Обложка канала

Mobile AppSec World. Страница 13

Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое.

  • Mobile AppSec World

    Writeup по простенькому Android CTF Прохождение достаточно простого CTF на одной из недавних конференций NahamCon2022. Автор описывает принцип работы приложения и решает его при помощи модификации smali-кода, попутно немного объясняя что и как он делает. Небольшой и занятный writeup’чик, можно для эксперимента пройти его не через модификацию smali, а через frida, например. #smali #ctf #wtiteup
    NahamCon CTF 2022 Write-up: Click Me! Android challenge

    NahamSec, John Hammond & few other folks hosted a CTF this weekend. I solved Android challenges, the challenges were really fun. I decided…

    Medium
  • Mobile AppSec World

    Навигация в radare2 Небольшой получасовой экскурс на Youtube в инструмент radare2. Вообще мне почему-то ещё не довелось его попробовать во всей красе, но по крайней мере описание его возможностей и что он умеет внушает уважение. Крайне интересный инструмент для реверса может быть. Учитывая, что у него есть куча плагинов, api и прочих полезных вещей, может поучаствовать и в автоматизации. Для старта советую начать с официальной книги по radare2, где очень многое описано и становится более понятным, как и для чего его использовать. #radare2 #video
    Ethical Hacker Lab 1110: Navigation in Radare2

    Radare2 is the project started as a simple command-line hexadecimal editor focused on forensics.https://github.com/radareorg/radare2 Special BIG THANKS to: Harvard University Online Study | Standford University Online Study | MIT Open Source Ware | Colorado University Online Study | IBM Cyber Security Online Study | Google Online Study | Amazon Web Services | New York University Online Study | Buffalo University Online Study | Prof. Onno W. Purbo (Onno Center) | EC-COUNCIL | Coursera | Edx | Edureka! | Khan Academy | Networkchuck | FreeCodeCamp | W3schools | ...and many more people who have changed my life and been so kindly sharing their knowledge with people around the globe! "All starts from zero. Practice makes perfect. As we go up the road, perfection will come along with."

    YouTube
  • Mobile AppSec World

    Быстрый способ проверить наличие обфускации, тип шифрования apk и различных проверок Очень полезный инструмент для быстрого анализа приложения на наличие обфускации или специального пакера, который зашифровывает dex файлы. Помимо этого может крайне интересен при анализе приложений, так как умеет определять различные методы по защите приложения, такие как проверка на эмулятор, проверка на подключенный дебаггер. списком выводит те проверки, что ему удалось найти: |-> anti_vm : Build.FINGERPRINT check, Build.MANUFACTURER check, Build.MODEL check, Build.PRODUCT check, Build.TAGS check, SIM operator check, device ID check, network operator name check, ro.kernel.qemu check |-> compiler : r8 |-> obfuscator : unreadable field names, unreadable method names То есть, теперь нет необходимости вручную смотреть, какие проверки есть внутри приложения и что нужно подменять, а достаточно запустить простую команду, передать ей на вход имя файла и получить результат. Конечно, инструмент не покрывает всех проверок, но в качестве отправной точки может неплохо помочь. Удачного использования! #android #obfuscation #apk #emulation
    GitHub - rednaga/APKiD: Android Application Identifier for Packers, Protectors, Obfuscators and Oddities - PEiD for Android

    Android Application Identifier for Packers, Protectors, Obfuscators and Oddities - PEiD for Android - GitHub - rednaga/APKiD: Android Application Identifier for Packers, Protectors, Obfuscators and...

