Похоже доклады с подлодки послушаем😄
Ещё может быть и тут что-нибудь обсудим😁
Спасибо @iwillpicknicknamelater

Билет на подлодку уходит к @sib_coder , поздравляю!

Всем спасибо за идеи постов, учту их, когда будет время что-то написать.

P.S.
Как только доклад окажется в паблике, опубликую ссылку сюда

К вопросу что за подлодка

В iOS-безопасности нет «поставил и забыл»: инструменты и атаки меняются быстрее релизов.

Если сомневаетесь, что на клиенте всё прикрыто, новый сезон конференции Podlodka iOS Crew 22-26 сентября поможет закрыть дыры.

В программе:

• Региональные ограничения и поведение устройства. Как iPhone определяет доступные фичи для страны, что проверять и как воспроизводить это на практике — со Светославом Карасевым (hh ru).

• Обфускация в iOS. Какие подходы реально мешают реверсу, какие инструменты выбрать и как собрать свой пайплайн на SwiftSyntax — с Павлом Каретниковым (Газпромбанк).

• AppSec для iOS. От ландшафта атак до хранения данных и сети — практики, ошибки и советы, как внедрять безопасную разработку в командах разного размера.

• Финальный разбор мини-CTF. Неделю собираем флаги, в пятницу — разбор находок и выводы для прода — с Никитой Красновым (Альфа-Банк).

🔗 Подробности и регистрация

Не устанавливай 17-ю фриду пока не прочитаешь этот пост 😅

Ну а если без шуток, то в посте разбираю как починить биндинги питона и хуки на JS. Надеюсь эта информация кому-то сэкономит время.

Медуза в элюминаторе — небольшие заметки с подлодки 🚢

Подлодка потихоньку приносит плоды. Конференция оказалась вполне годной. Я кстати решил не играть в CTF, а реально послушать что рассказывают(лень в отпуске что-то ковырять)
Не так много необычных находок, но кое-что стоит отметить — например, Medusa 🐙

По-моему, — красивая и более современная оболочка над Frida скриптами. По сравнению с objection она выглядит свежее и заметно активнее обновляется. Поскольку objection понемногу уходит в прошлое, думаю стоит начать переход на Medusa в рабочих задачах.

Но признаюсь — я тот самый вредный дед: иногда всё ещё использую

frida --codeshare

Иногда ко мне приходят к вопросом , а что ты там глобально на работе делаешь. Вот ответ на все вопросы в одной статье https://habr.com/ru/companies/vk/articles/694522/

Подпиши APK по братски

Многие волнуются из-за новых правил распространения приложений от Google и переживают, что это усложнит пентесты мобильных приложений.
Но, судя по этому посту, изменений для нас нет: через ADB приложения по-прежнему будут устанавливаться без проблем.

Единственное, что усложнится — обычным пользователям станет труднее ставить APK, подписанные непонятно кем.
Злоумышленники, конечно, могут наклепать аккаунтов разработчиков и глобально на ситуацию внедрение подписи не изменит.

Продолжаем просто наблюдать за ситуацией, ну и в бетта-тест "супербезопасной" фичи записываемся

В опасные времена живём...
Атаки на цепочку поставок в мире кнопочных телефонов ...

💡 Вклад в будущее

Почти три года назад мы с друзьями вели курс «Основы ИБ» — по сути, учили школьников базовым вещам из мира CTF.

И вот, спустя три года, я начинаю узнавать, кем стали те ребята. Кто-то сегодня выигрывает реальные CTF , кто-то поступил в топовые вузы на направление информационной безопасности, а кто-то уже мр-ы в OS заливает только так...

Смотреть, как они выросли — невероятно приятно. Ты понимаешь, что твои усилия реально отразились в чьих-то результатах. Я-то сам уже особо в CTF не играю, но мои ученики продолжают — и это, если честно, лучшая мотивация не забивать на идеи и ценности, которые я стараюсь нести в ШИФТ и другие проекты.

