Запуск приложений Mac на Jailbreaked iPhone

Пока кто-то пытается запускать любые iOS-приложения на M1 и обойти ограничения Apple на запуск неподписанного кода, другие пытаются запустить приложения для Mac на айфоне. Зачем? Ну не знаю, например, чтобы проверить предположение, что mac и ios взаимодополняют друг-друга и могут спокойно запускать приложения друг-друга. Ну или просто just-for-fun)

На самом деле очень интересная статья, которая может помочьт во внутреннем изучении системы и понимании логики работы обеих систем.

#iOS #MacOS #M1 #iPhone

Уязвимость в Mattermost приложении под Android

Уязвимость Persistant Arbitrary code execution в приложении Mattermost под Android. Очень интересная бага, учитывая, что это OpenSource проект, и на его основе многие компании строят свои внутренние мессенджеры. Так что, если вы используете в компании Mattermost, то обновитесь на свеженькую версию)

Суть атаки в наличии уязвимости Path Traversal в одном из параметров, который принимает ContentProvider. Благодаря этому можно перезаписать одну из нативных библиотек в приложении и при следующем запуске будет выполнен код, который атакующий зашил в метод OnLoad внутри натива.

Крайне знакомая техника, где же я о ней читал? 🤔

#Mattermost #Vulnerability #ACE

​​ZeroNights 2021

Всем любителям конференций :)

Уже очень скоро, 30 июня в Питере пройдет одна из основных конференций по информационной безопасности - ZeroNights 2021. Мне лично очень нравится и сама конфа и атмосфера, которой она сопровождается.

Мы в этом году, к сожалению не выступаем, но надеюсь, что к следующему году мы уж точно наберем достаточно материала и времени для нескольких выступлений 😉 так что в этом году просто послушаю доклады и пообщаюсь с друзьями за бутылочкой Club Mate)

По нашей теме, будет как минимум один интересный доклад об уязвимостях в Samsung (опять) и о построении собственных эмуляторов на базе QEMU. Обязательно пойду послушать :)

Если кто-то соберется поехать, то увидимся на конференции!

#zeronights #conference

Очень классный пост в одном из каналов нарыл @EZ3K1EL.

Такой микс, всё в одном посте :)

⁤Мне наконец-то удалось плотно поработать с реверсом Android-приложений. Если раньше хватало Burp'а для анализа трафика, чтобы посмотреть простенькие запросы к API (для OSINT'а, например), а дальше заглядывать было лень, то в этот раз сама жизнь заставила и пришлось немного углубиться в тему.

В основном, я использовал Frid'у (просто незаменимый и очень-очень удобный фреймворк) и некоторые тулзы для сборки/декомпиляции/подписи/просмотра исходного кода, о которых, возможно, напишу в следующих постах.

Для тех, кто хотел вкатиться, вот все ресурсы, которые были мною использованы для обучения, думаю, будет полезно.

Вводные статьи по Java:
https://docs.oracle.com/javase/tutorial/
https://beginnersbook.com/java-tutorial-for-beginners-with-examples/
https://www.tutorialspoint.com/java/java_tutorial.pdf

Шпаргалка по Smali на русском:
*выше на канале*

Цикл видосов по Android Reverse Engineering:
https://www.youtube.com/watch?v=BijZmutY0CQ

Канал "Android AppSec" на Youtube:
https://www.youtube.com/channel/UC5bY16WSEa_ttTPqj8aTeIw/videos

Подробнейшая инструкция по настройке рабочего окружения:
https://blog.cobalt.io/getting-started-with-android-application-security-6f20b76d795b

Документация Frida + Codeshare и сниппеты:
https://frida.re/docs/javascript-api/
https://codeshare.frida.re/
https://github.com/iddoeldor/frida-snippets

Бложики со статьями, наполненные одами о Frida:
https://grepharder.github.io/blog/
https://neo-geo2.gitbook.io/adventures-on-security/
https://joshspicer.com/android-frida-1
https://11x256.github.io/
(на русском: https://forum.reverse4you.org/t/android-frida/1128)

Статья на Zennolab о Frida:
https://zennolab.com/discussion/threads/android-na-post-get-s-pomoschju-frida-server-burpsuite-i-bonus.79264/