    GitHub
  • Реклама

  • Mobile AppSec World

    Архивирование приложений в Android В недавнем сообщении в своем блоге компания Google объявила, что начала работать над новой функцией, которая позволит "архивировать приложения". Архивирование приложения позволит пользователям освободить ~60% от занимаемого дискового пространства, "удалив части приложения, а не удаляя его полностью". Поскольку приложение все еще технически установлено на устройстве, данные приложения сохраняются при его архивировании, что облегчает его резервное копирование и запуск. Помимо самого механизма в статье рассказывается, что такое App Bundle, как его сделать, как он работает и вот это все. Хороший материал, можно узнать много интересных вещей. #android #apk #archieved #appbundle
    Freeing up 60% of storage for apps

    Posted by Lidia Gaymond and Vicki Amin, Product Managers at Google Play One of the main reasons users uninstall apps is to free up spa...

    Android Developers Blog
  • Mobile AppSec World

    Перехват трафика мобильного приложения с использованием Wireguard, MitmProxy и Linux внутри Android В последнее время, по какой-то причине, выходит много постов с темой перехвата трафика приложений и как настроить свое рабочее пространство. Были уже способы с Magisk, с установкой сертификата в системные руками или через специальный инструмент. Но эта статья показалась мне самой классной! Автор предлагает поставить на Android-устройство LineageOS, Magisk, frida-server, потом развернуть Linux на устройстве, накатить туда frida-tools и MitmProxy. После этого развлечения они начинают дружить друг с другом по SSH через Wireguard VPN (Ну и вроде как с компа туда можно подключиться). То есть, получаем полноценную лабораторию на одном устройстве. Классно, правда? На самом деле, выглядит немного пугающе и возникает вопрос, зачем так сложно? Но если кто-то захочет заиметь нечто подобное, то этот мануал вам поможет. #frida #android #lineageos #mitm #network
    Mobile MitM: Intercepting Your Android App Traffic On the Go

    In order to audit the privacy and security practices of the apps we use on a daily basis, we need to be able to inspect the network traffic they are sending. An app asking for permission to your

    Electronic Frontier Foundation
  • Mobile AppSec World

    Новости мобильной безопасности. Эпизод 4. Продолжаем рубрику новостей из мира безопасности мобильных приложений (с 30 апреля по 6 мая). Несмотря на праздники, новостей и материалов было достаточно много, - давайте посмотрим, что интересного произошло. Ну и напомню, что все эти ссылки переходят из канала на Хабр, а оттуда в репозитории Awesome iOS Security и Awesome Android Security, присоединяйтесь) Всем хорошей пятницы и хорошо отдохнуть на выходных! #habr #news #awesome
    Неделя мобильной безопасности (30 апреля — 6 мая)

    Привет, Хабр!И снова представляю вам, как и обещал в статье про подборку материалов по мобильной безопасности, самые главные новости из мира безопасности мобильных приложений (с 30 апреля по 6 мая)....

    Хабр
  • Mobile AppSec World

    Опасная уязвимость в магазине приложений Samsung Galaxy App Store Опасную уязвимость обнаружили в магазине приложений компании Samsung - Galaxy App Store. В статье подробно описаны технические детали, благодаря чему это стало возможным, почитать крайне полезно, так как весь флоу описывается с примерами уязвимого кода и PoC. Если простыми словами, то суть ее заключается в возможности установить абсолютно любое приложение из магазина без участия пользователя. Принцип простой: 1. Злоумышленник готовит приложение с вирусом (майнер, вымогатель, удаленный доступ, реклама, что угодно) и загружает его в магазин “Galaxy App Store“ под видом легитимного. Таких случаев достаточно много, и они встречаются не только в магазине от Samsung, но и в Google Play, который, как мне кажется, более тщательно проверяет приложения перед их публикацией. 2. Пользователь устанавливает любое приложение, в котором заложена вредоносная функциональность (установлено приложение может быть откуда угодно, Google Play, App Gallery, Aurora Store и т.д.), или даже получает обновление уже установленного приложения. Вредоносная функциональность понимает, что установлена на Samsung или что установлено приложение “Galaxy App Store“, и отправляет запрос на автоматическую загрузку и установку приложения. В результате, пользовательское устройство становится заражено любым вирусом, который удалось загрузить в магазин приложений. А как мы знаем, такие приложения находятся в магазинах практически каждый месяц. Но если раньше пользователя надо было как-то заставить скачать и установить его, то теперь все происходит автоматически и без его ведома. #samsung #cve #research #fsecure
    These apps on the Galaxy Store infect your phone with malware