А на этой неделе у меня случился прям камбек — я вернулся в школу, где учился девять лет назад. Мы с ребятами пришли туда рассказать про кибергигиену. И знаете, я встретил свою бывшую учительницу географии. Именно благодаря её занятиям, где она учила нас запоминать карты и особенности местности, я когда-то научился решать таски по геоосинту. Был дико рад увидеть её — бодрую, энергичную, всё такую же.

Иногда поражаешься, как маленькая, но сделанная с душой работа через годы “стреляет” и возвращается к тебе в виде чужих достижений, вдохновения и даже случайных встреч.

Почему мало постов? Потому что я пишу одну приколюху 🛠️
Это Mobile Auto Pentest 📱🔐
Хочу собрать «мобильную ферму» из устройств разных вендоров, чтобы к ней можно было подключиться из веба, а не передавать девасы физически. Плюс, чтобы тестировщики могли закрывать часть кейсов без постоянного пинга AppSec 🧪
Сейчас функционал минимальный и багов хватает, но я уже гоняю это в RL тестах. Возможно когда оно будет менее костыльное выложу на github.

GrapheneOS, похоже, выходит за рамки Pixel — ура! 🎉
Среди Android-производителей ещё есть те, кто ставит на первое место приватность и свободу выбора пользователя.
Я рад что не все производители наплевали на выбор пользователей в сторону кастомых прошивок.
Подробнее: https://www.androidauthority.com/graphene-os-major-android-oem-partnership-3606853/

Подборка Android-эмуляторов

Не всегда есть возможность держать зоопарк устройств, и для целей анализа приложений часто хороший компромиссный вариант - использовать эмулятор. Но идеального эмулятора не существует, поэтому в этой подборке мы собрали популярные варианты под различные задачи.

Android Emulator (AVD / SDK)
Win / macOS / Linux
Официальный эмулятор от Google. Подходит для отладки, работы с Frida, тестов под разные версии Android.
✅ Бесплатный, гибкий, с поддержкой Play Services.
❌ Иногда нестабилен при работе с Magisk/Frida.

Genymotion Desktop
Win / macOS / Linux
Известен хорошей производительностью и UI. Подходит для UI/UX тестов, частично для анализа поведения.
✅ Лёгкий, кастомные образы.
❌ Сложно работать с Frida из-за SELinux, root доступ не всегда стабильный.

Waydroid
Linux only
Запускает Android поверх Linux как контейнер. Подходит для анализа поведения, интеграции с Linux-средой.
✅ Почти нативная скорость, доступ к ADB.
❌ Только для Linux, не всегда стабилен, требует конфигов.

Anbox
Linux only
Контейнеризированный Android на базе LXC. Подходит для специфических кейсов, интеграции с Linux.
✅ Open Source, легко кастомизировать.
❌ Стареет, нет Google Play, ограниченная поддержка.

MEmu / LDPlayer / BlueStacks
Windows only
Популярны в гейм-сообществе, но можно и для реверса. Подходит для анализа пользовательского поведения, обходов антиэмуляторных чеков.
✅ Просты в установке.
❌ Часто с рекламой, root эмуляция нестабильна. Только Win.

Знаете еще полезные эмуляторы? Пишите в комментах!

Новый тип аттак на приложения 2FA https://www.pixnapping.com/

AppSec и ИИ
По совету коллег прочитал статью про эксперимент с ИИ в AppSec: https://srajangupta.substack.com/p/building-an-ai-appsec-team
🧪

Идея перспективная, но, на мой взгляд, пока слабо масштабируется на большие кодовые базы и потоки проблем. Я сам пользуюсь Codex от OpenAI для написания инструментов — помогает, но ошибается и не умеет сам проверить собственные выводы.

Полностью заменить человека принципом «встроили ИИ и готово» не получится. Нужен человек в роли смотрящего: контролировать результаты, отделять галлюцинации от фактов, принимать решения. 🤖🧑‍💻

ИИ ускоряет рутину и черновую разработку, но не снимает ответственности за анализ того, что он сгенерировал. Коротко: ИИ — не автопилот, а просто крутой инструмент.

