Mobile AppSec World
Мне всегда очень нравились видео-курсы, презентации или видео материалы по анализу мобильных приложений. Просто потому, что это наглядно и для меня так проще воспринимать информацию. Уже после просмотра можно углубиться в техническую составляющую и засесть…
Не забываем, кто записался, через 5 минут начало 😁
В моей любимой извечной игре "спрячь root - найди root" Google сделал свой ход конем 🦄
В новых версиях SafetyNet появился крайне интересный функционал, представленный в виде нового поля "evaluationType", который определяет, как именно была выполнена проверка на легитимность устройства (программно или аппаратно).
Что интересно, раньше для определения факта "взлома" устройства использовалось только программная проверка, что позволяло такому софту, как например, Magisk, благополучно скрывать и себя и модификацию системы. Сейчас же, для некоторых моделей телефонов, завезли аппаратную проверку целостности загрузчика (boot image), для обхода которой нужно попытаться подменить вызовы внутри Google Play Services, что является той еще задачкой 😁
Я очень надеюсь, что это может стать первым шагом для производители Android-устройств в реализации "цепочки доверенной загрузки" по аналогии с iOS, вот это будет огонь! 🔥
#Android #SafetyNet #Root #Defense #Magisk
В новых версиях SafetyNet появился крайне интересный функционал, представленный в виде нового поля "evaluationType", который определяет, как именно была выполнена проверка на легитимность устройства (программно или аппаратно).
Что интересно, раньше для определения факта "взлома" устройства использовалось только программная проверка, что позволяло такому софту, как например, Magisk, благополучно скрывать и себя и модификацию системы. Сейчас же, для некоторых моделей телефонов, завезли аппаратную проверку целостности загрузчика (boot image), для обхода которой нужно попытаться подменить вызовы внутри Google Play Services, что является той еще задачкой 😁
Я очень надеюсь, что это может стать первым шагом для производители Android-устройств в реализации "цепочки доверенной загрузки" по аналогии с iOS, вот это будет огонь! 🔥
#Android #SafetyNet #Root #Defense #Magisk
Чем меня радует Android - он не прекращает развиваться, и с каждой новой версией становится всё интереснее и безопаснее (надеюсь) 😁
Вот, например, небольшое описание нововведений, касающихся разрешений. Особенно интересными, на мой взгляд, являются одноразовые разрешения и автоматический "отзыв", если приложение долго не используется. Более подробно рассказывали в видео.
И ещё, помимо безопасности пользователя, разработчики Android работают и над усилением самой платформы, добавляя различные механизмы защиты.
Хочется верить, что так будет и дальше 😎
#Android #Security #Permissions #Release #Android11
Вот, например, небольшое описание нововведений, касающихся разрешений. Особенно интересными, на мой взгляд, являются одноразовые разрешения и автоматический "отзыв", если приложение долго не используется. Более подробно рассказывали в видео.
И ещё, помимо безопасности пользователя, разработчики Android работают и над усилением самой платформы, добавляя различные механизмы защиты.
Хочется верить, что так будет и дальше 😎
#Android #Security #Permissions #Release #Android11
И снова Snapchat или почему вас забанили? 😁
Я уже писал про это приложение, про реверс для получения уникального токена для взаимодействия с бэком и методам обхода проверок.
И вот ещё две интересные статьи про то, как и что проверяет Snapchat в Android приложении и в iOS версии для определения, что устройство взломано.
Ценность этой статьи в том, что некоторые проверки для меня оказались новыми и я стянул их в свои рекомендации для выявления root/jailbreak 😉
А с другой стороны, планирую добавить несколько хуков, чтобы обходить эти проверки)
В общем, крайне полезно 🤓
#Android #iOS #root #Jailbreak
Я уже писал про это приложение, про реверс для получения уникального токена для взаимодействия с бэком и методам обхода проверок.
И вот ещё две интересные статьи про то, как и что проверяет Snapchat в Android приложении и в iOS версии для определения, что устройство взломано.
