Обложка канала

Mobile AppSec World

Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое.

  • Mobile AppSec World

    И действительно! Прокрастинаторам( как я) посвящается). Как правило, на последней неделе или в последние дни приходит больше всего заявок. Надеюсь, так будет и в этот раз :) Присылайте свои идеи, доклады, исследования, делитесь своим опытом, это правда важно. И то, что вам кажется совсем обычным и обыденным, для кого-то может быть очень даже интересным! Так что не стесняйтесь, мы ждем вас :)
  • Mobile AppSec World

    ®️ Еще неделю принимаем заявки на CFP Если вы все это время думали, стоит выступать с докладом на OFFZONE или нет, ответственно заявляем: стоит! Присылайте заявки на основной трек и AppSec.Zone до 17 июля.
  • Mobile AppSec World

    Android SeLinux Internals Очень грамотная и очень полезная статья про устройство SeLinux в Android, для чего он нужен, как устроен, как обойти его ограничения для каких-либо процессов и многое другое. Статья наполнена практическими примерами, примерами команд и другими полезными вещами. Очень рекомендую всем, кто хочет глубже понимать внутреннее устройство Android и его модель безопасности, но не хочет читать монументальных книг. Тем более, что намного проще что-то сломать, если понимаешь, как это работает. Вообще, у ребят в последнее время выходит крайне качественный контент по мобильной безопасности, прям приятно почитать и узнать что-то новое. Ну и так как это первая часть статьи, с нетерпением ждем вторую часть :) #android #selinux
    Android SELinux Internals Part I | 8kSec Blogs

    This is part I of a 2 part series on Android SELinux Internals where we will do a deepdive into the world of SELinux on Android and understand its inner workings, along with its functionalities and benefits. We'll discuss how SELinux provides security on Android devices and ways to bypass it. This is going to

    New - 8ksec is a cybersecurity research & training company. We provide high-quality training & consulting services.
  • Реклама

  • Mobile AppSec World

    Встретимся на Russian Tech Week! Всем привет! 28-29 июня я буду выступать на конференции - TECH WEEK 2023 @russiantechweek. Тема доклада будет достаточно веселой: «Как разработать мобильное приложение и потерять все». Хоть времени на выступление и немного, но я обязательно сделаю доклад интересным))) Еще у нас будет стенд, если есть желание пообщаться, подходите и поболтаем за безопасность мобильных приложений и не только) Если вы хотели попасть на это мероприятие, но еще не купили билеты, есть возможность получить их со скидкой 20% по коду – SHABALIN. Для активации скидки нужно оставить заявку по ссылке и потом указать промокод. #techweek #conf
  • Mobile AppSec World

    А вот это очень дельный и интересный совет!
  • Mobile AppSec World

    Если для эксплуатации уязвимости нужно передать Parcelable класс в intent-е, то есть пара способов это сделать. Представим, что activity ожидает модель User, которая лежит в пакете com.myapp.xxx. Можно создать в эксплойте такую же структуру пакетов, и класс с таким же названием и необходимыми полями. Чтобы не писать реализацию сериализации руками, то можно воспользоваться плагином и добавить к созданному классу аннотацию @Parcelize. Но иногда классы бывают сложными или их требуется несколько сразу. В этом случае проще взять из целевого приложения .dex файлы с этими классами, положить их в assets и работать с ними через DexClassLoader. Пример здесь. #aht
  • Mobile AppSec World

    Разрешения в Android Вдохновлённые одной из статей Oversecured про типичные ошибки в разрешениях, которые присутствуют при разработке приложений мы решили собрать чек-лист чуть побольше и дать немного больше описания и теории всем, кто хотел бы узнать что-то новое или освежить воспоминания об этом инструменте. По итогу родилась статья на Хабр. Прошу вашего внимания и, надеюсь, что информация окажется полезной! Всем приятного чтения и хорошего настроения! #habr #android #permissions
    Permissions в Android: как не допустить ошибок при разработке

    Всем привет! На связи Юрий Шабалин, ведущий архитектор Swordfish Security и генеральный директор Стингрей Технолоджиз. Эта статья написана в соавторстве с Android-разработчиком Веселиной Зацепиной (...

