Mobile AppSec World
5.27K subscribers
142 photos
8 videos
19 files
675 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
​​Процессинг изображений, их сжатие, обработка и операции с ними всегда вызывают какую-то странную боль, особенно у программистов 😄

Исключением не стал и Android, достаточное количество уязвимостей и проблем связаны именно с обработкой media (изображений, гифок, видео и т.д.). Очень показательная бага, если вы пропустили - выполнение произвольного кода при обработке изображения.

Но сейчас не о ней, а о цикле статей, касающихся уязвимостей в библиотеке Samsung, отвечающей за процессинг изображений.

Очень подробно и интересно описано. Плюс ко всему автор продолжает описывать свои приключения и выпускает продолжение))

#Android #ImageProcessing #Vulnerability #Research
Люблю читать про анализ различных популярных приложений. В таких статьях можно почерпнуть много интересной информации, начиная с того, как анализировать приложения, заканчивая тем, что можно улучшить в защите своих разработок и рекомендаций. А может, мне просто нравится считать, что не я один такой и допускаю ошибки 😄

В этот раз статья про TikTok, в целом ничего криминального в ней нет (пока что), но автор обещает продолжение, да и читается легко. С его стилем повествования, было бы приятно почитать, что будет дальше. Кстати, если заглянуть в его статьи, можно найти еще много интересного материала. 🤓

#Android #Research #TikTok #Apps
​​Firebase Cloud Messaging - как отправить push миллиарду пользователей

Во время анализа приложений мы постоянно находим различные токены от сервисов аналитики, а иногда и от нескольких, разных сервисов геолокации, карт и многих других, не сильно критичных (вроде) 😄

После этой статьи я стану намного пристальнее на них смотреть и на те возможности, что они дают. И обязательно добавлю такую проверку в анализ.

Если кратко - багхантер практически с помощью одного grep, детального изучения документации и функционала сервисов FCM получил возможность отправить любое push-сообщение от имени уязвимого приложения. А в их числе оказались и гугловские сервисы (Google music, Youtube Music и т.д.),то есть миллиарды пользователей 😱

В статье подробно описан процесс анализа, изучения сервиса FCM, есть алгоритм, как искать и проверять валидность таких ключей (что с их помощью действительно можно отправить push), как сделать PoC и как митигировать подобные риски.

И спасибо автору за ссылки на материалы, статьи и утилиты, которые он использовал при анализе. Помимо нескольких интересных вещей по мобильным приложениям, есть и на что посмотреть в части прикладных инструментов.

Советую прямо сегодня посмотреть ваши мобильные приложения на наличия ключей FCM и проверить, валидны ли они для отправки произвольных пушей.

Потрясная статья, конечно 😁

#Android #BugBounty #Research #FCM
​​Уязвимости в "Find My Mobile": удаленный сброс и блокировка телефонов Samsung

Интересные новости для владельцев Samsung. Если вы ещё не обновили приложение "Find My Mobile", самое время это сделать (наверное).

Группа исследователей опубликовала очень интересный ресерч, посвященный ряду уязвимостей в приложении Find My Mobile. Целью этого приложения является удаленное управление устройством, если вы его потеряли (блокировка с произвольным сообщением, определение местоположения телефона, удаление всех данных и т.д.).

Благодаря ряду найденных уязвимостей (надо сказать что они достаточно "детские") злоумышленник мог получить доступ ко всем функциям этого сервиса. Как это обычно бывает, по одиночке уязвимости не представляют большой опасности (кроме раскрытия данных), но все вместе выстроились в замечательную эксплуатируемую атаку 😁

Ссылка на техническое описание всех найденных уязвимостей, их эксплуатация и подробности можно найти здесь.

Несмотря на то, что открыть детали решились только через год, проверьте на всякий случай, что на телефоне стоит последняя версия 😏

Конечно, если вы не против рассылать свой MAC-адрес Bluetooth-адаптера броадкостом в эфир. Да, именно так, в последней версии приложения появилась отличная опция по определению местоположения вашего устройства, даже если у него нет доступа к сети. Процесс простой - приложение с определенной периодичностью отправляет широковещательный запрос в Bluetooth эфир... И если рядом есть другой Samsung, он сможет помочь найти ваш телефон.

Интересно, можно ли что-то сделать, зная эту инфу? Ну кроме того, чтобы постоянно трекать перемещение пользователя? 🤔

В общем, спасибо Samsung, уязвимости исправили, но что-то сомнительное добавили :) Выбираем из двух зол наименьшее..

