Обложка канала

Mobile AppSec World

Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое.

Mobile AppSec World

5 лет назад
Открыть в
Интересный доклад с прошедшего недавно митапа OWASP Melbourne, в котором рассказывается история человека пытающегося обойти экран блокировки путем подбора пин-кода. tl;dr - обошел с помощью NetHunter-а, OTG кабеля и самописного скрипта для брутфорса. Скрипт забирайте здесь. Доклад совершенно ненапряжный и его можно посмотреть просто по фану. Там показано довольно много способов решения этой задачи и не исключено, что те, котрые не сработали у него - сработают у вас. Способы такие: 1. Попробовать руками первые 20 вариантов из списка DataGenetics Research 2. Проверить комбинации важных дат (дни рождения, дни свадьбы, последние 4 цифры номера телефона, слова вроде LOVE,FUCK,etc... в T9 варианте) 3. Использовать Find My Device от Google 4. Использовать Find My Mobile от Samsung (или аналоги от других вендоров) 5. CVE-2015-3860 - крэш экрана блокировки на Samsung. Можно поискать аналоги у других вендоров 6. Использовать ADB чтобы удалить файл с пин-кодом/паттерном /data/system/gesture.key 7. Воспользоваться вот этим списком из еще 7ми способов с форума XDA 8. Попробовать специальные утилиты и устройства для мобильной криминалистики (forensic tools): Cellebrite, Oxygen, XRY, GrayKey, Octoplus, Odin + TWRP 9. Поискать публичные эксплойты 10. Использовать USB Rubber Ducky или аналоги (опционально спаять свой) 999. Выполнить сброс к заводским настройкам Happy hacking 😎