    Хабр
  • Mobile AppSec World

    Когда охотник становится жертвой На первом OFFZONE мои коллеги читали классный доклад именно с таким названием (очень рекомендую посмотреть), когда мы атаковали внутренние HR-системы, разместив пейлоады в резюме на HeadHunter. Было очень весело! Но сегодня не об этом, а об атаках на привилегированные приложения на вашем устройстве. И, как показывает практика, наибольшее количество Permissions у..... барабанная дробь.... антивирусов! Да, именно они для анализа вашего устройства требуют каких-то непомерных разрешений. И конечно, уязвимости в них могут быть очень лакомым кусочком для злоумышленника. Взять, к примеру приложение McAfee Security: Antivirus VPN, которое запрашивало более 70-ти разрешений! Куда ему столько🙃 И вот исследование только одной, главной Activity, позволяет запускать произвольные компоненты приложения с произвольными данными. Например, можно позвонить на любой номер… Или сколько всего еще возможно, учитывая богатый функционал и огромное количество разрешений. И даже ребята Pic сделали и видео 😃 Статья сделана по всем канонам, сначала теория, про андроид-приложения, про разрешения, про интенты и потом уже непосредственно анализ и результаты. Все весьма последовательно, по делу и приятно читать. Ну и конечно, отсылки к предыдущим исследованиям тоже радуют) Тут как обычно, сапожник без сапог. И меня всегда интересовал вопрос, а проверяют ли сканеры исходного кода свой собственный код? Или как у них это устроено вообще?) Всем отличной пятницы и приятного вечера! #android #vulnerabilities #antivirus #mcafee
  • Mobile AppSec World

    Как подготовить устройство для анализа Android-приложений У каждого свой путь и своя удобная среда для тестирования. У кого-то это несколько эмуляторов, у кого-то физические устройства, у кого-то и то и другое. Лично у меня это несколько девайсов(было 🥲) и несколько эмуляторов с настроенными для моего окружения тулами и конфигами. Для тех, кто начинает свой путь или для тех, кому нужно что-то восстановить, есть несколько гайдов по настройке окружения. Часто они повторяют друг-друга, но из каждого можно выцепить что-то интересное и полезное. Вот некоторые из последних, попавшихся мне на глаза и более-менее достойных: ⁃ номер один нацелен на подготовку физических устройств ⁃ номер два рассказывает больше про эмуляторы. Во многом они пересекаются, но у каждого есть свои особенности. Надеюсь эта информация будет полезна тем, кто хочет подготовить себя к анализу мобильных приложений. #setup #environment #android
    Start to Finish: Configuring an Android Phone for Pentesting - Black Hills Information Security

    Jeff Barbi // *Guest Post Background Unless you’re pentesting mobile apps consistently, it’s easy for your methodologies to fall out of date. Each new version of Android brings with it […]

    Black Hills Information Security
  • Mobile AppSec World

    И еще немного про IoT Пора, конечно, заканчивать с этой темой, но мимо этого я не смог пройти. Уязвимость в очках со встроенной камерой, позволяла перехватывать передаваемые в мобильное приложение видео. То есть и получать контент, который сняли очки и заменять видео на свое в приложении. Прям идеальный сценарий для какого-нибудь фильма про хакеров. Да, для этой атаки нужно много условий, но сам факт интересен. И входная точка и в целом возможность такого хака это недостатки в мобильном приложении, связанные с пиннингом, проверкой сертификатов и прочими вещами. Что еще интересно в этой статье это способ поднятия вполне рабочего окружения для ARP Poising и перенаправления трафика на нужный прокси сервер. Правда, насколько я помню, в своё время Google glasses запретили из-за нарушения приватности окружающих людей. Разве что-то изменилось за последнее время? Иначе как пропустили такое чудо от весьма известного бренда? В общем, это весьма весело в любом случае) Ну и моя любимая шутка про очки: “Java programmers wear glasses, because they don’t C#” 🤓 #iot #glasses #mitm
  • Mobile AppSec World