Ценность этой статьи в том, что некоторые проверки для меня оказались новыми и я стянул их в свои рекомендации для выявления root/jailbreak 😉
А с другой стороны, планирую добавить несколько хуков, чтобы обходить эти проверки)
В общем, крайне полезно 🤓
#Android #iOS #root #Jailbreak
Как заметили в нашем чате (доступен по кнопке "Обсудить"), буквально на днях прошёл Android Security Symposium, как сейчас принято, в онлайн формате 😁
Два дня интересных технических докладов про Android, которые я собираюсь на выходных посмотреть и изучить :) особенно интересено послушать про Memory Tagging for the Kernel, раньше я про такое не знал, но век живи, век учись 🤓
Первый и второй день уже доступны для просмотра! Enjoy!
#Android #webinars #conference
Два дня интересных технических докладов про Android, которые я собираюсь на выходных посмотреть и изучить :) особенно интересено послушать про Memory Tagging for the Kernel, раньше я про такое не знал, но век живи, век учись 🤓
Первый и второй день уже доступны для просмотра! Enjoy!
#Android #webinars #conference
Не могу не поделиться шикарной библиотекой для реализации аутентификации в приложении по PIN-коду.
Библиотека вычисляет хэш PIN-кода с помощью функции PBKDF2 и сохраняет его в файле. Файл, в свою очередь зашифрован алгоритмом AES-256 в режиме GCM, а ключи хранятся в AndroidKeystore.
В своих рекомендациях на тренингах и после аудитов я предлагал использовать подобный подход, но теперь есть готовая библиотека, которая реализует всё за вас! 🔥
Разработчик библиотеки ведёт собственный канал @android_guards_today, на который я настоятельно рекомендую подписаться, контент авторский и очень годный! Ещё и чат есть 🤓
#Android #Cryptography #PIN
Библиотека вычисляет хэш PIN-кода с помощью функции PBKDF2 и сохраняет его в файле. Файл, в свою очередь зашифрован алгоритмом AES-256 в режиме GCM, а ключи хранятся в AndroidKeystore.
В своих рекомендациях на тренингах и после аудитов я предлагал использовать подобный подход, но теперь есть готовая библиотека, которая реализует всё за вас! 🔥
Разработчик библиотеки ведёт собственный канал @android_guards_today, на который я настоятельно рекомендую подписаться, контент авторский и очень годный! Ещё и чат есть 🤓
#Android #Cryptography #PIN
Всё тайное становится явным или как анализировать приложение, защищённое при помощи DexGuard.
На рынке представлены два популярных продукта, которые позволяют реализовывать различные механизмы защиты приложения, это DexGuard и DexProtector. Уверен, что их намного больше, но мне знакомы эти два.
При очень похожем функционале, мне лично больше по душе DexProtector, так как с ними не было случаев сильного повышения цены после года использования, да и документация приятнее.
И не зря, как оказалось 😁
Крайне интересный цикл статей по механизмам работы проверок в DexGuard и, самое главное, о недостатках и способах всё это обойти! 😱
#Android #DexGuard #DexProtector #Encryption #Obfuscation
На рынке представлены два популярных продукта, которые позволяют реализовывать различные механизмы защиты приложения, это DexGuard и DexProtector. Уверен, что их намного больше, но мне знакомы эти два.
При очень похожем функционале, мне лично больше по душе DexProtector, так как с ними не было случаев сильного повышения цены после года использования, да и документация приятнее.
И не зря, как оказалось 😁
Крайне интересный цикл статей по механизмам работы проверок в DexGuard и, самое главное, о недостатках и способах всё это обойти! 😱
#Android #DexGuard #DexProtector #Encryption #Obfuscation
Очень интересно наблюдать, как кто-то анализирует известные приложения и описывает свои находки.