Статья на Xakep о Frida:
https://xakep.ru/2018/03/19/android-frida/

Самые полезные и полные гайды с большим количеством примеров (Tiktok и Frida):
https://www.fatalerrors.org/a/code-and-example.html
https://www.fatalerrors.org/a/0d901j8.html

Райтапы ØxＯＰＯＳɆＣ, связанные с криптографией:
https://inesmartins.github.io/oposec-don-joe/
https://inesmartins.github.io/oposec-secrets/
https://inesmartins.github.io/htb-crypto-challenge-call/
https://inesmartins.github.io/htb-crypto-challenge/
https://inesmartins.github.io/oxopos-c-summer-challenge-2020-web-challenges-write-up/
https://inesmartins.github.io/0xoposec/

Отдельно выделю их же цикл статей "Undeground Leaks":
https://inesmartins.github.io/oposec-underground-leaks/
https://inesmartins.github.io/oposec-underground-leaks-part-ii/
https://inesmartins.github.io/opoleaks-underground-leaks-part-iii/

Если есть что добавить, кидайте в обратную связь, - запилю отдельный пост.

Вступительная статья по статическому анализу Android-приложений

Весьма неплохая вступительная статья о статическом анализе Android-приложений с видео и текстовым описанием того, что происходит.

Заядлым реверсерам и опытным безопасникам она мало поможет, так как ничего особо нового там нет. Но тем, кто начинает свой путь и хочет более подробно разобраться на конкретном примере - может быть полезно.

В примере разобрана одна из уязвимостей приложения InsecureBankV2

#SAST #Reverse #decompile #junior

Разбор уязвимости в Android Verified Boot Process на примере... велотренажера

В Android есть процесс доверенной загрузки, который впервые появился в Android 4.4 (но был настолько ужасным, что им никто не пользовался), и в последствии был существенно доработан в 6-й и 7-й версиях Android. И хотя он недотягивает до цепочки доверия в iOS, но тем не менее работает 😃

И вот, в компании McAfee обнаружили инересну багу в велотренажерах, на которых установлен тот самый Android) Что позволяло при физическом доступе перезалить модифицированный образ загрузчика и получить удаленный root-доступ к велотренажерам. А там и запись видео со звуком, слив информации и прочие веселые вещи.

На самом деле статья интересна не конкретно велотренажерами, а тем, как в ней описан процесс доверенной загрузки, как он работает и шаги, которые были предприняты, чтобы выявить проблемы.

Можно почитать, интересный материал за чашкой кофе с утра ☕️

#Android #VerifiedBoot #Vulnerability #Sport

Выполнение произвольного кода в приложении Google

Отличная пятничная статья (хоть она и вышла несколько дней назад, но для меня она пятничная) про очень крутую уязвимость в приложении Google от уникальной компании Oversecured!

Уязвимость persistent local code execution. позволяет выполнить произвольный код в контексте приложения Google, а это значит получить очень и очень широкие возможности в системе. При этом достаточно всего одного запуска вредоносного приложения, для того, чтобы зловредный модуль остался в системе и делал свои темные дела.

Что мне нравится в этой статье, так это реально крутая связка уязвимостей, которая привела к возможности проведения подобной атаки. И более того, про каждый элемент этой цепочки можно прочитать в соответствующей статье от Oversecured. И это действительно круто. Если вы еще не читали про различные техники эксплуатации - советую начать с этой статьи и прочитать все кросс-ссылки, это безумно интересно.

Всем приятного чтения и хороших выходных!

#Google #Vulnerability #Oversecured

Отключение WiFi в iOS

В Android 12 сделали программное отключение доступа к камере и микрофону для всех приложений, iOS не мог этого так оставить и допустил функционал по отключению WiFi. Правда, скорее всего случайно и с использованием бага в форматной строке 😄

Всё очень просто, если на iPhone подключиться к сети с SSID “%p%s%s%s%s%n”, то устройство полностью отключит модуль WiFi :))

К сожалению, не увидел, на каких именно устройствах и версиях ОС это работает, но чем не повод проверить и создать такую открытую сеть? 😉 например на какой-нибудь конференции….

#iOS #WiFi #Bug

​​Занятные CTF под Android

Нашёл тут серию статей про прохождению CTF при помощи Frida. Пока что есть первая и вторая части, но вроде автор собирается писать ещё.

