Forwarded from Android Guards
Google сделал удобную страничку с security best practices по разным разделам:
- шифрование
- определение небезопасной среды выполнения
- аутентификация и биометрия
- обмен данными
плюс есть разделы по смежным темам. Выглядит неплохо.
#4developers #google
https://developer.android.com/security?linkId=97069982
- шифрование
- определение небезопасной среды выполнения
- аутентификация и биометрия
- обмен данными
плюс есть разделы по смежным темам. Выглядит неплохо.
#4developers #google
https://developer.android.com/security?linkId=97069982
Android Developers
Design for Safety | App quality | Android Developers
Улучшения экрана блокировки и аутентификации в Android 11
Вышла ещё в сентябре интересная статья, которая в подробностях описывает механизмы разблокировки экрана и ограничения, связанные со способом разблокировки.
То есть, если вы разблокировали экран наименее безопасным, с точки зрения Android способом, например через Bluetooth девайс, вам будет доступно намного меньше возможностей, чем когда вы разблокируете телефон вводом пароля.
Достаточно логичная предосторожность :)
#Android #Google #Auth
Вышла ещё в сентябре интересная статья, которая в подробностях описывает механизмы разблокировки экрана и ограничения, связанные со способом разблокировки.
То есть, если вы разблокировали экран наименее безопасным, с точки зрения Android способом, например через Bluetooth девайс, вам будет доступно намного меньше возможностей, чем когда вы разблокируете телефон вводом пароля.
Достаточно логичная предосторожность :)
#Android #Google #Auth
Googleblog
Lockscreen and Authentication Improvements in Android 11
Posted by Haining Chen, Vishwath Mohan, Kevin Chyn and Liz Louis, Android Security Team [Cross-posted from the Android Developers Blog ] ...
Улучшение механизмов безопасности на основе данных
Неплохая статья от Google по механизмам защиты в Android и как они выбираются и внедряются.
Увлекательный рассказ о том, как именно определяется области а Android, которые требуют усиления безопасности. Google анализируют данные от внешней программы багбаунти, от внутренних пентестов (их команда Red Team), а так же данные с фаззеров на эмуляторах и реальных устройствах.
Интересно почитать, про то, что делает такой гигант для безопасности своей платформы 😁
#Android #Google #Data
Неплохая статья от Google по механизмам защиты в Android и как они выбираются и внедряются.
Увлекательный рассказ о том, как именно определяется области а Android, которые требуют усиления безопасности. Google анализируют данные от внешней программы багбаунти, от внутренних пентестов (их команда Red Team), а так же данные с фаззеров на эмуляторах и реальных устройствах.
Интересно почитать, про то, что делает такой гигант для безопасности своей платформы 😁
#Android #Google #Data
Googleblog
Data Driven Security Hardening in Android
Posted by Kevin Deus, Joel Galenson, Billy Lau and Ivan Lozano, Android Security & Privacy Team The Android platform team is committed to ...
Мы теряем таланты!
Новость уже немного поросла мхом, но тем не менее 😄
Создатель и, что логично, основной разработчик magisk (утилита или набор скриптов для модификации Android, а так же сокрытия этого факта от системы и остальных приложений), перешел в команду безопасности Android, о чем сообщил в своем твиттере.
Очень неплохая статья на русском на Хабре, с обсуждением, к чему это может привести и чего дальше ждать. Как мне кажется, особо ничего хорошего для проекта Magisk :(
И это не первый и, думаю, не последний ход Google по найму людей, которые умеют качественно ломать Android в свою команду безопасности. Сначала @B3nac, потом автор magisk, интересно, кто будет следующим? Есть у меня один знакомый на примете 😅😅😅
Но, поживём, увидим!
Всем хороших выходных!
#magisk #google #hiring
Новость уже немного поросла мхом, но тем не менее 😄
Создатель и, что логично, основной разработчик magisk (утилита или набор скриптов для модификации Android, а так же сокрытия этого факта от системы и остальных приложений), перешел в команду безопасности Android, о чем сообщил в своем твиттере.
Очень неплохая статья на русском на Хабре, с обсуждением, к чему это может привести и чего дальше ждать. Как мне кажется, особо ничего хорошего для проекта Magisk :(
И это не первый и, думаю, не последний ход Google по найму людей, которые умеют качественно ломать Android в свою команду безопасности. Сначала @B3nac, потом автор magisk, интересно, кто будет следующим? Есть у меня один знакомый на примете 😅😅😅
Но, поживём, увидим!
Всем хороших выходных!
#magisk #google #hiring
Выполнение произвольного кода в приложении Google
Отличная пятничная статья (хоть она и вышла несколько дней назад, но для меня она пятничная) про очень крутую уязвимость в приложении Google от уникальной компании Oversecured!
Уязвимость persistent local code execution. позволяет выполнить произвольный код в контексте приложения Google, а это значит получить очень и очень широкие возможности в системе. При этом достаточно всего одного запуска вредоносного приложения, для того, чтобы зловредный модуль остался в системе и делал свои темные дела.
Что мне нравится в этой статье, так это реально крутая связка уязвимостей, которая привела к возможности проведения подобной атаки. И более того, про каждый элемент этой цепочки можно прочитать в соответствующей статье от Oversecured. И это действительно круто. Если вы еще не читали про различные техники эксплуатации - советую начать с этой статьи и прочитать все кросс-ссылки, это безумно интересно.
Всем приятного чтения и хороших выходных!
#Google #Vulnerability #Oversecured
Отличная пятничная статья (хоть она и вышла несколько дней назад, но для меня она пятничная) про очень крутую уязвимость в приложении Google от уникальной компании Oversecured!