Так и в случае с приложением Nike Run Club - исследователь задался целью выковырять данные из API и преобразовать их в удобный для себя формат. Но, приложение генерировало уникальную строку для авторизации и это нужно было обойти 😁
Хорошая статья про реализацию своей идеи, заодно и навыки Frida прокачать 😉
#Android #NikeRunClub #Revers #Frida
Так и в случае с приложением Nike Run Club - исследователь задался целью выковырять данные из API и преобразовать их в удобный для себя формат. Но, приложение генерировало уникальную строку для авторизации и это нужно было обойти 😁
Хорошая статья про реализацию своей идеи, заодно и навыки Frida прокачать 😉
#Android #NikeRunClub #Revers #Frida
А вот и новый выпуск Хакера подоспел, в главной роли - Android!
В выпуске:
- Исследование IPC Android и хукинг нативных библиотек
- Безопасность Android от первой до одиннадцатой версии
- Боевой смартфон. Делаем из устройства с Android «хакерфон» с помощью Termux и Kali
В целом, почитать за чашкой чая вполне можно, тем более материал на русском, что редкость в наше время 🤓
#Android #Xaker #Books
В выпуске:
- Исследование IPC Android и хукинг нативных библиотек
- Безопасность Android от первой до одиннадцатой версии
- Боевой смартфон. Делаем из устройства с Android «хакерфон» с помощью Termux и Kali
В целом, почитать за чашкой чая вполне можно, тем более материал на русском, что редкость в наше время 🤓
#Android #Xaker #Books
Сложная для моего понимания, но от этого не менее интересная статья про фаззинг Android NFC.
Автор рассказывает, какие подходы н применял и объясняет некоторые вещи, которые могут помочь при написании собственных шаблонов и обвязки для различных фаззеров. Кстати, результатам такого теста стала пачка CVE, которые успешно отработали в Google.
На моей памяти, мы несколько раз использовали фаззинг нативных библиотек, но обычно это были различные обработчики изображений и медиа. Нашли много багов благодаря такому подходу и их успешно пофиксили. Мы использовали тоже классную штуку - AFL (American Fuzzy Loop). Очень удобный и мощный вкривых умелых руках фаззер.
#Android #NFC #Fuzzing #Tools
Автор рассказывает, какие подходы н применял и объясняет некоторые вещи, которые могут помочь при написании собственных шаблонов и обвязки для различных фаззеров. Кстати, результатам такого теста стала пачка CVE, которые успешно отработали в Google.
На моей памяти, мы несколько раз использовали фаззинг нативных библиотек, но обычно это были различные обработчики изображений и медиа. Нашли много багов благодаря такому подходу и их успешно пофиксили. Мы использовали тоже классную штуку - AFL (American Fuzzy Loop). Очень удобный и мощный в
#Android #NFC #Fuzzing #Tools
GitHub Security Lab
Structured fuzzing Android’s NFC
Man Yue Mo built and open sourced a fuzzer for the Android Near Field Communication (NFC) component. He shares here some design considerations when building the fuzzer.
Процессинг изображений, их сжатие, обработка и операции с ними всегда вызывают какую-то странную боль, особенно у программистов 😄
Исключением не стал и Android, достаточное количество уязвимостей и проблем связаны именно с обработкой media (изображений, гифок, видео и т.д.). Очень показательная бага, если вы пропустили - выполнение произвольного кода при обработке изображения.
Но сейчас не о ней, а о цикле статей, касающихся уязвимостей в библиотеке Samsung, отвечающей за процессинг изображений.
Очень подробно и интересно описано. Плюс ко всему автор продолжает описывать свои приключения и выпускает продолжение))
#Android #ImageProcessing #Vulnerability #Research
Исключением не стал и Android, достаточное количество уязвимостей и проблем связаны именно с обработкой media (изображений, гифок, видео и т.д.). Очень показательная бага, если вы пропустили - выполнение произвольного кода при обработке изображения.
Но сейчас не о ней, а о цикле статей, касающихся уязвимостей в библиотеке Samsung, отвечающей за процессинг изображений.