#Samsung #Android #Vulnerabilities #Research #Bluetooth
​​Уязвимости в нескольких популярных приложениях

Сейчас почему-то очень активно обсуждается статья про уязвимости в мобильном приложении для генерации кодов 2FA.

Название громкое, в тексте упоминаются фразы 0-day, public disclosure и прочие страшные вещи. Но смотря на список найденных уязвимостей, остаётся ощущение, что ничего не нашли, но написать что-то нужно.. Такие "баги" у нас обычно попадают в категорию "для информации" (ну может авто-копирование в буфер можно выделить).

А вот другая статья про XSS в клиенте Outlook намного интереснее! Про то, как простая на первый взгляд функция для преобразования телефонного номера в ссылку позволяла выполнить любой JS код! 😁

#Vulnerabilities #Research
​​Несколько критических уязвимостей в TikTok

Компанию TikTok никак не оставят в покое 😁 Но на этот раз это уже не исследования, что же они собирают о пользователе и какие данные передают, а полноценное исследование приложения, в котором нашлись действительно серьезные уязвимости.

Тут тебе и чтение файлов из внутренней директории и выполнение произвольного кода в контексте приложения!

Отличное описание, с примерами и кодом для PoC. 🤓

#TikTok #Vulnerabilities #Research
​​Критические уязвимости в MobileIron MDM

MDM - Mobile Device Management, управление корпоративными устройствами, очень популярная вещь в больших компаниях. Но что произойдёт, если внутри самой этой системы присутствуют уязвимости, позволяющие выполнить любой код?

Это значит, что можно получить доступ к системе, а также данные об огромном количестве сотрудников. Ну и что-то им установить :)

В статье приведено описание уязвимости, как она была найдена и проэксплуатирована и есть ссылка на доклад. Один из интересных моментов, что автор после выхода фикса подождал некоторое время, выяснил, что Facebook не накатил патчи, залил к ним шелл и написал в багбаунти программу 😁 дабл профит))

#mdm #facebook #bugbounty #research
​​Эксперименты с WebView

Практически всегда, когда говорят об уязвимостях в WebView - имеют ввиду возможности по выполнению JS кода, если это не отключено, чтение файлов, если опять-таки не отключена такая возможность и другие похожие проблемы.

Но вот другой интересный момент на который стоит обратить внимание, что если защищать нужно не ваше приложение, которое использует WebView, а вашу страницу, которое другое приложение отображает и данные клиентов, которую вводят на ней информацию? Простой пример - в стороннем приложении "партнера" нужно осуществить логин в ваш сервис и для этого используется Web страница. Что может сделать приложение с данными, которые отправляются через WebView и какие способы от этого защититься есть?

Подробная статья про разные методы защиты (CSP, Iframe Sandbox, X-XSS-Protection), в чем их смысл, как их можно обойти и что делать-то в итоге? Плюс этой статьи, что к каждому примеру есть работающие приложения, чтобы попробовать самому пройти все эти шаги и код, который можно изучить.

И в догонку пост от Mail.ru двухгодичной давности, но актуальный до сих пор, про безопасность мобильного OAuth2.0. Всем, кто использует или предоставляет такую возможность очень рекомендую к изучению, ребята очень дотошно и качественно подошли к материалу. Комментарии к этой статье тоже несут много полезной информации, что необычно 😁

#WebView #OAuth #Research
Читаем книги в действительно удобном приложении

Здорово, когда умение анализировать приложения помогает тебе в повседневной жизни и делает твою жизнь чуть удобнее.

Так и в случае с автором статьи про анализ приложений для чтения книг.

Основной посыл простой - автор любит читать и часто покупает электронные книги в разных приложениях, но не все позволяют скачивать и читать в стандартном приложении iBooks в iOS. Вот, он реальный способ сделать свою жизнь немного удобнее и заодно поисследовать приложения.

И есть ещё продолжение истории на эту же тематику, но уже с разбором Amazon Kindle.

Автор хорошо раскладывает базовые понятия, как устроены приложения, где они хранят файлы, на что обращать внимание для достижения своей цели.

#iOS #Research #Vulnerabilities
Заметание следов с использованием Accessibility Services

Обычно я не пишу про новости об очередных троянах и вирусах, обнаруженных в GooglePlay и снова захвативших тысячи устройств. Это скучно, не интересно и я бы лучше сделал обзор, как эти штуки работают и что используют. Как правило, это просто различные модификации нескольких видов троянцев, которые несущественно видоизменены, чтобы их нельзя было обнаружить сигнатурным анализом. Бывают, конечно, уникальные малвари, но их единицы.

