Способы обхода SSL Pinning в iOS
Вечная и не теряющая актуальности тема, как обойти SSL Pinning, как посмотреть трафик приложения?
Есть очень интересный твит, призванный собрать разные способы с их плюсами и минусами. Как обычно, комментарии очень хорошо дополняют исходный текст и там больше информации и очень много полезных ссылок на самые разные материалы. Советую полистать этим субботним вечером.
Ну и компании по анализу мобилок тоже не остаются в стороне, блог от AppKnox, который также собирает несколько способов обхода Pinning. Ничего нового, но описано неплохо и как методичка подойдет вполне 😁
Всем хороших выходных)
#ios #pinning #ssl
Вечная и не теряющая актуальности тема, как обойти SSL Pinning, как посмотреть трафик приложения?
Есть очень интересный твит, призванный собрать разные способы с их плюсами и минусами. Как обычно, комментарии очень хорошо дополняют исходный текст и там больше информации и очень много полезных ссылок на самые разные материалы. Советую полистать этим субботним вечером.
Ну и компании по анализу мобилок тоже не остаются в стороне, блог от AppKnox, который также собирает несколько способов обхода Pinning. Ничего нового, но описано неплохо и как методичка подойдет вполне 😁
Всем хороших выходных)
#ios #pinning #ssl
Twitter
Davy Douhine
Proxying is not the only way to monitor network traffic on your iOS mobile apps 📲 Different techniques for different use cases. Here's an attempt to summarize them. If you know other techniques plz tell me 🙏#mobilesecurity
Заблуждения о безопасности мобильных приложений
После долгого затишья я наконец-то дописал и опубликовал статью по мотивам вебинара - «Мифы о безопасности мобильных приложений».
Данные для этой статьи я копил годами и больше не могу уже терпеть) Я собрал наиболее часто встречающиеся заблуждения, которые я слышу, когда речь заходит о безопасности мобильных приложений. Это то, с чем мне приходится сталкиваться очень часто и постоянно говорить одно и то же.
Я решился объединить все эти мысли и домыслы в один большой текст и выразить свое мнение по этому поводу.
Надеюсь, вам будет интересно почитать и, скорее всего есть что добавить или поспорить, так что не стесняйтесь, может я вообще не прав и мобилки это действительно просто витрина данных для бэкенда? 🙃
#habr #webinar #mobilesecurity
После долгого затишья я наконец-то дописал и опубликовал статью по мотивам вебинара - «Мифы о безопасности мобильных приложений».
Данные для этой статьи я копил годами и больше не могу уже терпеть) Я собрал наиболее часто встречающиеся заблуждения, которые я слышу, когда речь заходит о безопасности мобильных приложений. Это то, с чем мне приходится сталкиваться очень часто и постоянно говорить одно и то же.
Я решился объединить все эти мысли и домыслы в один большой текст и выразить свое мнение по этому поводу.
Надеюсь, вам будет интересно почитать и, скорее всего есть что добавить или поспорить, так что не стесняйтесь, может я вообще не прав и мобилки это действительно просто витрина данных для бэкенда? 🙃
#habr #webinar #mobilesecurity
Хабр
Шорт-лист мифов о безопасности мобильных приложений и неприкрытая правда
Всем привет! И снова с вами я, Юрий Шабалин, ведущий архитектор Swordfish Security и генеральный директор Стингрей Технолоджиз. Как вы помните, мы разрабатываем систему автоматизированного анализа...
Очередной обход проверок на Jailbreak
Всем таким же, как и я любителям видео с индуским английским посвящается!
Видео про обход нескольких проверок на Jailbreak:
- ptrace
- sysctl
- getppid
- dyld_get_image_name
- strstr
Все обходы реализованы через Frida, также есть и репозиторий с приложением и скриптами обхода, показанными в видео.
Как показывает мой опыт, реализовывать обход проверки только через Frida крайне проблематично. Это хорошо работает для небольших и легких проверок, но когда в ход идут более серьёзные способы защиты, обойти их через Frida можно, но это очень сильно замедляет работу приложения.
Хорошим способом является сочетание методов, например через твики (Shadow, A-ByPass и т.д.), и реализация дополнительных обходов уже через фрида.
В любом случае, полезное видео и скрипты неплохие, могут помочь в ряде случаев.
«халлоу, туудэй ви вилл лёрн хау ту байпась мост жеилбрек детекшн»
#ios #jailbreak #bypass
Всем таким же, как и я любителям видео с индуским английским посвящается!
Видео про обход нескольких проверок на Jailbreak:
- ptrace
- sysctl
- getppid
- dyld_get_image_name
- strstr
Все обходы реализованы через Frida, также есть и репозиторий с приложением и скриптами обхода, показанными в видео.
Как показывает мой опыт, реализовывать обход проверки только через Frida крайне проблематично. Это хорошо работает для небольших и легких проверок, но когда в ход идут более серьёзные способы защиты, обойти их через Frida можно, но это очень сильно замедляет работу приложения.
