy80YjMyODkxYy9wb2RjYXN0L3Jzcw==

Apple Podcasts - https://podcasts.apple.com/us/podcast/android-guards-community-podcast/id1552280775

Или поищите в своем плеере подкастов, возможно есть уже и там.

Способ MiTM при помощи VPN

Я уже как-то писал о способе завернуть трафик мобильного приложения через прокси при помощи VPN. А также при помощи API Android, но без VPN сервера.

И сегодня наткнулся на похожую статью, но с немного другим гайдом, попроще.

Это может помочь в случае, если приложение игнорирует настройки операционной системы по использованию Proxy. Немного наркоманский, но всё же способ :)

#VPN #MiTM #Proxy

Google продолжает радовать неплохими документами. На этот раз они собрали хороший чеклист, по основным требованиям к качеству Android-приложений. Это не какое-то божественно откровение, просто хороший чеклист. Нас, как обычно, интересует "шо там по безопасности". Рекомендации (или требования) опять же довольно стандартные, но удобно, что собраны в одном месте и без воды (в отличие от этого сообщения).

Коротко, что имеем:

- Запрашивать как можно меньше разрешений
- Без крайней нужды не запрашивать разрешения на возможности, которые тратят деньги пользователя (SMS и звонки)
- Запрашивать разрешения в контексте функциональности, а не "на всякий случай" при старте приложения
- Объяснять пользователю зачем запрашиваете разрешения
- Вся конфиденциальная информация должна храниться только во внутреннем хранилище (internal storage)
- ПД и прочая конфиденциальная инфа не должна попадать в логи
- Не использовать хардварные идентификаторы, такие как IMEI для идентификационных целей
- Предоставлять подcказки для autofill фреймворка
- Интегрировать One Tap Sign-up/Sign-in
- Интегрировать биометрическую аутентификацию
- Экспортировать только те компоненты, которые должны делиться данными с другими приложениями
- Все интенты и бродкасты должны следовать лучшим практикам безопасности (почитайте по ссылке, там много)
- Все контент провайдеры, которые шарят данные между вашими приложениями должны использовать protectionLevel=signature
- Весь сетевой трафик отправляется только по SSL
- Должен быть настроен пиннинг через network security configuration
- Если приложение использует сервисы Google Play, то security provider нужно инициализировать при старте приложения
- Все библиотеки должны иметь актуальные версии
- В приложении не должно быть отладочных библиотек
- Не использовать setAllowUniversalAccessFromFileURL() в WebView для доступа к локальному контенту. Вместо него нужно использовать WebViewAssetLoader. На Android 6.0 и выше, вместо этого нужно использовать HTML message channels.
- Приложение не должно динамически загружать код (dex файлы) из внешних источников. Нужно использовать App Bundles.
- Приложение должно использовать лучшие криптографические алгоритмы и генераторы случайных чисел из доступных на платформе, а не реализовывать свои алгоритмы шифрования.

https://developer.android.com/docs/quality-guidelines/core-app-quality#sc

Обновление книги Android Internals
Ух ты! Под новый год оказывается вышло обновление одной из самых классных книг по Android - "Android Internals: A Confectioner's Cookbook" с дополнениями по Android 10, 11 и кучей новой информации.

К сожалению, на просторах интернета не найти, но, тот кто любит такие вещи, должен оценить. Я вот собираюсь себе заказать :)

Если что, первое издание есть в подборке книг тут

#books #Android #Internals

Вступление про безопасность iOS

@testing_guy продолжает радовать ссылками, спасибо! На этот раз видео с недавно прошедшей (в 2020 году) конференции по iOS про то, как сделать iOS приложения более безопасными!

Я с удовольствием посмотрел это видео, оно отличное для того, чтобы вкатиться в тему и получить представление об угрозах касательно iOS, узнать про OWASP и т.д.

Я сначала удивился, что такие простые вещи рассказывают на конференции в 2020 году! Чувак рассказывает про Owasp Testing Guide и показывает примеры на уязвимом приложении от того же Owasp. Но потом посмотрел и всё понял, это конференция разработчиков, так что норм :)

На самом деле, в тренингах я тоже много рассказываю и про овасп и про тестинг гайды и прочие основные вещи. Так что видео очень хорошее для для тех, кто хочет приобщиться к теме безопасности iOS и понять,на что смотреть.

Приятного просмотра!

