Обложка канала

Mobile AppSec World. Страница 15

Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое.

  • Mobile AppSec World

    Получение трафика с Android Emulator Наверное, самая подробная и простая статья, которую я видел по процессу заворачивания трафика с эмулятора в бурп. Начиная от того, как собственно поставить и настроить эмулятор, как получить на нем нужные права, поставить magisk, добавить нужные плагины и наконец, добавить сертификат в системные и пустить весь трафик через burp suite. В статье прям на каждый пункт по одному-два скрина, так что если это ваш первый раз, то этот материал будет отличным подспорьем в разворачивании рабочего пространства #Android #network #emulator
    Intercepting Android Emulator SSL traffic with burp using magisk

    In an android security testing intercepting SSL traffic from the apk is one of the basic requirement. Their are many ways in which it can…

    Medium
  • Mobile AppSec World

    Обход биометрической аутентификации в WhatsUp Достаточно интересный баг нашел один из исследователей в приложении WhatsUp. В WhatsUp можно настроить экран блокировки, чтобы после определенного периода неактивности пользователя нельзя было прочитать чаты, позвонить и т.д. Суть обхода заключалась в том, что достаточно было позвонить на этот номер и счетчик времени сбрасывался и считал, что пользователь ещё активен. Стандартная ошибка логики в приложении, от которой никто не защищен, даже у Apple была бага, связанная с неправильным инкрементом счетчика пинкода от устройства, что позволяло перебрать полностью все 4-х значные коды за 48 часов. Статья достаточно небольшая и легкая, но кейс прикольный) #whatsup #android #bugbounty
    WhatsApp Bug Bounty: Bypassing biometric authentication using voip

    Bypassing biometric authentication just by making a call and access the app completely

    Medium
  • Mobile AppSec World

    Первый дайджест на Хабр Всем привет! Сегодня вышел первый дайджест "Неделя мобильной безопасности (9-15 апреля)" на Хабр. По факту, это подборка материала с канала за неделю. Возможно, кому-то в таком консолидированном виде будет удобнее читать, что же нового было в мире мобильного ИБ. Если эксперимент окажется успешным и формат зайдет, то каждую неделю в пятницу или субботу я буду публиковать такую подборку и обновлять ссылки в репозиториях Awesome iOS Security и Awesome Android Security. Всем хороших выходных! #habr #news #awesome
    Неделя мобильной безопасности (9-15 апреля)

    Привет, Хабр!Меня зовут Юрий Шабалин, как вы помните из предыдущих статей, я один из основателей компании Stingray Technologies. Мы разрабатываем платформу анализа защищенности мобильных приложений...

    Хабр
  • Реклама

  • Mobile AppSec World

    iOS Hacking - гайд для новичков Автор не обманул, гайд и действительно для новичков. Хорошо структурированный, описывающий основные концепции что и где можно поискать, но не сильно подробный. Мне намного больше понравился гайд на русском, от нашего соотечественника, куда более тщательно и основательно подготовленный. Что полезного, можно дернуть некоторые регекспы и команды для поиска нужной информации, как например строка для поиска IBAN, который до недавнего времени как-то проходил мимо меня: IBAN: [a-zA-Z]{2}[0-9]{2}[a-zA-Z0-9]{4}[0-9]{7}([a-zA-Z0-9]?){0,16} Так что вывод простой, даже в кажущихся на первый взгляд простых статьях, из которых не ожидаешь получить чего-то интересного, всегда можно получить что-то полезное (ну или освежить знания и понять, что в целом всё не так и плохо). #ios #guide
    iOS Hacking - A Beginner’s Guide to Hacking iOS Apps [2022 Edition]

    H3ll0 fr13nds! My first post will be about iOS Hacking, a topic I’m currently working on, so this will be a kind of gathering of all information I have found in my research. It must be noted that I won’t be using any MacOS tools, since the computer used for this task will be a Linux host, specifically a Debian-based distribution, in this case, Kali Linux. I will also be using ‘checkra1n’ for the device jailbreaking, but there are other alternatives such as ‘unc0ver’ or ‘Taurine’, so just choose the one that fits best to your device or your liking. For background, my device is an iPhone 6s updated to the latest 14.x iOS version as of March 2022 (iOS 14.8). To my knowledge, there’s no fully-working jailbreak for iOS 15 yet.

    martabyte
  • Mobile AppSec World

    Хуки для Frida напрямую из Jeb Недавно, после очередного релиза jadx, я писал про возможность создать Frida-скрипт напрямую из инструмента. Вот и Jeb тоже недалеко ушел. Ну, вернее, не совсем он, а написанный для этого плагин, но, тем не менее, интеграция давно напрашивалась и здорово, что такие крутые инструменты начинают взаимодействовать друг с другом! Я не использую Jeb, но если кто-то уже пробовал или попробовал, как эта штука работает, дайте знать!) #jeb #frida #integration #android
    Mobile AppSec World

    Интеграция jadx и Frida В новом релизе jadx 1.3.3 (вышел 18 часов назад), присутствует опция “Copy as Frida snippet”. При этом копируется целиком вызов нужного класса. Теперь стало поменьше ручной работы в написании хуков! Кстати, аналогичная опция есть и для Xposed :) #frida #jadx #integration

    Telegram
  • Mobile AppSec World

    По непонятным, на текущий момент, причинам - с github-а пропал репозиторий reFlutter-а. Пропал не только он, но это уже совсем другая история... Автор сутки не спал, ползал по дискетам и по частям собирал останки погибших программ. Теперь у reFlutter-а новый дом: https://github.com/Impact-I/reFlutter. Поддержите звездочками и обязательно заведите полезный issue, а то и отправьте PR.
    GitHub - Impact-I/reFlutter: Flutter Reverse Engineering Framework

    Flutter Reverse Engineering Framework. Contribute to Impact-I/reFlutter development by creating an account on GitHub.