    Если хочется инструментировать приложения сразу несколькими Frida-скриптами, но при этом не хочется сливать их в один файл, то можно воспользоваться таким трюком: сначала запустить скрипт требующий ранней инструментации, например c отключением пиннинга, а потом, подключить другой скрипт к уже запущенному приложению. Сделать это можно так:
    frida -Uf com.my.app -l unpinning.js # Отлючаем пиннинг (ранняя инструментация)
    
    frida -UF -l fsmonitor.js # Запуск скрипта для текущего активного приложения
    
    #aht
  • Mobile AppSec World

    Заметки по работе с Frida от Android Guards Как по мне, удобнее работать через exports в питоне, но такой подход тоже достаточно неплох, если нужно что-то быстро сделать и не заморачиваться с компиляцией. Спасибо @OxFi5t
  • Mobile AppSec World

    И снова конкурс на Mobius 2023 Spring! Всем привет! Как многие из вас знают, совсем скоро (12-13 и 19-20 мая) пройдет конференция Mobius, посвященная мобильным приложениям. В этот раз мне повезло быть спикером и выступить в "главной студии" с докладом про мифы и легенды о безопасности мобильных приложений с примерами реальных уязвимостей, что мы находили в процессе своей работы. В связи с этим я бы хотел разыграть билет на это мероприятие. Задание конкурса заключается в следующем: Напишите в комментариях к этому посту с тэгом #mobius2023, где вы находите и отслеживаете информацию о новых уязвимостях, атаках, инструментах анализа и подходов к тестированию и прочим интересным штукам. Это может быть любые материалы, люди, rss, TG-каналы и прочее. По количеству участников посмотрим, либо выберу сам, либо великий рандом мне поможет, если не смогу определиться 😁 Так как задание не самое сложное и мероприятие уже близко, итоги конкурса подведем в пятницу перед майскими праздниками. Плюс, анонсирую небольшой бонус тем, кто захочет все-таки купить билет. Так что не стесняйтесь, накидывайте, составим небольшую карту полезных ресурсов, думаю, что будет интересно! До пятницы! #mobius #конкурс #анонс
    Доклад Мифы и легенды о безопасности мобильных приложений — Mobius 2023 Spring. Конференция для мобильных разработчиков

    Юрий объяснит, почему важно уделять внимание безопасности всех составляющих сервисов, а в особенности — мобильным приложениям. В докладе есть бизнес-часть (про публикации, проверки магазинами приложений, риски взлома приложений) и чисто техническая часть (про песочницы приложений, шифрование, мифы про Flutter и другое). Теория, как обычно, закреплена практикой и примерами реальных уязвимостей и недостатков приложений.

    Mobius 2023 Spring. Конференция для мобильных разработчиков
  • Mobile AppSec World

    Митап сегодня Всем привет! Уже в трансляции вебинар, на котором немного расскажу про типовые уязвимости, с которыми мы сталкивались за прошлый год. К сожалению, не успею рассказать, все, что хотелось, но надеюсь на вторую серию :) Присоединяйтесь!
    CyberCamp MeetUp. DevSecOps

    DevSecOps как бездонный океан: охватывает множество направлений, подходов и практик. На митапе вас ждет незабываемое приключение! Наше плавание начнется с обзорной экскурсии по DevSecOps. Пришвартуемся на острове композиционного анализа. Пройдем между Сциллой и Харибдой защиты контейнеров и мобильных приложений, а затем отправимся исследовать другие направления DevSecOps. Вас ждут шесть докладов от инженеров и разработчиков решений по DevSecOps, три практических задания на платформе киберучений и подарки для тех, кто справится с ними лучше всех. Программа: 11:00 Приветственное слово ведущих 11:10 – 11:50 Путь самурая: фреймворк безопасной разработки Кирилл Бочкарев, архитектор инфраструктуры информационной безопасности, «Инфосистемы Джет» 11:50 – 12:35 Мифы и факты о цепочке поставки программного обеспечения Алексей Смирнов, основатель CodeScoring, Profiscope 12:35 – 12:45 Перерыв 12:45 – 13:35 Актуальные уязвимости в мобильных приложениях в 2022 году Юрий Шабалин, генеральный директор Стингрей Технолоджиз, ведущий архитектор Swordfish 13:35 – 14:10 Введение во взлом веб-приложений. Как создать безопасное ПО Данил Кокорин, веб-разработчик отдела заказной разработки, «Инфосистемы Джет» 14:10 – 14:20 Перерыв 14:20 – 15:10 Классификация и систематизация средств безопасности для Kubernetes Дмитрий Евдокимов, Founder&CTO, Luntry 15:10 – 15:50 Опыт построения AppSec-процессов в крупных корпорациях Алина Князева, руководитель направления AppSec Дзена, VK 15:50 Завершение митапа