В целом, writeup неплохие, с подробными комментами и описанием того, что и почему нужно делать для прохождения заданий.

Но больше всего мне понравились задания и сам CTF под названием hpandro. Распространяются через Google Play, есть большое количество самых различных задач в виде отдельных приложений, а на сайте можно зарегистрироваться и отправлять флаги и даже есть scoreboard!

Но больше всего мне запомнился комментарий под одним из приложений, наверное человек не смог его решить 😂

#android #ctf

Вебинар по безопасной разработке

30-го июня в 21:00 по московскому времени (или в 14:00 по eastern time) пройдет двухчасовой вебинар по лучшим практикам в написании безопасного кода для мобильных приложений от компании NowSecure.

Судя по описанию должно быть достаточно интересно и познавательно, обещают осветить вопросы по следующим темам:
- Данные, хранящиеся в небезопасном месте
- Некорректная реализация сетевого взаимодействия
- Небезопасная аутентификация и авторизация
- Небезопасные практики кодинга (интересно, что они имеют ввиду)
- Защита от реверса

Я постараюсь быть, хоть время и позднее для нашего часового пояса. Всегда полезно ходить на подобные мероприятия, что-то новое определенно узнаешь и где-то тебя натолкнут на правильные мысли.

Ну или будем надеяться, что будет запись 😃

#webinar #securecoding

Обновление курсов и книг по безопасности и анализу мобильных приложений

Очередное обновление библиотеки!

На этот раз были добавлены книги по Android / iOS и два больших курса (спасибо @wusero)!

Книги:
- Android глазами хакера
- Android Security Cookbook
- iOS Application Security
- The Mac Handbook
- Beginner Guide to Exploitation on ARM 1
- Beginner Guide to Exploitation on ARM 2

Курсы:
- Pentester Academy - Pentesting iOS Applications
- GeekBrains - Безопасность мобильных приложений

Приятного чтения и просмотра!

#Books #Security #Android #iOS #Cources

Развитие механизмов безопасности Android

Я наконец-то доделал статью по развитию безопасности в Android от версии к версии, что добавлялось, что улучшалось, а может и ухудшалось в каждой новой версии этой замечательной операционной системы.

Статья получилось достаточно интересного, на мой взгляд, формата. Изначально она планировалась, как техническая с большим количеством различных деталей, но в итоге, по мере написания, я понял, что стоит уделить внимание и более общим вещам.
В этой статье можно найти информацию и про технические вещи и про изменения для пользователей.

Для себя отметил несколько новых и интересных деталей, о которых не подозревал до написания 😁

Необычный формат, посмотрим, насколько это зайдет, но надеюсь, что понравится!

#Habr #Android #Security

Подкаст про динамический анализ приложений

И еще одна отличная новость)
Поучаствовали с нашим ведущим разработчиком (@jd7drw) в подкасте про системы динамического анализа мобилок. Спасибо большое за приглашение каналу Android Guards и лично @OxFi5t, было очень здорово! 😎

В выпуске постарались рассказать много интересных вещей, но как это обычно бывает - много чего осталось за кадром и кучу вещей хочется после выпуска сказать немного по другому. Ну и вечный синдром самозванца - кажется, что это всё очевидно и никому не интересно 😁

Надеюсь, что вам понравится и обязательно оставляйте комментарии и вопросы) Очень интересно, что вы думаете обо всех этих очередных "сканилках" 😉

#Podcast #Android #Stingray

Бывает смотришь на девушку и думаешь — DAST или не DAST... Впрочем о чем это я... А, подкаст новый записали. На этот раз обсуждаем все прелести DAST анализа с ребятами, которые неплохо в этом разбираются. В выпуске присутствует жесткая критика MobSF, поэтому слабонервных прошу поаккуратнее с прослушиванием 😉

Послушать выпуск можно в Google/Apple подкастах и на Youtube:

🎥 YouTube: https://youtu.be/imrlMLVOTRY
🎙 Google Podcasts: https://bit.ly/360XYIi
🍏 Apple Podcasts: https://apple.co/3vWFYte