Но вот эта статья про то, как некоторые зловреды используют Accessibility Services для сокрытия следов, что затрудняет их обнаружение, мне очень понравилась.

Автор рассказывает, что это за сервис такой, как его использовать и приводит несколько реальных кейсов, как при помощи него уводили деньги с крипто кошельков, в том числе с двухфакторной авторизацией. И описывает, с какими сложностями можно столкнуться при расследовании таких хищений.

Статья большая, но интересная 😁

#android #forensic #research #malware
Что вы хотели узнать об интентах, но боялись спросить

Подробная статья про атаки на неявные интенты в Android от компании Oversecured.

Статья подробно расписывает, почему такие интенты бывают опасны и как атаковать приложения, их использующие.
Какие бывают нюансы и как определить уязвимое приложение.

Очень круто, что автор и описывает уязвимые сценарии и тут же приводит PoC код для эксплуатации.

#Android #Intents #Research
CVE-2020-0267: длинная история одной уязвимости

Я наконец-то этого дождался, уязвимость (пока единственную критическую в Android 11), получившую идентификатор CVE-2020-0267, которую мы с коллегой @jd7drw нашли в операционной системе Android, наконец-то пофиксили.

На мой взгляд, это очень интересная бага, о которой мы писали в том числе в Хакер и рассказывали на PHDays. Суть в том, что используя вполне легитимные механизмы, предоставляемые Android, без root-доступа, без специальных разрешений, абсолютно прозрачно для пользователя, можно было подменить любое приложение.

Механизм идеальный, создаем приложение, которое может нести какую-то полезную нагрузку, например, показывать курс криптовалюты или сделать тиндер для котиков. 😻
Но помимо основного приложения в бэкграунде создается Activity с указанным параметром taskAffinity. В этом параметре необходимо указать имя пакета приложения, которое мы хотим подменить. Собственно всё, наш зловред готов.

После этих нехитрых манипуляций при нажатии на иконку приложения, имя которого мы указали в taskAffinity, вместо запуска нормального приложения будет выведена на передний план Activity злоумышленника. Эта Activity может полностью копировать интерфейс подменяемого приложения и отправлять вводимые учетные данные на сторонний сервер. При этом, если есть двух-факторная аутентификация, никто не мешает по аналогичной схеме отправить смс-код на сервер. После кражи учетных данных можно свернуть свою активность и запустить/показать пользователю реальное приложение, которое он хотел запустить.

А если подменить приложение настроек, то можно попробовать защититься и от удаления 👹

Эту уязвимость мы зарепортили еще в 2017 году, и какого было моё удивление, когда ее "переоткрыли" спустя два года, назвали звучным именем StrandHogg и дико распиарили. Суть абсолютно такая же, но CVE они не получили (вроде бы).

Чуть позже выложу код PoC, чтобы можно было потестить самим 😉

Это наша первая CVE и упоминание на странице благодарностей Android и я думаю, что эта пятница явно удалась!

#Android #CVE #TaskHijacking #Research
Взлом Google Pay, Samsung Pay и Apple Pay

Все мы пользуемся таким уже привычным NFC. Ведь это так удобно, взял с собой телефон и никакие карты или наличка уже не нужны. Но как это работает внутри и главный вопрос - насколько это безопасно?

Я столкнулся с проблемой лично только один раз, когда ехал в автобусе, читал очередную статью, во время поворота неудачно прислонился вплотную к валидатору. И оплатил поездку, хотя не собирался этого делать 😄

Эта ситуация стала поводом начать разбираться в процессе привязки, оплаты, подтверждения и всего остального, связанного с картами в телефоне. Стало просто интересно, а что еще можно сделать и каким образом?

В процессе ознакомления мне много помогали коллеги из банковского сектора, а также шикарные материалы от Тимура Юнусова, потрясающего researcher'a и автора многочисленных статей по безопасности и различным атакам на банковские карты:
- Ата­куем бес­контак­тные кар­ты
- Как работа­ют ата­ки на чиповые кар­ты
- Как хакеры кра­дут день­ги с бан­ков­ских карт
- Раз­бира­емся, как работа­ют сис­темы безопас­ности кре­дит­ных карт

Очень рекомендую их прочитать (а еще посмотреть его выступления), чтобы понять как все устроено и какие атаки в принципе возможны. Написано очень и очень подробно с максимальным погружением в тематику.

