Обложка канала

Mobile AppSec World

Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое.

Mobile AppSec World

3 года назад
Открыть в
Когда охотник становится жертвой На первом OFFZONE мои коллеги читали классный доклад именно с таким названием (очень рекомендую посмотреть), когда мы атаковали внутренние HR-системы, разместив пейлоады в резюме на HeadHunter. Было очень весело! Но сегодня не об этом, а об атаках на привилегированные приложения на вашем устройстве. И, как показывает практика, наибольшее количество Permissions у..... барабанная дробь.... антивирусов! Да, именно они для анализа вашего устройства требуют каких-то непомерных разрешений. И конечно, уязвимости в них могут быть очень лакомым кусочком для злоумышленника. Взять, к примеру приложение McAfee Security: Antivirus VPN, которое запрашивало более 70-ти разрешений! Куда ему столько🙃 И вот исследование только одной, главной Activity, позволяет запускать произвольные компоненты приложения с произвольными данными. Например, можно позвонить на любой номер… Или сколько всего еще возможно, учитывая богатый функционал и огромное количество разрешений. И даже ребята Pic сделали и видео 😃 Статья сделана по всем канонам, сначала теория, про андроид-приложения, про разрешения, про интенты и потом уже непосредственно анализ и результаты. Все весьма последовательно, по делу и приятно читать. Ну и конечно, отсылки к предыдущим исследованиям тоже радуют) Тут как обычно, сапожник без сапог. И меня всегда интересовал вопрос, а проверяют ли сканеры исходного кода свой собственный код? Или как у них это устроено вообще?) Всем отличной пятницы и приятного вечера! #android #vulnerabilities #antivirus #mcafee