📱 Прочитал очень интересную статью — исследователи нашли критические уязвимости в предустановленных приложениях на Android-смартфонах (Ulefone, Krüger&Matz): через них стороннее приложение могло вызвать сброс настроек, украсть PIN и внедрить произвольный Intent.
Интересно, как пользователю себя защитить, если получение root-прав и анлок загрузчиков усложняют с каждым годом, а без рута модификация предустановленных приложений почти невозможна...
Интересно, как пользователю себя защитить, если получение root-прав и анлок загрузчиков усложняют с каждым годом, а без рута модификация предустановленных приложений почти невозможна...
Mobile Hacker
Security Issues Found in preinstalled apps on Android Smartphones
Security researchers have uncovered several critical vulnerabilities in applications preloaded on Ulefone and Krüger&Matz Android smartphones. These flaws, reported by CERT Polska and discovered by Szymon Chadam, expose users to significant risks, including…
👍6
ios на AlfaCTF
Вчера случайно удалось поучаствовать в AlfaCTF
И решить таску с термометром и ios.
Суть таски заключалась в том что на сайте мы видели устройства и их mac- адреса, но управлять могли только с приложения под ios.
Решение оказалось из нескольких этапов:
1) устанавливаем приложение на айфон с jailbreak
2) настраиваем прокси
3) вносим устройство в прилу и смотрим что происходит. При условии что термостат заглючил и не добавлялся , но у нас были другие устройства
4) Смотрим трафик и замечаем что есть запрос который по маку определяет ip и порт устройства и нет проверки принадлежности устройства нам
5) В трафике находим запрос на изменение состояния устройства и подставляем полученные параметры
Профит😎
Broken access control и мобилка без пиннинга
Вчера случайно удалось поучаствовать в AlfaCTF
И решить таску с термометром и ios.
Суть таски заключалась в том что на сайте мы видели устройства и их mac- адреса, но управлять могли только с приложения под ios.
Решение оказалось из нескольких этапов:
1) устанавливаем приложение на айфон с jailbreak
2) настраиваем прокси
3) вносим устройство в прилу и смотрим что происходит. При условии что термостат заглючил и не добавлялся , но у нас были другие устройства
4) Смотрим трафик и замечаем что есть запрос который по маку определяет ip и порт устройства и нет проверки принадлежности устройства нам
5) В трафике находим запрос на изменение состояния устройства и подставляем полученные параметры
Профит😎
Broken access control и мобилка без пиннинга
🔥8❤🔥3👏1
Похоже доклады с подлодки послушаем😄
Ещё может быть и тут что-нибудь обсудим😁
Спасибо @iwillpicknicknamelater
Ещё может быть и тут что-нибудь обсудим😁
Спасибо @iwillpicknicknamelater
❤🔥3
Forwarded from SbX | Security by Xyurity
This media is not supported in your browser
VIEW IN TELEGRAM
Билет на подлодку уходит к @sib_coder , поздравляю!
Всем спасибо за идеи постов, учту их, когда будет время что-то написать.
P.S.
Как только доклад окажется в паблике, опубликую ссылку сюда
Всем спасибо за идеи постов, учту их, когда будет время что-то написать.
P.S.
Как только доклад окажется в паблике, опубликую ссылку сюда
❤1
Forwarded from Mobile AppSec World (Yury Shabalin)
В iOS-безопасности нет «поставил и забыл»: инструменты и атаки меняются быстрее релизов.
Если сомневаетесь, что на клиенте всё прикрыто, новый сезон конференции Podlodka iOS Crew 22-26 сентября поможет закрыть дыры.
В программе:
• Региональные ограничения и поведение устройства. Как iPhone определяет доступные фичи для страны, что проверять и как воспроизводить это на практике — со Светославом Карасевым (hh ru).
• Обфускация в iOS. Какие подходы реально мешают реверсу, какие инструменты выбрать и как собрать свой пайплайн на SwiftSyntax — с Павлом Каретниковым (Газпромбанк).