Но сегодня не об этом, а о новой статье Тимура - "Взлом Google Pay, Samsung Pay и Apple Pay". Да, это как раз статья о том, какие атаки становятся возможными благодаря такой удобной и полезной функциональности наших устройств - бесконтактная оплата.
Не хочу раскрывать все детали, приведу лишь несколько слов автора, после которых очень хочется перечитать статью еще раз:

Атаки, которые возможны до сих пор:
1. Транспортная карта Visa + ApplePay — безлимитные платежи на заблокированном, разряженном или украденном устройстве. Также до сих пор возможны платежи по кошелькам Visa + Google Pay, тут с 2019 года ничего не изменилось.
2. MasterCard + Google Pay — возможно клонирование транзакций, когда украденной информации будет достаточно для совершения определенного числа платежей.
3. Остальные вариации карта + кошелек — атаки возможны только при манипуляции Transaction Stream.

Статья размещена на Хакер и пока что находится в закрытом доступе, но спасибо автору, он отправил мне PDF, чтобы все могли прочитать и ознакомиться с результатами исследования. И это действительно того стоит, очень и очень рекомендую всем, кому интересна тема бесконтактных платежей, как они устроены и как получить деньги с разряженного iPhone.

Приятного чтения!

#visa #mastercard #applepay #samsungpay #googlepay #research
Очень хитрая и интересная малварь

Обычно я не люблю статьи про анализ разных вирусов и прочей малвари под Android, так как в них в 90% случаев нет ничего особенного и интересного. Такое ощущение, что их просто делают под копирку и собирают из нескольких доступных исходников с небольшой модификацией.

Однако в этой статье рассказывается про очень интересную и достаточно хитрую малварь, которая не реализует классический DexClassLoader для подгрузки и запуска полезной нагрузки, а использует механизм MultiDexApplication с небольшими изменениями (изменены имена файлов, локация для сохранения, а также реализована предварительная расшифровка dex-файла). Хорошо, что ключ шифрования по традиции сохраняется в исходном коде 🙄

В общем, достаточно интересный пример, можно взять на вооружение для ctf, например.

#android #malware #multidex #research
Увлекательная статья про печать фейковых чеков

Легко написанная и быстро читающаяся статья про уязвимости в аппаратах, которые печатают чеки. Оказывается, на некоторых из них стоит Android!

Автор описывает, как устроены такие устройства, как он проводил исследование и какие результаты получил.

Для нас, наверное не так интересно, но мне почему-то прям понравилось :) думаю, почитать за чашкой кофе можно вполне)

Всем хороших праздников!

#fiscal #android #research
Расшифровка зашифрованных фотографий из приложения ‘AVG’ Photo Vault

Прочитал статью про расшифровку файлов из ещё одного приложения от антивируса AVG и подумал, что где-то я видел подобный стиль написания и объяснения шифрования. Пошарившись по сайту увидел, точно! Вот мой пост от того же человека, который фотки из калькулятора расшифровывал!

А если посмотреть на его блог, то это похоже к него такое хобби, искать приложения, которые что-то прячут и шифруют, а потом пытаться их взломать и получить фото без пароля)

Интересное хобби у человека :) может быть иногда очень полезно 😅

Так что, если интересуетесь темой шифрования, расшифровки и анализа алгоритмов, вам точно стоит заглянуть в его блог!

#crypto #vault #research
Опасная уязвимость в магазине приложений Samsung Galaxy App Store

Опасную уязвимость обнаружили в магазине приложений компании Samsung - Galaxy App Store. В статье подробно описаны технические детали, благодаря чему это стало возможным, почитать крайне полезно, так как весь флоу описывается с примерами уязвимого кода и PoC.

Если простыми словами, то суть ее заключается в возможности установить абсолютно любое приложение из магазина без участия пользователя. Принцип простой:

1. Злоумышленник готовит приложение с вирусом (майнер, вымогатель, удаленный доступ, реклама, что угодно) и загружает его в магазин “Galaxy App Store“ под видом легитимного. Таких случаев достаточно много, и они встречаются не только в магазине от Samsung, но и в Google Play, который, как мне кажется, более тщательно проверяет приложения перед их публикацией.

2. Пользователь устанавливает любое приложение, в котором заложена вредоносная функциональность (установлено приложение может быть откуда угодно, Google Play, App Gallery, Aurora Store и т.д.), или даже получает обновление уже установленного приложения.

Вредоносная функциональность понимает, что установлена на Samsung или что установлено приложение “Galaxy App Store“, и отправляет запрос на автоматическую загрузку и установку приложения.

