Обложка канала

Mobile AppSec World. Страница 12

Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое.

  • Mobile AppSec World

    Демо нашего инструмента для динамического анализа мобильных приложений - Stingray Всем привет! Как многие из вас знают, я занимаюсь разработкой инструмента по динамическому анализу мобильных приложений под названием Стингрей. Недавно мы выпустили большое обновление и я подумал, что мне хотелось бы рассказать о том, что наш продукт вообще умеет, как работает и какие проблемы призван решить. В связи с этим вопрос, было бы вам интересно послушать про то, что мы делаем? Предполагается свободный формат, без официальных введений, маркетинга, рекламы и прочего, просто я расскажу про то, чем мы занимаемся каждый день и отвечу на вопросы, если они будут. Ниже прикреплю голосование и если будет интерес, то в ближайшее время проведем небольшое демо/рассказ о наших приключениях и пообщаемся немного за безопасность приложений =) Всех с понедельником и хорошей, продуктивной работы! #demo #stingray #poll
  • Mobile AppSec World

    Статья от OverSecured - Android security checklist: theft of arbitrary files Сегодня прекрасный день на контент, несмотря на то, что выходной. Вышла новая статья от OverSecured, на этот раз про типичные уязвимости при работе с файлами. В статье разобраны основные недостатки приложений, которые позволяют получить доступ к внутренним файлам приложения, которые по моему опыту нередко хранят в себе много интересной информации в открытом виде. Ну и в дополнении, одна из предыдущих статей про уязвимости в WebView дополнилась еще одним пунктом, на который точно стоит обратить внимание. Как обычно (спасибо автору @bagipro за это), статья содержит детальные описания, примеры кода, реальные срабатывания и даже несколько PoC для эксплуатации. Люблю такие статейки. Всем приятного чтения и хороших выходных! #Oversecured #android #files #vulnerability #filestheft
    Android security checklist: theft of arbitrary files

    Developers for Android do a lot of work with files and exchange them with other apps, for example, to get photos, images, or user data.

    News, Techniques & Guides
  • Mobile AppSec World

    Доклады о мобильной безопасности с Positive Hack Days Как вы знаете, на неделе прошла конференция Positive Hack Days и на ней были доклады про безопасность мобильных приложений. Я ещё не все разобрал, но вот парочка достаточно интересных, которые можно посмотреть уже сейчас: - Интервью эксперта о безопасности мобильных приложений Достаточно интересный разговор про безопасность мобилок, текущую ситуацию с магазинами, основные вектора угроз и всякое такое. Послушать, как подкаст вполне. - Уязвимое мобильное приложение AllSafe глазами аналитика Доклад от аналитиков Appscreener (статический анализатор), про уязвимое приложение и разбор нескольких уязвимостей в нем, как искать и как эксплуатировать: * Sql Injection * Arbitrary code execution * Insecure Content Provider А вот и сам код приложения. Что приятно, автор на каждый «флаг» дает ссылки на статьи/репорты о реально найденных подобных багах. По мере просмотра, если найду что-то интересное из докладов, обязательно расскажу :) #phd #video #mobile
  • Реклама

  • Mobile AppSec World

    Митап посвящённый переделке MASVS и MSTG Как я несколько раз уже писал, сейчас идет активная работа над переработкой контента в основных документах OWASP по мобилкам(MSTG и MASVS), чтобы сделать их более привязанными к реальности и взаимодополняющими друг друга, а так же добавить немного автоматизации при работе с ними. И вот, скоро, 18 августа в 18:30 PM (GMT-4) пройдет митап, посвященный текущему статусу переработки, покажут, что получается, расскажут про целевое видение и дальнейшие планы. К сожалению, по Москве это 1:30 ночи 19-го числа. Не думаю, чоо все готовы будут столько ждать, поэтому хочу попробовать записать его и потом выложить куда-то, думаю, что должно быть достаточно интересно. Ну и чтобы не забыть, можно поставить напоминалку или зарегаться у них на сайте и добавить событие в календарь. #owasp #masvs #meetup
    Mobile AppSec World