• AppSec для iOS. От ландшафта атак до хранения данных и сети — практики, ошибки и советы, как внедрять безопасную разработку в командах разного размера.
• Финальный разбор мини-CTF. Неделю собираем флаги, в пятницу — разбор находок и выводы для прода — с Никитой Красновым (Альфа-Банк).
🔗 Подробности и регистрация
Если сомневаетесь, что на клиенте всё прикрыто, новый сезон конференции Podlodka iOS Crew 22-26 сентября поможет закрыть дыры.
В программе:
• Региональные ограничения и поведение устройства. Как iPhone определяет доступные фичи для страны, что проверять и как воспроизводить это на практике — со Светославом Карасевым (hh ru).
• Обфускация в iOS. Какие подходы реально мешают реверсу, какие инструменты выбрать и как собрать свой пайплайн на SwiftSyntax — с Павлом Каретниковым (Газпромбанк).
• AppSec для iOS. От ландшафта атак до хранения данных и сети — практики, ошибки и советы, как внедрять безопасную разработку в командах разного размера.
• Финальный разбор мини-CTF. Неделю собираем флаги, в пятницу — разбор находок и выводы для прода — с Никитой Красновым (Альфа-Банк).
🔗 Подробности и регистрация
podlodka.io
Онлайн-конференция Podlodka iOS Crew, сезон #17
Недельное мероприятие от команды Podlodka: ежедневные интерактивные сессии в Zoom по актуальным проблемам iOS-разработки, нон-стоп общение с экспертами и звёздами индустрии, закрытое профессиональное сообщество в Telegram.
❤🔥2
Forwarded from Android Guards
Не устанавливай 17-ю фриду пока не прочитаешь этот пост 😅
Ну а если без шуток, то в посте разбираю как починить биндинги питона и хуки на JS. Надеюсь эта информация кому-то сэкономит время.
Ну а если без шуток, то в посте разбираю как починить биндинги питона и хуки на JS. Надеюсь эта информация кому-то сэкономит время.
❤🔥3
Медуза в элюминаторе — небольшие заметки с подлодки 🚢
Подлодка потихоньку приносит плоды. Конференция оказалась вполне годной. Я кстати решил не играть в CTF, а реально послушать что рассказывают(лень в отпуске что-то ковырять)
Не так много необычных находок, но кое-что стоит отметить — например, Medusa 🐙
По-моему, — красивая и более современная оболочка над Frida скриптами. По сравнению с objection она выглядит свежее и заметно активнее обновляется. Поскольку objection понемногу уходит в прошлое, думаю стоит начать переход на Medusa в рабочих задачах.
Но признаюсь — я тот самый вредный дед: иногда всё ещё использую
Подлодка потихоньку приносит плоды. Конференция оказалась вполне годной. Я кстати решил не играть в CTF, а реально послушать что рассказывают(лень в отпуске что-то ковырять)
Не так много необычных находок, но кое-что стоит отметить — например, Medusa 🐙
По-моему, — красивая и более современная оболочка над Frida скриптами. По сравнению с objection она выглядит свежее и заметно активнее обновляется. Поскольку objection понемногу уходит в прошлое, думаю стоит начать переход на Medusa в рабочих задачах.
Но признаюсь — я тот самый вредный дед: иногда всё ещё использую
frida --codeshare
GitHub
GitHub - Ch0pin/medusa: Mobile Edge-Dynamic Unified Security Analysis
Mobile Edge-Dynamic Unified Security Analysis. Contribute to Ch0pin/medusa development by creating an account on GitHub.
👍5❤🔥3
Иногда ко мне приходят к вопросом , а что ты там глобально на работе делаешь. Вот ответ на все вопросы в одной статье https://habr.com/ru/companies/vk/articles/694522/
Хабр
Чем занимается AppSec?
Меня зовут Александр Вознесенский, я AppSec Teamlead в VK. Не так давно мне в очередной раз задали вопрос: «Чем занимается AppSec?». И обычно, отвечая на этот вопрос в двух словах, я чувствую, что...