И отсюда важное следствие: от человека, который управляет ИИ, теперь требуется выше экспертиза и шире кругозор — чтобы проверять, адекватно ли решение, видеть риски заранее и понимать, не превратится ли этот кусок кода или идея в источник проблем в будущем.

Грех не рассказывать про локальную встречу мобильщиков в Томске :)
Можно всегда придти за безопасность спросить 😁

Как я пытался сделать супер-эмулятор с Magisk и чуть не поседел

Появилась задача — дать небезопасникам доступ к «рутованным» девайсам, но физических телефонов не возможно им доставить.
Подумал: а что если собрать идеальный эмулятор с Magisk и нужными плагинами — и просто поделиться им?

> 💀 Спойлер: идея оказалась не очень.
> Зато теперь я знаю, как более-менее рутовать современные AVD на Apple Silicon.


🧪 Тестовая площадка
Два мака — M2 и M1.
Цель: запустить один и тот же рутованный AVD на обоих.


🪄 Шаг 1. Ставим Magisk

Беру вот это добро 👉 [MagiskOnEmulator](https://github.com/shakalaca/MagiskOnEmulator)

Кладём нужные файлы, следуем инструкции с GitHub
(читайте внимательно — там есть как чинить частые баги)
И вуаля — получаем эмулятор с Magisk и нужными плагинами.

🔁 Шаг 2. Переносим эмулятор

После пары часов шаманства понял, что на деле нужно просто:

1️⃣ Скопировать содержимое:

~/Library/Android/sdk/system-images/android-35

2️⃣ А из ~/.android/avd взять две сущности:

PixelMagiskDone.avd
PixelMagiskDone.ini

> 💡 P.S. Не забудьте поправить пути в конфигурации — иначе эмулятор обидится.

🎉 Шаг 3. Танцы с бубном — и успех

Немного магии, и на втором маке поднимается точно такой же рутованный AVD.

НО! ⚠️ Не все плагины Magisk заработали (у меня, по крайней мере половина и обнаружил я это только в конце 😂).

💭 Вывод

Фиаско, конечно, но опыт — бесценный.
Очередной раз убеждаюсь, что эмуляторы — это боль, а вот веб-доступ к реальным девайсам — спасение.

Наброшу небольшой оффтоп от темы по мобилкам про хранилища сертификатов - я большой сторонник того что системному хранилищу сертов доверять не стоит вообще, причём на любой ОС. Лучше иметь своё хранилище, или же сильно ограничить системное.

И даже более того - я активно пропагандирую, в том числе и своим личным примером, отказываться от большинства сертификатов, которые нам по умолчанию поставляют в ОС, и разные продукты, потому что 80% из них - разный мутный шлак: разные государственные сертификаты, сертификаты мутных конторок, сертификаты контор которые занимаются разработкой DLP систем, сертфикаты ОПСОСов, сертификаты мутных типов которые поставляли решения о точечном перехвате и расшифровке https трафика на лету для правительств по всему миру, разные странные конторы, которые фактически вообще не занимаются инфраструктурой открытых ключей, и т.д.

ВСЕ эти странные ребята имеют возможность перехватывать, расшифровывать и подменять по сути ЛЮБОЙ трафик любого устройства в любой точке на планете, в том числе и ваш. Для меня это не окей. Благо сертификаты из системного хранилища можно отключать на всех ОС (кроме болезной iOS). У меня у самого на компудахтере и телефоне выключено порядка 60-80 процентов всех сертов, и я так отлично живу уже почти 2 года, а для собственных важных селфхостед сервисов у меня свой корневой серт и mtls 🌚

Всем рекомендую задуматься об этом и возможно делать также как я)

Раз вам так понравились мысли Паши) вот вам ещё и видос где он про это всё подробнее рассказывает😁

P.S.> в этот хэллоуин я буду в шапочке из фольги ходить🤩