#iOS #OWASP #Talks

О! Шикарная тема аутентификации по пину :)

Приходите поспорить и пообщаться, думаю, есть, что обсудить)

Я часто говорю про аутентификацию по pin-коду, но еще чаще я слышу вопросы на эту тему. При кажущейся простоте, тема весьма глубокая и неоднозначная. В четверг (18.02.2021) поговорим на эту тему максимально подробно и разберемся, какие есть проблемы у локальной аутентификации по короткому коду. Кроме очевидной теории, конечно же пощупаем это на практике! Взломаем pin-код реального приложения в прямом эфире и поговорим как улучшить текущую реализацию локально и с применением сервера.

https://youtu.be/XTzOD9CnK6U

Эксплойт для всех Samsung девайсов

Боже, это прекрасно!
Приложение без разрешений, которое автоматом становится администратором устройства и получает огромное количество власти, в том числе и удалять другие приложения :D

Вроде как подвержены все Самсунги) как хорошо, что у меня Сяоми и там уже всё давно предустановлено из коробки)))

Ждём подробностей от лучшего Android багхантера и автора этой новости - @bagipro

#Android #Samsung #Exploit

Дамп iOS приложений с устройства

Недавно у одного из подписчиков случилась интересная ситуация, классический вариант по дампа приложения из памяти при помощи frida ios dump не работал, скрипт просто висел и грустно показывал пустой терминал. Учитывая, что последний коммит в репозиторий был 1 июня прошлого года и накопилось приличное количество ишью и пуллреквестов, походу автор забил на проект :) привет опенсорс! 👋

Но исправить ситуацию помог другой инструмент, также на базе Frida - bagbak. В целом делает всё тоже самое, только активно развивается и пока что поддерживается (2 недели назад релиз).

Так что, если на последних версиях iOS не работает frida ios dump можно смело юзать вторую тулзу!

#iOS #Dump #Frida

Отличный cheatsheet по инструментам и советам по тестированию iOS приложений

Спасибо большое @grokaem_realnost за отличный репозиторий с набором инструментов, списком репозиториев для cydia, советами и ссылками на другие подборки для анализа iOS приложений. Некоторые вещи давно известны, о некоторых я даже не догадывался.

Очень годный контент, однозначно в закладках оставлю :)

#iOS #tools

Не забываем, через 30 минут начало увлекательного стрима по вопросам аутентификации по pin-коду.

Наливаем кофе/чай/горячительные напитки и присоединяемся!

Курс по анализу Android приложений

В течении 24 часов будет доступен курс по анализу Android приложений - "Course: Get started with android bug bounties". Раньше он стоил аж целых 30$, но сегодня он доступен бесплатно :)

Судя по оглавлению, большая часть посвящена настройке окружения, но может что-то полезное будет. Как минимум,можно скачать видео полностью и посмотреть как будет время

Материалы курса Get started with android bug bounties

Спасибо @OxFi5t, что уcпел зарегистрироваться и скачать материалы)

По ссылке доступен архив с полным видео и материалами курса.
А также рядом лежат остальные курсы и книги по безопасности мобильных приложений!

Enjoy!

Курс по взлому мобильных приложений

Спасибо @ezek1el_red, благодаря ему у нас есть возможность посмотреть и скачать курс от китайцев по анализу мобильных приложений!

Размер внушающий - 2,2 Гб, так что будьте осторожнее 😃

Состав курса:
01 Introduction
02 Run Android on Windows
03 Run iPhone on MAC
04 Hack Android with Metasploit
05 Android Debug Bridge
06 OWASP GOAT
07 Ghost Framework
08 Android Hack via Browser Attacks
09 Android Defense

Сам курс пока не смотрел, но какая-то часть может быть безусловно полезна)

#Courses #Training

Сергей Тошин (@bagipro) - самый крутой хакер Android, очень рекомендую послушать подкаст с его участием!

Записали подкаст с Сергеем Тошиным. По его словам, а также по версии Google Play Security Rewards — Сергей является хакером #1 😎. В выпуске обсуждаем путь на вершины bug bounty, часто встречающиеся баги и авторский проект для поиска таких багов — Oversecured сканер.

Послушать выпуск можно в Google/Apple подкастах и на Youtube:
🎥 YouTube: https://youtu.be/wvSnM8YFcVM
🎙 Google Podcasts: http://bit.ly/2PVXGh5
🍏 Apple Podcasts: http://apple.co/3eDKkAB

Алло, мы ищем таланты

Всем привет!

Меня зовут Юрий Шабалин (@Mr_R1p), я автор этого, надеюсь, полезного, канала.

В последнее время было не так много постов, но я обязательно исправлюсь, материала скопилось очень много и очень интересного! А все из-за увлекательной работы, в которую я ушел с головой.

Как некоторые из вас знают, мы разрабатываем систему Stingray, которая проводит динамический анализ мобильных приложений. До этого времени мы были в основном сосредоточены на Android, но пришло время полноценно подключить к этому действию и iOS.