Очень подробно и интересно описано. Плюс ко всему автор продолжает описывать свои приключения и выпускает продолжение))
#Android #ImageProcessing #Vulnerability #Research
kotlin-secure-coding-practices.pdf
6.3 MB
Нашли тут гайд по практикам безопасного программирования на Kotlin от нашего партнера - Checkmarx!
В целом, достаточно неплохой базовый гайд, разобраны категории из OWASP Mobile Top 10 на примере уязвимого приложения Goatlin. Кстати, на нем можно потренироваться в поиске уязвимостей или проверить разные сканеры.
Можно рекомендовать к прочтению, тем, кто еще плотно не знакомился с Kotlin, ну или устроить на основе этого приложения простой CTF для разработчиков, немного его доработав.
Enjoy!
#Android #Kotlin #Guide
В целом, достаточно неплохой базовый гайд, разобраны категории из OWASP Mobile Top 10 на примере уязвимого приложения Goatlin. Кстати, на нем можно потренироваться в поиске уязвимостей или проверить разные сканеры.
Можно рекомендовать к прочтению, тем, кто еще плотно не знакомился с Kotlin, ну или устроить на основе этого приложения простой CTF для разработчиков, немного его доработав.
Enjoy!
#Android #Kotlin #Guide
Нашёл недавно хороший разбор прохождения уязвимого приложения под iOS - Damn Vulnerable iOS Application v2.
Само приложение хорошо тем, что написано на Swift и даёт возможность попробовать поискать все уязвимости из категории OWASP Mobile Top 10. Причём, как в рантайме, так и по коду.
Автор же в своем обзоре детально расписывает, как именно решить все задачи и пройти все уровни в этом учебном приложении.
Опять же, его можно использовать, как базовый CTF для разработчиков. Но лучше немного допилить, чтобы по этому найду нельзя было один в один пройти))
#iOS #DVIA #Swift #CTF
Само приложение хорошо тем, что написано на Swift и даёт возможность попробовать поискать все уязвимости из категории OWASP Mobile Top 10. Причём, как в рантайме, так и по коду.
Автор же в своем обзоре детально расписывает, как именно решить все задачи и пройти все уровни в этом учебном приложении.
Опять же, его можно использовать, как базовый CTF для разработчиков. Но лучше немного допилить, чтобы по этому найду нельзя было один в один пройти))
#iOS #DVIA #Swift #CTF
Forwarded from Android Guards
В пятницу, 24 июля, будем говорить про SSDLC с Юрием Шабалиным (@Mr_R1p). Обсудим это явление как таковое и кому оно может пригодиться. Поговорим про инструменты и подходы, которые помогут в построении SSDLC и попробуем поразбирать реальные кейсы применения.
Это будет прямой эфир, так что готовьтесь задавать вопросы.
https://youtu.be/EGB8mstJlyA
Это будет прямой эфир, так что готовьтесь задавать вопросы.
https://youtu.be/EGB8mstJlyA
YouTube
Мобильный SSDLC
С каждым годом мобильные приложения становятся больше и сложнее. А вместе с ними растет размер репутационных и финансовых потерь в случае проблем с безопасностью в этих приложениях. В рамках этого выпуска мы обсудим феномен SSDLC как таковой, поговорим про…
Я не очень люблю писать про разборы очередных зловредных приложений под Android. Как правило, они используют одни и те же техники, которые существуют уже давно, надесь на доверчивость пользователя или его желание во что бы то ни стало посмотреть на котиков.