    The Galaxy Store is Samsung's own app store. It's available on all of the company's Android devices alongside the Google Play Store. If you tend to use it a lot, you might want to steer clear of a few

    SamMobile
  • Mobile AppSec World

    Способы определения и способы обхода обнаружения отладки приложения. Хорошая статья на корейском языке, которая описывает способы обнаружить, что приложение пытаются отладить или устройство подключено к компьютеру и активирован режим отладки по USB. Вообще, наверное, самая полная статья по этому вопросу. Если вы, как и я не знаете корейский, то вот ссылка на переведенный вариант (спасибо гугл-транслейт) Будет полезно как для разработки, чтобы включить эти проверки к себе в приложение, так и для тех, кто эти проверки собирается обойти 😄 не проходите мимо, забирайте и используйте, метод обнаружения достаточно интересный, особенно по сравнению с классическим android.os.Debug.isDebuggerConnected(),на который проверяют все популярные фреймворки по обнаружению отладчика. #android #debug #frida
    Universal Android Debugging Detection and Bypass

    라온화이트햇 핵심연구팀 김현수

    Core-Research-Team
  • Mobile AppSec World

    Знай свои секреты. Поиск и автоматическая проверка секретов сторонних сервисов Что-то в последнее время много постов на канале про моё творчество, но, наверное, это и неплохо :) И вот вам занятное на почитать между праздниками, статья о хранении секретов в мобильных приложениях. А именно о том, что происходит с аутентификационными данными от сторонних сервисов, которые мы так любим использовать, о том, как их искать и автоматически проверять на валидность, какие инструменты есть для решения подобных задач и как это всё автоматизировать. Надеюсь, что для кого-то эта статья окажется полезной и он сможет применить некоторые подходы в своей работе! Спасибо и хороших вторых выходных 😄 #habr #secrets #stingray
    Знай свои секреты. Поиск и автоматическая проверка секретов сторонних сервисов

    Привет Хабр!По традиции, представлюсь, меня зовут Юрий Шабалин, и вместе с командой Стингрей мы разрабатываем платформу анализа защищенности мобильных приложений. Сегодня я хотел бы рассказать о...

    Хабр
  • Mobile AppSec World

    Расшифровка зашифрованных фотографий из приложения ‘AVG’ Photo Vault Прочитал статью про расшифровку файлов из ещё одного приложения от антивируса AVG и подумал, что где-то я видел подобный стиль написания и объяснения шифрования. Пошарившись по сайту увидел, точно! Вот мой пост от того же человека, который фотки из калькулятора расшифровывал! А если посмотреть на его блог, то это похоже к него такое хобби, искать приложения, которые что-то прячут и шифруют, а потом пытаться их взломать и получить фото без пароля) Интересное хобби у человека :) может быть иногда очень полезно 😅 Так что, если интересуетесь темой шифрования, расшифровки и анализа алгоритмов, вам точно стоит заглянуть в его блог! #crypto #vault #research
    Decrypting the ‘AVG’ Photo Vault

    Screenshot of AVG Menu I have been holding onto this post for a while now, one of the first applications I attempted to decrypt which took a very long time. ‘AVG AntiVirus – Mobile Security &…

    Forensics - One Byte at a Time
  • Mobile AppSec World

    Советы по программе обучения Написал статью, которая касается не только безопасности и разработки мобильных приложений, а вообще в целом всего процесса разработки. А именно, несколько советов по тому, как сделать программу обучения или, по другому, awareness в области безопасности внутри компании. Понятное дело, что в целом, это достаточно «простой» процесс, но как обычно дьявол кроется в деталях. Я постарался описать несколько советов о том, с чем нам приходилось сталкиваться, какие вещи лучше всего работают и несколько советов тем, кто только начинает строить у себя в компании этот процесс. Статья получилась познавательной и надеюсь те, кто занимается обучением и поддержанием интереса к безопасности у себя в компании, найдут что-то новое для себя. #awareness #rb.ru
    Как подружить разработку и безопасность в рамках одной компании? | Rusbase