Хорошим способом является сочетание методов, например через твики (Shadow, A-ByPass и т.д.), и реализация дополнительных обходов уже через фрида.
В любом случае, полезное видео и скрипты неплохие, могут помочь в ряде случаев.
«халлоу, туудэй ви вилл лёрн хау ту байпась мост жеилбрек детекшн»
#ios #jailbreak #bypass
YouTube
Bypassing iOS Anti Reversing Defences Using Frida
#iospentesting #mobilesecurity #owasp #anti-reversing
This video will provide a walkthrough on dynamically bypassing anti-debugging and anti-reversing defences used in iOS applications.
For the purpose of this video we are going to use ios-challenge-2 provided…
This video will provide a walkthrough on dynamically bypassing anti-debugging and anti-reversing defences used in iOS applications.
For the purpose of this video we are going to use ios-challenge-2 provided…
Как приложения сливают нашу геопозицию или я знаю, где ты живешь...
Очень крутое на исследование, которое глубоко копает в механизмы отслеживания местоположения через рекламу в мобильных приложениях аж в двух частях:
Часть первая
Часть вторая
Автор продемонстрировал, как, используя Charles Proxy (в первой части) и mitmproxy (во второй), можно вскрыть этот "ящик Пандоры". Даже если вы отключили службы геолокации, приложения, такие как простая игра Stack от KetchApp, передают ваш IP-адрес, точные временные метки и рекламные идентификаторы (IDFA/AAID) таким гигантам, как Unity Ads и Facebook.
Эти данные затем участвуют в Real-Time Bidding (RTB) аукционах, где SSP (Supply-Side Platforms) продают их DSP (Demand-Side Platforms), например, Moloco Ads. Более того, информация о вашем местоположении, полученная даже косвенно через IP или Wi-Fi сети, может оказаться на рынках данных вроде Datarade, иногда с пометкой "low latency", то есть практически в реальном времени.
В репозитории на GitHub есть подробное руководство и наработки на Python (mitm_test.ipynb и visualise_domains.ipynb) для самостоятельного анализа собранных .mitm файлов, позволяющие визуализировать, какие домены получают больше всего запросов.
И это крайне наглядный пример того, как даже обыденные приложения могут стать источником утечки чувствительных данных, и как важно проводить анализ сетевой активности разрабатываемых нами приложений и подключаемых внешних библиотек, чтобы не окзаться потом читающим статью, как твое приложение передает свою геопозицию в другие компании...
Кстати, на одной из конференций показывали, как публичные точки WiFi собирают наши данные для того, чтобы можно было отслеживать устройство, как и где оно перемещается... Конечно, существующие настройки приватности и рандомизации MAC-адресов работают, но настолько ли хорошо они нас защищают? Это вопрос))
Приятного вам вечера пятницы и да, все знают, где ты живешь!
#MobileSecurity #Privacy #AdTech #DataLeak #RTB #mitmproxy #InfoSec
Очень крутое на исследование, которое глубоко копает в механизмы отслеживания местоположения через рекламу в мобильных приложениях аж в двух частях:
Часть первая
Часть вторая
Автор продемонстрировал, как, используя Charles Proxy (в первой части) и mitmproxy (во второй), можно вскрыть этот "ящик Пандоры". Даже если вы отключили службы геолокации, приложения, такие как простая игра Stack от KetchApp, передают ваш IP-адрес, точные временные метки и рекламные идентификаторы (IDFA/AAID) таким гигантам, как Unity Ads и Facebook.
Эти данные затем участвуют в Real-Time Bidding (RTB) аукционах, где SSP (Supply-Side Platforms) продают их DSP (Demand-Side Platforms), например, Moloco Ads. Более того, информация о вашем местоположении, полученная даже косвенно через IP или Wi-Fi сети, может оказаться на рынках данных вроде Datarade, иногда с пометкой "low latency", то есть практически в реальном времени.
В репозитории на GitHub есть подробное руководство и наработки на Python (mitm_test.ipynb и visualise_domains.ipynb) для самостоятельного анализа собранных .mitm файлов, позволяющие визуализировать, какие домены получают больше всего запросов.
И это крайне наглядный пример того, как даже обыденные приложения могут стать источником утечки чувствительных данных, и как важно проводить анализ сетевой активности разрабатываемых нами приложений и подключаемых внешних библиотек, чтобы не окзаться потом читающим статью, как твое приложение передает свою геопозицию в другие компании...
Кстати, на одной из конференций показывали, как публичные точки WiFi собирают наши данные для того, чтобы можно было отслеживать устройство, как и где оно перемещается... Конечно, существующие настройки приватности и рандомизации MAC-адресов работают, но настолько ли хорошо они нас защищают? Это вопрос))
Приятного вам вечера пятницы и да, все знают, где ты живешь!
#MobileSecurity #Privacy #AdTech #DataLeak #RTB #mitmproxy #InfoSec
tim.sh
Everyone knows your location
How I tracked myself down using leaked location data in the in-app ads, and what I found along the way.