Обложка канала

Mobile AppSec World

Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое.

Mobile AppSec World

3 года назад
Открыть в
Samsung под прицелом Последнее время почему-то достаточно много вещей находят именно в Самсунгах или их предустановленных приложениях. Как пример, недавняя новость о том, что на всех устройствах Samsung можно получить рутовый shell. Эксплойт доступен даже с исходниками и пошаговым описанием, что необходимо сделать. И вторая статья про две CVE в магазине приложений Galaxy App Store, которые позволяют устанавливать приложения без ведома пользователя и выполнить произвольный JS-код (а по факту открыть почти любую страницу). Первая уязвимость заключается в некорректной обработке Intent, отправить который может любое приложение и "попросить" Galaxy App Store установить и открыть любое приложение, которое в нем есть. Вторая бага это классическая уязвимость обхода проверки URL, который приходит в WebView из deeplink, а именно проверка его при помощи метода contains(). Почему-то именно его я очень часто встречаю при анализе приложений (особенно в последнее время). Владельцы Самсунгов, будьте бдительны и обновляйте свои приложения как можно быстрее (немного позже будет еще более понятно почему). 😄 #samsung #cve #vulnerability
System Shell Exploit - ALL Samsung Mobile Devices NO BL UNLOCK...

THIS IS ACTIVELY IN DEVELOPMENT - Our goal is to make it more user friendly. and easier to use, so please note things will change and updates will come at any given time, and there is almost...

XDA Forums