    И чем помогут внутренний портал, рассылки и тренинги в игровом формате

    Rusbase
  • Mobile AppSec World

    Доклад об эксплуатации типичных уязвимостей в iOS Хороший доклад от «инженера в компании Google днём и исследователя ИБ ночью” про типовые уязвимости в iOS-приложениях. Доклад доступен как в видео формате, так и записан и переложен на бумагу сайт для тех, кому текст воспринимать легче. Доклад достаточно хороший, описывает разные стороны, куда посмотреть в приложении, в частности: - анализ содержимого пакета приложения - анализ URL-схем (открытие произвольных URL в WebView) - SSL Pinning и его отсутствие - Анализ UIWebView Есть на что посмотреть, есть что поизучать, особенно начинающим в этой непростой, но очень интересной сфере безопасности. #ios #vulnerabilities #analysis
    Exploiting Common iOS Apps’ Vulnerabilities

    Ivan Rodriguez walks through some of the most common vulnerabilities on iOS apps and shows how to exploit them. All these vulnerabilities have been found on real production apps of companies that have (or don't have) a bug bounty program. This talk is useful for those connected with mobile app development or those who do use mobile apps to work with sensitive data.

    InfoQ
  • Mobile AppSec World

    Библиотека для iOS-приложений для определение Jailbreak, дебагер и много чего еще Весьма интересный проект "iOS Security Suite", написанный на Swift, который поможет вам определить - Наличие Jailbreak - Подключенный дебаггер - Запуск в эмуляторе (наверное все-таки в симуляторе) - Наличие различных инструментов для отладки приложений Ну и выглядит достаточно интересно всякие вещи в стадии Experimental: - Определение хуков в рантайме - Определение целостности файла из Bundle - Определение Breakpoint Посмотрел на код библиотеки, все здорово и она действительно реализует все OWASP-требования и даже чуть больше. Но есть одна оговорка, название у всего этого хозяйства ну прям слишком вызывающее, например для определения Jailbreak - IOSSecuritySuite.amIJailbroken(). Будет слишком просто найти. Так что я бы посоветовал взять исходники к себе и немного пошаманить, чтобы названия были не такие говорящие о том, что этот модуль делает. А вообще очень неплохой проект для того, что бы сходу получить пачку детектов. Только не поступайте как я в свое время и не включайте детект и предупреждение/блокировку пользователей сразу, а соберите побольше статистики и посмотрите, какие проверки когда срабатывают. Я свое время неплохо так получил за то, что мы реализовали проверку, которая фалзила и отключили половину пользователей 😂 Пока писал пост, вспомнил, что давно-давно уже писал про этот фреймворк. Но он развивается, всякие фишки появляются новые, так что советую посмотреть (ну и статью по обходу тоже) #ios #security #defence #library
    GitHub - securing/IOSSecuritySuite: iOS platform security & anti-tampering Swift library

    iOS platform security & anti-tampering Swift library - GitHub - securing/IOSSecuritySuite: iOS platform security & anti-tampering Swift library

    GitHub
  • Mobile AppSec World

    Увлекательная статья про печать фейковых чеков Легко написанная и быстро читающаяся статья про уязвимости в аппаратах, которые печатают чеки. Оказывается, на некоторых из них стоит Android! Автор описывает, как устроены такие устройства, как он проводил исследование и какие результаты получил. Для нас, наверное не так интересно, но мне почему-то прям понравилось :) думаю, почитать за чашкой кофе можно вполне) Всем хороших праздников! #fiscal #android #research
    Shielder - Printing Fake Fiscal Receipts - An Italian Job p.1

    Reverse engineering and analysis of a fiscal printer device for fun and (real) profit.