Друзья, мы ищем себе в команду специалистов по анализу iOS-приложений, которым интересно не только искать известные уязвимости в приложениях, но и придумывать новые способы эксплуатации, а так же автоматизировать всё это добро. Заниматься придется много чем, это и исследовательская работа, и проработка архитектурных решений и, конечно главное - поиском уязвимостей.

Если кому-то из вас интересно попробовать свои силы и присоединиться к нашей дружной команде, пишите мне в личку, все более подробно расскажу. Ну или если есть кого порекомендовать или поделиться нашей вакансией или этим постом, то я буду очень благодарен.

Спасибо за внимание)

Неофициальный клиент club house на Android оказался вирусом

Ну просто Breaking news! Неофициальный клиент ClubHouse под Андроид тырил учетные данные от кучи приложений.

Как только ClubHouse начал адскую пар-компанию и стал безумно популярен, я ждал новостей про новые стилеры, мимикрирующие под него. Ну просто невозможно же пройти мимо такого хайпа)) Я думаю, что если попробовать поискать в PlayStore или просто в гугле, можно еще много подобных вещей найти))

Так что будьте аккуратны и не ставьте что попадя на свой телефон :)

#malware #android

Проблемы с WebView

А тем временем на Android-устройствах наблюдается проблемы с компонентом WebView из-за чего многие приложения крашатся и вылетают.

По словам аналитиков проблема в последнем обновлении компонента, которое и привело к трагическим последствиям. Как мы помним, Google начал выкатывать обновления системных элементов и обновления безопасности через сервисы Play Store, что существенно облегчило их своевременную доставку до устройств пользователей. Но, похоже, не всегда это работает во благо пользователей 😁

У себя я такого не наблюдаю, но это скорее всего из-за того, что обновления на китайские трубки прилетают всё-таки позже. Так что будьте аккуратны)

#Android #Updates

Большое обновление курсов по анализу мобильных приложений

Всем привет!

На драйве из предыдущего поста произошло глобальное обновление курсов, лекций и практических материалов по анализу защищенности и пентесту мобильных приложений.
За весь этот замечательныый контент скажем огромное спасибо @EZ3K1EL!

В общем, welcome, теперь это все в едином месте)

Примерный состав курсов и их описание (некоторые еще в процессе загрузки и будут доступны чуть позже)

SANS Cources
- FOR 518 - Mac and iOS Forensic Analysis and Incident Response
- FOR 585 - Advanced Smartphone Forensics (2017)
- SEC 575 - Mobile Device Security and Ethical Hacking (2017)

The Complete Mobile Ethical Hacking Course (11 Gb)
- Introduction
- Lab Setup
- Mobile Backdoors
- Android Studio Fundamentals
- Java Fundamentals
- iOS Development Fundamentals
- Rooting & Jailbreaking
- Reverse Engineering Android
- Reverse Engineering iOS
- Cloud Hacking Firebase Security
- CTF Banking App Hacking
- In-Network Attacks for Mobile Devices
- Closing

The Complete Android Ethical Hacking Practical Course
- Introduction
- Termux Basics
- Metasploit Framework
- Protect your files with Encryption
- Phishing Attack and hw to prevent unknown threats
- How an attacker access your Front camera
- Access front camera and back camera of your victims android device 100 working
- Optional Section
- Reward Section

Pentester Academy - Android Security and Exploitation for Pentesters
- 26-Cydia-Substrate

Dynamic Mobile Application Analysis and Manipulation
- Intro
- Android Dynamic Anaysis with Drozer
- iOS Dynamic Analysis with Needle
- Modifying Mobile Applications
- Mobile Application Runtime Manipulation
- Automated Runtime Manipulation with Objection
- Application Security Verification


Mobile Penetration Testing
- Mobile Penetration Testing
- Network Activity Analysis
- Network Manipulation Attacks
- Network Traffic Manipulation
- SSLTLS attacks
- Intercepting SSLTLS traffic
- Leveraging Mobile Malware
- Where to go from here

The Stolen Device Threat and Mobile Malware
- The Stolen Device Threat
- Jailbreaking iOS
- Rooting Android
- Data Storage on Android
- Data Storage on iOS
- Mitigating Malware

Static Application Analysis
- Static Application Analysis
- Manual Static Analysis
- Automating App Analysis
- Obfuscated Apps
- Third Party App Platforms

Udemy - Masters in Ethical Hacking with Android
Очень много контента

JSInfoSec Android Hacking
Очень много видео-уроков и лекций

Скачать все это (и не только) - можно тут

#books #education #courses