    YouTube
  • Mobile AppSec World

    Перехват трафика в Android Сколько вопросов, столько и гайдов по тому, как же все-таки осуществить перехват трафика приложения в Android… Да что там, я и сам недавно гуглил, как завернуть трафик эмулятора через прокси в новом интерфейсе Android Studio :) А вот и еще одна статья по данной тематике, но, честно говоря мне почему-то она очень понравилась. Или контент или оформление в виде инструкции по шагам, или использование HTTP Toolkit в качестве VPN/прокси, но я решил о ней написать. Плюс, для начинающих, если заглянуть в список репозиториев, то можно лучше понять, как работать со студией и эмуляторами, что тоже немаловажно. В общем, пользуйтесь, если кто не знал или никогда не смотрел в сторону заворачивания трафика через VPN. И хороших вам всем выходных! #android. #pinning #proxy
    GitHub - LabCIF-Tutorials/Tutorial-AndroidNetworkInterception: How to intercept network trafic on Android

    How to intercept network trafic on Android. Contribute to LabCIF-Tutorials/Tutorial-AndroidNetworkInterception development by creating an account on GitHub.

    GitHub
  • Реклама

  • Mobile AppSec World

    Все на борт! Открываем регистрацию на митап CyberCamp с самой "морской" атмосферой — DevSecOps🌊 20 апреля c 11:00 МСК будем разбирать направления, подходы и практики безопасной разработки. В программе: 🛟 Путь самурая: фреймворк безопасной разработки Кирилл Бочкарев, "Инфосистемы Джет" 🛟 Мифы и факты о цепочке поставки программного обеспечения Леша Смирнов, CodeScoring 🛟 Актуальные уязвимости в мобильных приложениях в 2022 году Юра Шабалин, "Стингрей Технолоджиз" 🛟 Введение во взлом веб-приложений. Как создать безопасное ПО Данил Кокорин, "Инфосистемы Джет" 🛟 Классификация и систематизация средств безопасности для Kubernetes Дима Евдокимов, Luntry 🛟Опыт построения AppSec-процессов в крупных корпорациях Алина Князева, VK а также три традиционных практических задания на платформе киберучений. Попутного ветра! 🌅
  • Mobile AppSec World

    Всем привет! Весьма скоро буду выступать на конференции с темой про наиболее часто встречающиеся уязвимости в мобильных приложениях, которые мы встречали в 2022 году и на что обращать внимание при их поиске. Присоединяйтесь, постараюсь сделать доклад интересным и веселым :)
  • Mobile AppSec World

    Включение Frida в сборки iOS в TestFlight Что делать, если jailbreak-устройства нет под рукой или они запрещены доя использования в компании (ну мало ли), а проверять приложения при помощи Frida очень хочется. Тут можно пойти несколькими путями, первый это тестирование на М1, на котором можно запустить любые iOS-приложения и цепляться к ним при помощи Frida. Второй подход описан в статье и весьма интересен, это включение Frida gadget в сборку вашего приложения. Автор описывает, как сделать так, чтобы сборка с либой Frida прошла через проверку AppStore Connect и появилась в TestFlight! Весьма необычный кейс, на мой взгляд. Главное - из релизной сборки не забыть исключить))) #ios #frida #testflight
    Embedding Frida in iOS TestFlight Apps

    Wireless and firmware hacking, PhD life, Technology

    Blogspot