    Shielder
  • Mobile AppSec World

    Немного об особенностях eSIM в Android Немного не о безопасности, но раз уж сегодня праздник и не хочется прям сильно технического, обойдемся просто очень интересной статья, которая рассказывает о том, что такое eSIM, какие технологии используются и какие есть ограничения. А именно, что для eSIM до недавнего времени нельзя было держать два активных профиля. То есть одна eSIM - один оператор. В том числе и для этого многие производители устройств оставляли как минимум один слот для классической сим-карты. Но Google решил пойти чуть дальше и в 2020 году запатентовал решение для программной возможности активной работы двух профилей на одном eSIM чипе. И это прям очень круто, теперь без физической симкарты можно спокойно использовать несколько операторов, которые предоставляют eSIM. Нововведение должно заработать в Android 13. #eSIM #DualSIM #Android
    Google's patented solution to an eSIM limitation is coming to Android 13

    Google is introducing multiple enabled profiles (MEP) support in Android 13, which enables dual SIM functionality on a single eSIM.

    Esper Blog
  • Реклама

  • Mobile AppSec World

    Рефакторинг MASVS - секция CODE Недавно я писал про планы провести глобальный "ребрендинг" и рефакторинг основных документов от OWASP для мобильных приложений. Секция про криптографию уже переработана и сейчас настала очередь рздела V7 - Code. И надо сказать, что переделывают его неплохо, по крайней мере все спорные требования, которые было иногда трудно понять либо совсем убрали, либо перенесли в правильные разделы. К примеру требование "MSTG-CODE-7 Error handling logic in security controls denies access by default." наконец-то переехало в секцию архитектуры, где ей самое место. А требование про "A mechanism for enforcing updates of the mobile app exists." либо вообще уберут, либо оно также переедет в архитектуру. Так как этот документ и вообще проект OWASP это общественное мероприятие, обсудить и прокомментировать можно в обсуждении на github ( и там же актуальный дифф). Так что, если есть, что сказать - добро пожаловать в комьюнити OWASP :) #owasp #masvs #mstg #refactoring
    Mobile AppSec World

    Изменения в MASVS и MSTG Не так давно прошел митап от OWASP, где обсуждались изменения и будущие улучшения в главных документах для мобилок от OWASP (стандатрте MASVS и гайду MSTG). Обещают автоматическую генерацию чеклистов на основании MASVS, глобальную переработку структуры и контента, более прозрачную связь между этими документами. Насколько я понял, бегло пробежав по видео - можно подискуровать и предложить что-то своё в issue на github или присоединившись в Discord. Интересная и правильная активность, постараюсь в ближайшее время посмотреть подробнее и накидать ссылок на самые интересные изменения. Посмотреть весь доклад можно на YouTube. Плюсом к обсуждению переработки документов, на том же вебинаре можно посмотреть доклад Cracking Android PINs. #owasp #masvs #mstg

    Telegram
  • Mobile AppSec World

    Экосистемы сейчас на хайпе. Про них даже один известный человек высказался: "Есть элементы этой экосистемы, которые нужно доработать. Нужно сделать свой интернет-магазин, потому что App Store и Google Play на сегодняшний день у нас уже практически могут скоро не дать возможности скачивать приложения". А вот насколько хорошо разработчики приложений понимают, как построить безопасную экосистему? Чтобы не теоретизировать, я решил посмотреть на существующие экосистемы и рассказать вам об одной интересной уязвимости, которая характерна именно для экосистем приложений. Никакой теории, только код, кишки и ссылки для дальнейшего изучения.
  • Mobile AppSec World

    Ядовитая экосистема Всем привет! Встречайте пятничный предне-майский research от @OxFi5t! Классная статья и очень интересная бага, я даже не знал, что так можно было делать)