    Переработка MASVS А тем временем переработка MASVS идет полным ходом, как нам и обещали в конце года. Сейчас в самом разгаре проработка секции CRYPTO, и черновик можно посмотреть вот по этой ссылке Что сказать, многие пункты или убрали или переработали и объединили. Например самый первый пункт теперь объединяет в себе все best practice по реализации шифрования: - not using custom-made crypto. - prefer platform provided crypto APIs (e.g. Apple CryptoKit) - if possible, perform crypto operations inside secure hardware (e.g. iOS SE) - else, consider well-tested & vetted libs: e.g. wolfSSL, boringSSL, openSSL Если раньше это было размазано по нескольким пунктам в качестве отдельных требований, теперь все в одном флаконе. Не уверен, что это позитивно скажется на проверках, но посмотрим, что получится в итоговом документе. В любом случае, приятно, что эти материалы развиваются и модифицируются в форму, в которой их будет удобно применять (надеюсь) #OWASP #MASVS #Creypto

    Telegram
  • Mobile AppSec World

    Пятничные новости Продолжая рубрику "Новости мобильной безопасности" за прошедшие недели - новая подборка! Несмотря на праздники и весьма напряженные дни, контента для выпусков и новостей хватает, так что надеюсь каждый найдет для себя что-то полезное, если не успели прочитать все это в канале. Всем хороших выходных и хорошей пятницы! #habr #news #mobileappsec
    Неделя мобильной безопасности (14 — 20 мая)

    Привет, Хабр!И снова представляю вам самые главные новости из мира безопасности мобильных приложений (с 14 по 20 мая). Несмотря на прошедшую вторую волну праздников, новостей и материалов хватает, -...

    Хабр
  • Mobile AppSec World

    Fuzzing инструмента radare2 в Kubernetes Весьма занятная статья вышла про увеличение скорости фаззинга используя кубер. Автор реализовал (а вернее взял из предыдущего исследования) небольшой блок кода, который рандомно меняет последовательность бит в бинарном файле. После, измененный бинарный файл отправляется в radare2 и отслеживаются падения, то есть, удалось ли обработать файл или нет. Ну и всё это развернуто в кубе и гоняется на каждый релиз. Вообще, несмотря на кажущуюся сложность, статья написана весьма неплохо и читается очень легко. #fuzzing #radare2 #kuber
    Scaling Dumb Fuzzing with Kubernetes

    About The Project The e-zine tmp.out focuses on ELF/Linux related research in a style of Phrack. After reading an article on fuzzing radare2 for 0days in 30 lines of code, I thought it would be a fun weekend project to extend this research, and port their code to a container and deploy it in a Kubernetes cluster. To take it one step further, building fresh releases of the radare2 project’s master branch, and integrating it into a CI/CD pipeline which then deployed container builds to a Kuberentes cluster seemed like an excellent way to really go overboard and just eat away my entire weekend.

    Archcloudlabs
  • Mobile AppSec World

    Смотреть трансляцию Positive Hack Days бесплатно и без смс можно здесь - https://event.phdays.com/ru. Есть удобный фильтр по зонам. Доклады уже идут!
    Positive Hack Days 11 - Independence Эра it’s your choice

    PHDays 11 - крупнейший форум по практической кибербезопасности в России

    Phdays
  • Mobile AppSec World

    Oversecured - бесплатные сканы! Спасибо, @bagipro за возможность посканить разные приложения! Oversecured снова открывает возможность бесплатного сканирования 2-х приложений! Налетай, покупай :) #oversecured #sast
  • Mobile AppSec World

    Итак, Mobius не за горами! Вас ждут три дня докладов, воркшопов, круглых столов и дискуссий обо всем, чем живет мобильная разработка. Конференция пройдет 25–27 мая, на 80% в онлайне, но в этот раз будет еще и offline-день. 22 июня в Санкт-Петербурге соберутся все, кто соскучился по живым выступлениям, дискуссионным зонам и тусовкам. Программа online-части уже полностью готова и ждет вас на сайте. Кстати, не забывайте про промокод maw2022JRGpc, который поможет приобрести персональный билет со скидкой.
  • Mobile AppSec World

    Пора конференций Ну что же, настает пора конференций, phd, offzone и все остальные) Но и конференции для разработчиков тоже не отстают, вот и коллеги из Мобиус выслали промокод для билетов maw2022JRGpc Возможно, кому-то будет интересно :)
  • Mobile AppSec World

    Небольшая заметка про маленький, но противный баг, который периодически встречается в приложениях использующих биометрическую аутентификацию
  • Mobile AppSec World