🔥7🤩1
Подпиши APK по братски
Многие волнуются из-за новых правил распространения приложений от Google и переживают, что это усложнит пентесты мобильных приложений.
Но, судя по этому посту, изменений для нас нет: через ADB приложения по-прежнему будут устанавливаться без проблем.
Единственное, что усложнится — обычным пользователям станет труднее ставить APK, подписанные непонятно кем.
Злоумышленники, конечно, могут наклепать аккаунтов разработчиков и глобально на ситуацию внедрение подписи не изменит.
Продолжаем просто наблюдать за ситуацией, ну и в бетта-тест "супербезопасной" фичи записываемся
Многие волнуются из-за новых правил распространения приложений от Google и переживают, что это усложнит пентесты мобильных приложений.
Но, судя по этому посту, изменений для нас нет: через ADB приложения по-прежнему будут устанавливаться без проблем.
Единственное, что усложнится — обычным пользователям станет труднее ставить APK, подписанные непонятно кем.
Злоумышленники, конечно, могут наклепать аккаунтов разработчиков и глобально на ситуацию внедрение подписи не изменит.
Продолжаем просто наблюдать за ситуацией, ну и в бетта-тест "супербезопасной" фичи записываемся
Android Developers Blog
Let's talk security: Answering your top questions about Android developer verification
News and insights on the Android platform, developer tools, and events.
👍2❤🔥1
В опасные времена живём...
Атаки на цепочку поставок в мире кнопочных телефонов ...
Атаки на цепочку поставок в мире кнопочных телефонов ...
❤🔥1
Forwarded from Культ Безопасности
Троян в кнопочном телефоне за 600₽
Оказалось, что даже простенькие «звонилки» из розничных магазинов могут вести двойную жизнь. Одни тихо отсылают СМС с вашими данными, другие списывают деньги на платные номера, а кое-где встречаются и полноценные бэкдоры, пересылающие входящие сообщения злоумышленникам.
В статье — разбор, как такие телефоны палятся на слежке и почему «бабушкофон» может оказаться шпионским гаджетом.
#полезное
Join ourclub Cult 👁
Оказалось, что даже простенькие «звонилки» из розничных магазинов могут вести двойную жизнь. Одни тихо отсылают СМС с вашими данными, другие списывают деньги на платные номера, а кое-где встречаются и полноценные бэкдоры, пересылающие входящие сообщения злоумышленникам.
В статье — разбор, как такие телефоны палятся на слежке и почему «бабушкофон» может оказаться шпионским гаджетом.
#полезное
Join our
Please open Telegram to view this post
VIEW IN TELEGRAM
😱9❤🔥4⚡2❤1
💡 Вклад в будущее
Почти три года назад мы с друзьями вели курс «Основы ИБ» — по сути, учили школьников базовым вещам из мира CTF.
И вот, спустя три года, я начинаю узнавать, кем стали те ребята. Кто-то сегодня выигрывает реальные CTF , кто-то поступил в топовые вузы на направление информационной безопасности, а кто-то уже мр-ы в OS заливает только так...
Смотреть, как они выросли — невероятно приятно. Ты понимаешь, что твои усилия реально отразились в чьих-то результатах. Я-то сам уже особо в CTF не играю, но мои ученики продолжают — и это, если честно, лучшая мотивация не забивать на идеи и ценности, которые я стараюсь нести в ШИФТ и другие проекты.
А на этой неделе у меня случился прям камбек — я вернулся в школу, где учился девять лет назад. Мы с ребятами пришли туда рассказать про кибергигиену. И знаете, я встретил свою бывшую учительницу географии. Именно благодаря её занятиям, где она учила нас запоминать карты и особенности местности, я когда-то научился решать таски по геоосинту. Был дико рад увидеть её — бодрую, энергичную, всё такую же.
Иногда поражаешься, как маленькая, но сделанная с душой работа через годы “стреляет” и возвращается к тебе в виде чужих достижений, вдохновения и даже случайных встреч.