В результате, пользовательское устройство становится заражено любым вирусом, который удалось загрузить в магазин приложений. А как мы знаем, такие приложения находятся в магазинах практически каждый месяц. Но если раньше пользователя надо было как-то заставить скачать и установить его, то теперь все происходит автоматически и без его ведома.

#samsung #cve #research #fsecure
Уязвимости в предустановленных приложениях

А ещё и во фреймворке компании “mce Systems” были найдены исследователями Майкрософт (как-то их research-команда мимо меня проходила, не знал, что они анализируют что-то кроме себя самих).

Вообще статья достаточно неплоха, и баги интересные (выполнение кода, инжект JS, повышение привилегий через десериализацию). Описаны тоже неплохо, даже иногда с советами, как можно этого избежать.

В общем, можно глянуть и если вам на проверку пришло приложение, с похожей библиотекой, вспомните про этот пост и проверьте, нужную ли версию они юзают 😁

P.S. В статье первый раз увидел упоминание PiTM (Person in the Middle), сначала задумался и даже загуглил, что это за разновидность такая атаки)))))

#microsoft #android #vuln #research #pitm
Как на самом деле магазины приложений проверяют ваше приложение на уязвимости перед публикацией.

Всем привет!

Не могу не поделиться, хоть и из отпуска, нашим исследованием.

Как вы помните, на OFFZONE мы проводили CTF, в котором было представлено приложение с реальными уязвимостями. Тогда я обещал, что мы о нем еще поговорим. Время пришло 🙂

Мы загрузили наше уязвимое приложение во все популярные магазины, наблюдали за процессом их публикации и тому, какие проверки наше приложение проходило.

Исследование призвано ответить на несколько вопросов. Первый - это доказать, что надеется на проверку сторов при публикации и замещать этим аудиты безопасности приложений и средства по анализу защищенности нельзя.

Второй - выяснить, насколько магазины приложений выполняют свои обещания по проверке приложений на безопасность.

Сразу скажу, что к тем сторам, где нет ни слова об анализе приложений на безопасность, вопросов никаких и нет. Однако к тем, которые эту проверку обещают, есть большой вопрос.

Исследование касалось именно проверки на уязвимости и недостатки в приложении, но никак не проверке на вирусы, рекламу и прочее, что любой уважающий себя магазин и так делает.

Статья выше разделена на две части:
- Первая рассказывает о нашем приложении, как оно устроено, какие проблемы мы в него закладывали, к чему они могут привести. Давно планировали это написать, но решили совместить, так что всем, кто решал наш CTF и хотел посмотреть, что было еще, добро пожаловать!

- Вторая часть касается уже непосредственно анализу проверок магазинами, что они обещают и как это выглядит на самом деле. С датами заявки, проверок и публикаций.

Выводы делайте сами, но на мой взгляд, все достаточно просто, нельзя доверять проверку своего приложения на безопасность магазинам приложений, чтобы они не обещали.

И если когда-то вам скажут о том, что аудит не нужен, так как есть проверки на стороне магазинов, просто покажите им эту статью.

Лайки, репосты и прочие активности очень приветствуются!

Ну а я дальше отдыхать 🌴🏝️

#research #android #googleplay #ctf
Разбираемся с уязвимостью в Jetpack Navigation

Всем привет!

Относительно недавно многоуважаемый @OxFi5t подсветил исследование коллег из Positive Technologies про новый вектор атаки на Android через проблемы в библиотеке Jetpack . Спасибо огромное им за исследование, оно реально крутое!

Мы не смогли остаться в стороне, тоже немного покапались в исследовании, нашли пару интересных вещей, не освещенных в оригинальном материале и сегодня я представляю вашему вниманию результат наших трудов, статью "Разбираемся с новой уязвимостью в Android-библиотеке Jetpack Navigation".

Кроме технических деталей самой проблемы мы еще дополнительно проанализировали 1000 приложений из различных маркетов и собрали интересную статистику по подверженности данной проблеме. Если кратко, то 21% из исследованых нами приложений содержит уязвимую навигацию. Эксплуатабельны ли они это отдельный вопрос, который, я надеюсь, мы разберем в дальнейшем обязательно))

Если интересно исследование с цифрами, какие категории оказались наиболее подвержены данной проблеме - можно посмотреть у нас на сайте.

А пока - приятного чтения и спасибо еще раз коллегам за шикарную уязвимость!

#jetpack #stingray #navigation #issue #research