Конференция Mobius

Я думаю, что очень многие, кто занимается разработкой или безопасностью мобильных приложений знает о конференции Mobius. Мне к сожалению, не доводилось принимать в ней участие, но мы постараемся это исправить :)

Ребята попросили сделать пост и уверен, среди нас много тех, кому есть что рассказать 😁

Так что, если вы хотите выступить с какой-то интересной темой, особенно по безопасности, то пишите в контакты из сообщения ниже)

Ну и ждем интересных докладов по безопасности :)

#Mobius #conference

Конференция по мобильной разработке #Mobius ищет спикеров 🎙

Если вы давно хотите рассказать о чем-то из мира мобильной разработки и готовы поделиться знаниями с другими, то подавайте заявку!

В осеннем сезоне Mobius пройдет с 22 по 25 ноября, онлайн (гибридный формат решили отложить из-за непредсказуемости ввода ограничений на офлайн мероприятия).

Темы, которые ждут:
✔️ Платформы под капотом;
✔️ Software Craftsmanship;
✔️ Архитектура;
✔️ Качество продукта;
✔️ Тренды в мобильной разработке;
✔️ Инфраструктура.

Но не ограничивайтесь этим списком — вы можете подать заявку с любой темой из области мобильной разработки.

Если все-таки сомневаетесь, то программный комитет всегда готов обсудить актуальность темы и помочь выбрать правильный вектор доклада.

Отправить заявку можно на сайте, а задать вопросы — по почте program@mobiusconf.com

И уже сейчас можно купить билет по самой низкой цене, ведь с каждым месяцем она будет увеличиваться.

​​Security проверки для релизных сборок

@dtereshin написал очень удобную и крутую штуку для проверки релизных сборок перед выкладкой в магазины приложений. И назвал её CheckKarlMarx (все совпадения случайны). Доступна как в виде исходного кода, так и докер-образа.

Что умеет сейчас и как работает:
- принимает на вход apk или ipa файл релизной сборки
- проверет некорректные настройки сети
- небезопасные (http), тестовые или внутренние URL (список задается при запуске)
- хранение различных ключей
- экспортируемые компоненты для Android-приложений
- небезопасные настройки Webview для Android приложений

На выходе получаем отчет с находками, его можно положить в ваш CI/CD инструмент рядом с другими линтерами и статус сканирования (exit code), на основе которого можно строить дальнейшие действия).

Просто, удобно и позволяет быстро определить, что в релиз приехало что-то не то)

Кстати, в том числе про этот инструмент будет доклад от автора на ZeroNights. Я точно приду послушать, все предыдущие выступления были отличными, думаю это тоже порадует.

Ну и отдельный лайк от меня за ник на GitHub 😂

#tools #android #ios

Correlium в массы

Есть такие интересные ребята, которые портировали Linux на новый Apple M1, компания называется Correlium. Они предоставляют различные виртуальные девайсы для тестирования, в том числе для целей поиска уязвимостей и отладки.

С недавнего времени они стали публично открытыми и любой желающий, за небольшую сумму, может получить в свое распоряжение эмулятор (по их словам) iOS устройства!

Если это действительно так, то это пока что единственная компания, которая смогла сделать полноценный эмулятор iOS устройства. Очень интересно, как они эмулируют камеру, отпечаток пальца или FaceId.

Как раз в нашем чате (спасибо @EZ3K1EL) скинули ссылку на статью о загрузке ipa-файла для анализа в их интерфейсе.

Очень хочется попробовать 😁

#iOS #Emulator #Correlium

Веселые репорты с неожиданными последствиями

Обожаю такие исследования, они привносят много позитива в вечер пятницы!

Итак, получаем удаленный доступ к дилдо!

Название говорит само за себя, исследователь провел анализ приложения, которое представляло из себя что-то вроде социальной сети для владельцев определенных устройств и научился получать доступ к любому аккаунту, списку друзей, управлению подключенными устройствами и все-все возможные интересные фишки приложения.
Классная статья, большинство векторов автор показывает на примерах Frida и radare2, так что есть что почитать (помимо смешков над темой, конечно).

Надо вспомнить и найти несколько похожих исследований и составить подборку лучших багов 😂

Но на самом деле интересует, откуда этот исследователь вообще об этом приложении узнал?

#Fun #Vulnerability