Почти три года назад мы с друзьями вели курс «Основы ИБ» — по сути, учили школьников базовым вещам из мира CTF.
И вот, спустя три года, я начинаю узнавать, кем стали те ребята. Кто-то сегодня выигрывает реальные CTF , кто-то поступил в топовые вузы на направление информационной безопасности, а кто-то уже мр-ы в OS заливает только так...
Смотреть, как они выросли — невероятно приятно. Ты понимаешь, что твои усилия реально отразились в чьих-то результатах. Я-то сам уже особо в CTF не играю, но мои ученики продолжают — и это, если честно, лучшая мотивация не забивать на идеи и ценности, которые я стараюсь нести в ШИФТ и другие проекты.
А на этой неделе у меня случился прям камбек — я вернулся в школу, где учился девять лет назад. Мы с ребятами пришли туда рассказать про кибергигиену. И знаете, я встретил свою бывшую учительницу географии. Именно благодаря её занятиям, где она учила нас запоминать карты и особенности местности, я когда-то научился решать таски по геоосинту. Был дико рад увидеть её — бодрую, энергичную, всё такую же.
Иногда поражаешься, как маленькая, но сделанная с душой работа через годы “стреляет” и возвращается к тебе в виде чужих достижений, вдохновения и даже случайных встреч.
❤27💯7👍5
Media is too big
VIEW IN TELEGRAM
Почему мало постов? Потому что я пишу одну приколюху 🛠️
Это Mobile Auto Pentest 📱🔐
Хочу собрать «мобильную ферму» из устройств разных вендоров, чтобы к ней можно было подключиться из веба, а не передавать девасы физически. Плюс, чтобы тестировщики могли закрывать часть кейсов без постоянного пинга AppSec 🧪
Сейчас функционал минимальный и багов хватает, но я уже гоняю это в RL тестах. Возможно когда оно будет менее костыльное выложу на github.
Это Mobile Auto Pentest 📱🔐
Хочу собрать «мобильную ферму» из устройств разных вендоров, чтобы к ней можно было подключиться из веба, а не передавать девасы физически. Плюс, чтобы тестировщики могли закрывать часть кейсов без постоянного пинга AppSec 🧪
Сейчас функционал минимальный и багов хватает, но я уже гоняю это в RL тестах. Возможно когда оно будет менее костыльное выложу на github.
🔥15❤7🫡3
GrapheneOS, похоже, выходит за рамки Pixel — ура! 🎉
Среди Android-производителей ещё есть те, кто ставит на первое место приватность и свободу выбора пользователя.
Я рад что не все производители наплевали на выбор пользователей в сторону кастомых прошивок.
Подробнее: https://www.androidauthority.com/graphene-os-major-android-oem-partnership-3606853/
Среди Android-производителей ещё есть те, кто ставит на первое место приватность и свободу выбора пользователя.
Я рад что не все производители наплевали на выбор пользователей в сторону кастомых прошивок.
Подробнее: https://www.androidauthority.com/graphene-os-major-android-oem-partnership-3606853/
Android Authority
GrapheneOS is finally ready to break free from Pixels, and it may never look back
The makers of GrapheneOS have confirmed they are partnering with a major Android OEM to bring the OS to Snapdragon-powered flagships.
💯4
Forwarded from RE:MAZE
Подборка Android-эмуляторов
Не всегда есть возможность держать зоопарк устройств, и для целей анализа приложений часто хороший компромиссный вариант - использовать эмулятор. Но идеального эмулятора не существует, поэтому в этой подборке мы собрали популярные варианты под различные задачи.
Android Emulator (AVD / SDK)
Win / macOS / Linux
Официальный эмулятор от Google. Подходит для отладки, работы с Frida, тестов под разные версии Android.
✅ Бесплатный, гибкий, с поддержкой Play Services.
❌ Иногда нестабилен при работе с Magisk/Frida.