    Биометрия, как много в этом слове И снова про биометрическую аутентификацию в приложениях и один маленьки нюанс, который точно стоит учитывать при добавлении/анализе биометрии. Отдельное спасибо автору @OxFi5t за готовый frida-скрипт)
  • Mobile AppSec World

    Найти всё, что скрыто. Поиск чувствительной информации в мобильных приложениях Одной из самых трудоемких задач в процессе анализа приложения (по времени так точно) - это поиск неправильно хранящихся чувствительных данных в приложении, понимание, откуда они там появились и где дальше используются. В своей статье я немного рассказал про наши принципы и подходы к такому поиску, поразмышлял на тему того, как найти более сложные кейсы и как это связать воедино. В секции про правильное хранение получилось добавить немного про шифрование и, думаю, в ближайшее время, я сделаю пост про основы шифрования, что нужно знать, чтобы не допустить простых ошибок во время реализации (по аналогии с SSL Pinning). Надеюсь, что этот материал покажется вам интересным и вы сможете что-то нужное подчерпнуть для анализа или для защиты) Всем хорошего понедельника и продуктивной недели! #habr #sensinfo #blog #crypto
    Найти всё, что скрыто. Поиск чувствительной информации в мобильных приложениях

    Привет, Хабр! Многим из вас я уже знаком по предыдущим статьям. Меня зовут Юрий Шабалин. Мы вместе с командой разрабатываем платформу анализа защищенности мобильных приложений. Сегодня я расскажу о...

    Хабр
  • Mobile AppSec World

    Всем любителям Flutter посвящается В последнее время из каждого чата доносится Flutter, Flutter, Stepn Flutter. Вот и исследователю попалось приложение, потенциально похожее на зловредное. А во время анализа выяснилось, что написано оно на платформе Andromo, что на самом деле тот же флаттер. Статья разделена на несколько частей, анализ таких приложений в целом (подходы, инструменты и т.д.). И вторая часть про анализ зловредности. Вообще, достаточно познавательная статейка. Как оказалось в итоге, приложение это не малварь, но что-то мне подсказывает, что в скором времени мы ещё увидим статьи о новых типах зловредов, написанных на Dart.. #malware #flutter #reflutter
    Reversing an Android sample which uses Flutter

    Flutter is a framework able to build multi-platform apps (e.g. iOS and Android) from a single code base. The same source code is able to…

    Medium
  • Mobile AppSec World

    Всё, время вышло :( Кто успел из под впн оформить, молодцы))
  • Реклама

  • Mobile AppSec World

    Курс по Burp Suite (пока бесплатно) Очень часто для работы с перехватом трафика используется очень полезный и мощный инструмент - Burp Suite. Это просто швейцарский нож и его возможности очень велики, как из коробки, так и благодаря различным плагинам и возможности написать свои собственные расширения. Сегодня (ещё 20 часов) цена на 8-часовой курс по Burp бесплатно! Название «BUG BOUNTY HUNTING WITH BURP SUITE» обещает много интересного и полезного материала. Проведите выходные с пользой :) #course #burp Ещё можно
    BUG BOUNTY HUNTING WITH BURP SUITE

    How to Use Burp-Suite Features for better Bug Bounty Hunting. Advanced Burpsuite training course.

    Udemy
  • Mobile AppSec World

    Ещё несколько Frida snippets В одном из чатов подсмотрел полезную заметку по использованию Frida с несколькими примерами, которые могут помочь в работе. Примеры для С, Android и iOS. Их не сильно много и они довольно общие, но в целом, крайне полезные во время анализа приложения и однозначно стоит их поместить в закладки, а лучше сохранить локально. #frida #android #ios
    Frida cheat sheet

    Frida is particularly useful for dynamic analysis on Android/iOS/Windows applications. It allows us to set up hooks on the target functions so that we can inspect/modify the parameters and return value. We can also alter the entire logic of the hooked function. This article shows the most useful code snippets for copy&paste to save time reading the lengthy documentation page.

    Home
  • Mobile AppSec World

    А вот и сам apk от этого прохождения Можно попробовать свои силы)
    Writeups/click_me.apk at master · evyatar9/Writeups

    This repository contains writeups for various CTFs I've participated in (Including Hack The Box). - Writeups/click_me.apk at master · evyatar9/Writeups

    GitHub