Уязвимость persistent local code execution. позволяет выполнить произвольный код в контексте приложения Google, а это значит получить очень и очень широкие возможности в системе. При этом достаточно всего одного запуска вредоносного приложения, для того, чтобы зловредный модуль остался в системе и делал свои темные дела.
Что мне нравится в этой статье, так это реально крутая связка уязвимостей, которая привела к возможности проведения подобной атаки. И более того, про каждый элемент этой цепочки можно прочитать в соответствующей статье от Oversecured. И это действительно круто. Если вы еще не читали про различные техники эксплуатации - советую начать с этой статьи и прочитать все кросс-ссылки, это безумно интересно.
Всем приятного чтения и хороших выходных!
#Google #Vulnerability #Oversecured
News, Techniques & Guides
Why dynamic code loading could be dangerous for your apps: a Google example
Almost every Android app dynamically loads code from native .so libraries or .dex files. There are also some special libraries like Google Play Core to simplify this process.
Что такое SafetyNet и зачем он нужен
Нашел неплохой 40 минутный подкаст на тему SafetyNet, что это такое, зачем нужно, какие плюсы и минусы.
Краткий тайминг, что внутри:
• 02:09 - What is SafetyNet and what does it do?
• 06:41 - How do modders get around SafetyNet?
• 11:22 - What advantages does each side of this battle have?
• 15:33 - What is hardware attestation? What makes it hard to break? Can it be bypassed?
• 24:50 - What options do developers have in ensuring their apps are operating in safe envrionments?
• 32:26 - What's the overall outlook as Google begins to replace SafetyNet with its new Play Integrity API?
Должно быть интересно тем, кто задумывается над его использованием.
#google #safetynet #android
Нашел неплохой 40 минутный подкаст на тему SafetyNet, что это такое, зачем нужно, какие плюсы и минусы.
Краткий тайминг, что внутри:
• 02:09 - What is SafetyNet and what does it do?
• 06:41 - How do modders get around SafetyNet?
• 11:22 - What advantages does each side of this battle have?
• 15:33 - What is hardware attestation? What makes it hard to break? Can it be bypassed?
• 24:50 - What options do developers have in ensuring their apps are operating in safe envrionments?
• 32:26 - What's the overall outlook as Google begins to replace SafetyNet with its new Play Integrity API?
Должно быть интересно тем, кто задумывается над его использованием.
#google #safetynet #android
android-bytes-by-esper.captivate.fm
The cat-and-mouse game between hackers and developers - Android Bytes (powered by Esper)
On this week's episode, we get caught up in the whirlwind of one of the many such cat-and-mouse games in Android development between power users and app...
Google начнет скрывать приложения, собранные с устаревшей версией TargetSDK
Компания Google предупредила разработчиков, что будут усилены требования к уровню Target API (Android API), для которого собираются приложения.
На практике это означает, что с 1 ноября 2022 года приложения в магазине Google Play не будут доступны для поиска и установки, если при их создании использовался устаревший TargetSDK (срок давности которого превышает два года). По мере выхода новых релизов Android, окно версий, в рамках которого можно указывать целевой уровень, будет меняться соответствующим образом.
Говорят, это только одно из нововведений в политике, так что ожидаем и других новостей. Но, как мне кажется, следующим логичным шагом будет аналогичное “окно“ для установки минимальной версии SDK, которое позволит отсечь совсем уж старые устройства.
#google #android #targetsdk #privacy
Компания Google предупредила разработчиков, что будут усилены требования к уровню Target API (Android API), для которого собираются приложения.
На практике это означает, что с 1 ноября 2022 года приложения в магазине Google Play не будут доступны для поиска и установки, если при их создании использовался устаревший TargetSDK (срок давности которого превышает два года). По мере выхода новых релизов Android, окно версий, в рамках которого можно указывать целевой уровень, будет меняться соответствующим образом.
Говорят, это только одно из нововведений в политике, так что ожидаем и других новостей. Но, как мне кажется, следующим логичным шагом будет аналогичное “окно“ для установки минимальной версии SDK, которое позволит отсечь совсем уж старые устройства.
#google #android #targetsdk #privacy
stingray-mobile.ru
Google планирует скрывать приложения, собранные с устаревшей версией TargetSDK - Стингрей
Компания Google предупредила разработчиков, что будут усилены требования к уровню Target API (Android API), для которого собираются приложения. На
Исследование 0-day в «дикой природе»
У Google Project Zero есть интересная серия исследований, в которой они исследуют и описывают 0-day уязвимости, которые встречались в реальной жизни, с реальными примерами эксплуатации и описанием, как именно их применяли.
Данная статья является обзорной по состоянию за первое полугодие 2022 года. Хоть она и является обзорной, на её основе можно найти несколько более интересных докладов, которые более предметно раскрывают аспекты каждой из уязвимостей.
Хоть это и не всегда относится к мобильным приложениям, почитать и послушать про такое всегда интересно.
#0day #ios #google
У Google Project Zero есть интересная серия исследований, в которой они исследуют и описывают 0-day уязвимости, которые встречались в реальной жизни, с реальными примерами эксплуатации и описанием, как именно их применяли.
Данная статья является обзорной по состоянию за первое полугодие 2022 года. Хоть она и является обзорной, на её основе можно найти несколько более интересных докладов, которые более предметно раскрывают аспекты каждой из уязвимостей.
Хоть это и не всегда относится к мобильным приложениям, почитать и послушать про такое всегда интересно.
#0day #ios #google
Blogspot
2022 0-day In-the-Wild Exploitation…so far
Posted by Maddie Stone, Google Project Zero This blog post is an overview of a talk, “ 0-day In-the-Wild Exploitation in 2022…so far”,...