Genymotion Desktop
Win / macOS / Linux
Известен хорошей производительностью и UI. Подходит для UI/UX тестов, частично для анализа поведения.
✅ Лёгкий, кастомные образы.
❌ Сложно работать с Frida из-за SELinux, root доступ не всегда стабильный.
Waydroid
Linux only
Запускает Android поверх Linux как контейнер. Подходит для анализа поведения, интеграции с Linux-средой.
✅ Почти нативная скорость, доступ к ADB.
❌ Только для Linux, не всегда стабилен, требует конфигов.
Anbox
Linux only
Контейнеризированный Android на базе LXC. Подходит для специфических кейсов, интеграции с Linux.
✅ Open Source, легко кастомизировать.
❌ Стареет, нет Google Play, ограниченная поддержка.
MEmu / LDPlayer / BlueStacks
Windows only
Популярны в гейм-сообществе, но можно и для реверса. Подходит для анализа пользовательского поведения, обходов антиэмуляторных чеков.
✅ Просты в установке.
❌ Часто с рекламой, root эмуляция нестабильна. Только Win.
Знаете еще полезные эмуляторы? Пишите в комментах!
Не всегда есть возможность держать зоопарк устройств, и для целей анализа приложений часто хороший компромиссный вариант - использовать эмулятор. Но идеального эмулятора не существует, поэтому в этой подборке мы собрали популярные варианты под различные задачи.
Android Emulator (AVD / SDK)
Win / macOS / Linux
Официальный эмулятор от Google. Подходит для отладки, работы с Frida, тестов под разные версии Android.
✅ Бесплатный, гибкий, с поддержкой Play Services.
❌ Иногда нестабилен при работе с Magisk/Frida.
Genymotion Desktop
Win / macOS / Linux
Известен хорошей производительностью и UI. Подходит для UI/UX тестов, частично для анализа поведения.
✅ Лёгкий, кастомные образы.
❌ Сложно работать с Frida из-за SELinux, root доступ не всегда стабильный.
Waydroid
Linux only
Запускает Android поверх Linux как контейнер. Подходит для анализа поведения, интеграции с Linux-средой.
✅ Почти нативная скорость, доступ к ADB.
❌ Только для Linux, не всегда стабилен, требует конфигов.
Anbox
Linux only
Контейнеризированный Android на базе LXC. Подходит для специфических кейсов, интеграции с Linux.
✅ Open Source, легко кастомизировать.
❌ Стареет, нет Google Play, ограниченная поддержка.
MEmu / LDPlayer / BlueStacks
Windows only
Популярны в гейм-сообществе, но можно и для реверса. Подходит для анализа пользовательского поведения, обходов антиэмуляторных чеков.
✅ Просты в установке.
❌ Часто с рекламой, root эмуляция нестабильна. Только Win.
Знаете еще полезные эмуляторы? Пишите в комментах!
❤7👍4✍3
AppSec и ИИ
По совету коллег прочитал статью про эксперимент с ИИ в AppSec: https://srajangupta.substack.com/p/building-an-ai-appsec-team
🧪
Идея перспективная, но, на мой взгляд, пока слабо масштабируется на большие кодовые базы и потоки проблем. Я сам пользуюсь Codex от OpenAI для написания инструментов — помогает, но ошибается и не умеет сам проверить собственные выводы.
Полностью заменить человека принципом «встроили ИИ и готово» не получится. Нужен человек в роли смотрящего: контролировать результаты, отделять галлюцинации от фактов, принимать решения. 🤖🧑💻
ИИ ускоряет рутину и черновую разработку, но не снимает ответственности за анализ того, что он сгенерировал. Коротко: ИИ — не автопилот, а просто крутой инструмент.
И отсюда важное следствие: от человека, который управляет ИИ, теперь требуется выше экспертиза и шире кругозор — чтобы проверять, адекватно ли решение, видеть риски заранее и понимать, не превратится ли этот кусок кода или идея в источник проблем в будущем.