Обычно, такие зловреды не несут в себе никакой функциональности для пользователя, а всего лишь пытаются получить данные пользователя, украсть смс и прочее. Мой фаворит - это фейковое приложение "Все банки в одном приложении", которое имела внутри себя 1 activity с возможностью выбрать банк для подключения и формочкой для данных карты. В зависимости от выбранного банка менялся фон - зеленый, красный, желтый.. При этом, GooglePlay рекомендовал его мне для установки и он был в топе скачиваний 🤦♂️🤦♂️
Но есть и исключения из правил, и об одном таком приложении написали коллеги из Eset. Приложение с полным функционалом мессенджера, которым пользовались люди и которое, помимо основного функционала, имело несколько интересных побочных функций :)
Достаточно легкий и в какой-то степени интересный обзор 😄
#Android #Malware #ChatApp
Обычно, такие зловреды не несут в себе никакой функциональности для пользователя, а всего лишь пытаются получить данные пользователя, украсть смс и прочее. Мой фаворит - это фейковое приложение "Все банки в одном приложении", которое имела внутри себя 1 activity с возможностью выбрать банк для подключения и формочкой для данных карты. В зависимости от выбранного банка менялся фон - зеленый, красный, желтый.. При этом, GooglePlay рекомендовал его мне для установки и он был в топе скачиваний 🤦♂️🤦♂️
Но есть и исключения из правил, и об одном таком приложении написали коллеги из Eset. Приложение с полным функционалом мессенджера, которым пользовались люди и которое, помимо основного функционала, имело несколько интересных побочных функций :)
Достаточно легкий и в какой-то степени интересный обзор 😄
#Android #Malware #ChatApp
Недавно я писал про статью об уязвимостях в библиотеке для обработки изображений в телефонах Samsung.
Сегодня вышла вторая часть про то, как именно исследователь нашёл все эти уязвимости и как именно проводился фаззинг!
Много текста и кода, но это того стоит!
#Android #Samsung #Fuzzing
Сегодня вышла вторая часть про то, как именно исследователь нашёл все эти уязвимости и как именно проводился фаззинг!
Много текста и кода, но это того стоит!
#Android #Samsung #Fuzzing
Всегда было безумно интересно, как создавались эксплойты для iOS, ведь для того, чтобы понять, описать и связать воедино все элементы атаки, нужно понимать систему досконально.
И вот, в этой статье описывается, как именно проходит работа над созданием готового эксплойта. Примечательна эта статья как раз своим обучающим подходом. Цель простая - берём публичные, хорошо описанные уязвимости и создаём из них готовый эксплойт. Все шаги по подготовке окружения, описание триггеров для различных процессов, всё это детально прописано.
Безумно интересно и познавательно, хотя я скорее это и не повторю 🙈
#iOS #Exploits #Vulnerability #Learning
И вот, в этой статье описывается, как именно проходит работа над созданием готового эксплойта. Примечательна эта статья как раз своим обучающим подходом. Цель простая - берём публичные, хорошо описанные уязвимости и создаём из них готовый эксплойт. Все шаги по подготовке окружения, описание триггеров для различных процессов, всё это детально прописано.
Безумно интересно и познавательно, хотя я скорее это и не повторю 🙈
#iOS #Exploits #Vulnerability #Learning
Интересное ближе, чем может оказаться. Я люблю приложения, это намного удобнее и быстрее, чем открывать сайт, например. Уже не помню, когда последний раз заходил в онлайн банк :)
Но какие скрытые функции могут быть в приложениях, о которых мы не подозреваем? Это в продолжении истории с мессенджером-шпионом.
Сегодня с огромным интересом прочитал статью про анализ приложения для Дронов компании DJI.
Занятно, что автор сопоставляет использованные технологии в приложении с аналогичными в различных малварях. Тут тебе и встроенные обновления, и доступ ко всему, до чего можно дотянуться, и общение с управляющим центром 😁
Ну и конечно, описание, как он обходил шифрование и защиту приложения 🤓
Почитайте, правда очень увлекательно!
#Android #Analysis #DJI
Но какие скрытые функции могут быть в приложениях, о которых мы не подозреваем? Это в продолжении истории с мессенджером-шпионом.
Сегодня с огромным интересом прочитал статью про анализ приложения для Дронов компании DJI.
Занятно, что автор сопоставляет использованные технологии в приложении с аналогичными в различных малварях. Тут тебе и встроенные обновления, и доступ ко всему, до чего можно дотянуться, и общение с управляющим центром 😁
Ну и конечно, описание, как он обходил шифрование и защиту приложения 🤓
Почитайте, правда очень увлекательно!
#Android #Analysis #DJI