По совету коллег прочитал статью про эксперимент с ИИ в AppSec: https://srajangupta.substack.com/p/building-an-ai-appsec-team
🧪
Идея перспективная, но, на мой взгляд, пока слабо масштабируется на большие кодовые базы и потоки проблем. Я сам пользуюсь Codex от OpenAI для написания инструментов — помогает, но ошибается и не умеет сам проверить собственные выводы.
Полностью заменить человека принципом «встроили ИИ и готово» не получится. Нужен человек в роли смотрящего: контролировать результаты, отделять галлюцинации от фактов, принимать решения. 🤖🧑💻
ИИ ускоряет рутину и черновую разработку, но не снимает ответственности за анализ того, что он сгенерировал. Коротко: ИИ — не автопилот, а просто крутой инструмент.
И отсюда важное следствие: от человека, который управляет ИИ, теперь требуется выше экспертиза и шире кругозор — чтобы проверять, адекватно ли решение, видеть риски заранее и понимать, не превратится ли этот кусок кода или идея в источник проблем в будущем.
Substack
Building an AI AppSec Team
The New Cybersecurity Heroes
👍4❤2
Грех не рассказывать про локальную встречу мобильщиков в Томске :)
Можно всегда придти за безопасность спросить 😁
Можно всегда придти за безопасность спросить 😁
❤3
Forwarded from Симон Франциско
Приглашаем всех на очередную встречу. Послушаем два доклада от мобильных разработчиков из Т-Технологий.
▼ Что будет:
Александр Таганов, ведущий Android-разработчик, расскажет:
⁃ как слепое следование лучшим практикам может привести к проблемам;
⁃ как работает главный поток и чем он еще занят;
⁃ в чем разница диспетчеров корутин;
⁃ когда и какой диспетчер использовать.
Антон Вайтулевич, старший Android-разработчик, разберет:
⁃ почему Robolectric можно использовать не только для тестирования отдельных классов и экранов, но и приложения целиком;
⁃ как настроить Robolectric так, чтобы запускать реалистичные тесты end-to-end, которые проверяют навигацию, работу в фоне и даже взаимодействие с ОС;
⁃ как сделать скриншот-тесты без запуска эмулятора.
▼ Когда: 01.11.25 (суббота) в 18:30
▼ Где: Офис Т-Банк, ул Советская, д.78, этаж 4
Пройди регистрацию, чтобы мы знали, кого ждать 🖇️ https://l.tbank.ru/mobtsk
В конце программы будет нетворкинг, чтобы обменяться опытом, пообщаться с коллегами из индустрии и просто приятно провести время с комьюнити.
Присоединиться к сообществу в Томске можно в группе сообщества
Mobile Broadcast | Томск
#анонс #Томск
▼ Что будет:
Александр Таганов, ведущий Android-разработчик, расскажет:
⁃ как слепое следование лучшим практикам может привести к проблемам;
⁃ как работает главный поток и чем он еще занят;
⁃ в чем разница диспетчеров корутин;
⁃ когда и какой диспетчер использовать.
Антон Вайтулевич, старший Android-разработчик, разберет:
⁃ почему Robolectric можно использовать не только для тестирования отдельных классов и экранов, но и приложения целиком;
⁃ как настроить Robolectric так, чтобы запускать реалистичные тесты end-to-end, которые проверяют навигацию, работу в фоне и даже взаимодействие с ОС;
⁃ как сделать скриншот-тесты без запуска эмулятора.
▼ Когда: 01.11.25 (суббота) в 18:30
▼ Где: Офис Т-Банк, ул Советская, д.78, этаж 4
Пройди регистрацию, чтобы мы знали, кого ждать 🖇️ https://l.tbank.ru/mobtsk
В конце программы будет нетворкинг, чтобы обменяться опытом, пообщаться с коллегами из индустрии и просто приятно провести время с комьюнити.
Присоединиться к сообществу в Томске можно в группе сообщества
Mobile Broadcast | Томск
#анонс #Томск
❤5