    GitHub
  • Mobile AppSec World

    Собираем пропавшие инструменты! Друзья, если у вас есть аналогичные проекты, которые мы потеряли, но у вас есть форк или копия, поделитесь ими и соберем список актуальных репозиториев.
  • Mobile AppSec World

    Обход проверок на jailbreak, решение CTF от r2con2020 На прошедшей в прошлом году конференции r2con было множество крутых докладов и конечно, интересных CTF. Небольшая статья о прохождении одного из CTF, а именно о втором задании в iOS, где необходимо было обойти проверку на jailbreak и как минимум запустить приложение. Само собой, обычные решения, вроде objection не работают, поэтому приходится реверсить и смотреть, как это работает и какие проверки есть. Именно об этом и пишет автор статьи, как он прошел этот квест используя только radare2 и Frida. Интересно почитать, особенно прикольная штука небольшой снипет-хак для SpringBoard, который предотвращает убийство процесса, если он не запустился воворемя (чтобы успеть отловить или захукать frid’ой нужные вещи). #frida #ios #radare2 #ctf
    GitHub - radareorg/r2con2020

    Contribute to radareorg/r2con2020 development by creating an account on GitHub.

    GitHub
  • Mobile AppSec World

    Обход SSL Pinning для Flutter-приложений с использованием Ghidra На волне участившихся вопросов про Flutter-приложения (привет, Stepn) и большого количества людей, кто начинает их реверсить и смотреть в трафик, не могу не поделиться статьёй про снятие пиннинга при помощи Ghidra. Статья представляет из себя последовательность действий, что делал автор, как искал и что заменял в libflutter.so. Интересно почитать, как он прошел этот путь, чем руководствовался и что в итоге получилось. Как обычно бывает, достаточно много референсов на другие не менее интересные статьи. Можно попробовать это повторить или попробовать скачать уже модифицированный файл и его заменить в анализируемом приложении. #Flutter #Android #Ghidra #pinning
    STEPN is a Web3 lifestyle app with Social-Fi and Game-Fi elements

    In STEPN, your steps are worth more than you think -- exercising and moving outdoors can now earn anyone tokens anytime, anywhere. We believe this simple design can nudge millions into healthier lifestyles and bring them to the Web3 world.

    Stepn
  • Mobile AppSec World

    Биржа, ценные бумаги, аналитика и маркетинг Немного не в тему канала пост, но тем не менее, не могу не поделиться. Если вы увлекаетесь торговлей на бирже, если вам интересно, как это устроено внутри, какие механизмы используют маркетологи и аналитики для привлечения и удержания клиентов, а также интересны разные аналитические и маркетинговые исследования - добро пожаловать на канал «Чайка-маркетинг»! За контент этого канала могу ручаться головой, руками и всеми частями тела, так как автор - моя жена @Shabaloid (привет тебе) 😄
    Чайка маркетинг

    Маркетинг в сфере инвестиций в фондовый рынок. Инсайты и боль🥴 Автор канала: @shabaloid

    Telegram
  • Mobile AppSec World

    Ещё немного про WebView и ошибки при проверке URL Если вы по какой-то причине пропустили шикарную статью от OverSecured про уязвимости в WebView и способы эксплуатации, то очень рекомендую прочитать! Ну а для тех, кто хочет начать с чего-то попроще и в принципе понять, почему конструкции вида url.startsWith и url.endsWith иногда бывает недостаточно для валидации ссылок, которые вы открываете в вашем приложении, вышла вот такая статья от автора фреймворка Medusa на базе Frida (кстати, довольно неплохой инструмент). В статье описан механизм работы deeplink на простейшем примере и рассмотрены базовые ошибки в механизме валидации передаваемых параметров. Написано хорошо, простыми словами, с живыми примерами и очень доступно. #Android #WebView
  • Mobile AppSec World

    Подборка материалов по мобильной безопасности «Awesome Mobile Security» Всем привет! В очередной раз, пока искал в истории канала какую-то ссылку на видео, решил что пора заканчивать с таким неблагородным делом и оформлять все материалы, которые скопились в представительный вид. Из этого вылилось два репозитория на гитхабе с подборками всех материалов, которые были в канале, разбитые по логическим группам. Еще немного покопался в закромах и выудил ссылки на различные CTF и WriteUp по ним для Android. Получились достаточно интересные подборки. Подробнее посмотреть, что вышло можно в статье на Хабр (ну а куда без него). Основная проблема всех таких репозиториев, что про них забывают и забивают и через месяц они становятся абсолютно неактуальными) Мне бы хотелось такого избежать, поэтому весь контент, что будет появляться в канале в конце недели я буду переносить в репозитории, а потом делать небольшой "дайджест" на Хабр по новостям текущей недели (посмотрим, зайдет ли такой формат). Всем хорошей недели и приятного чтения, надеюсь, вы найдете для себя что-то новое в материалах. #Habr #News #Awesome #Android #iOS
    Подборка материалов по мобильной безопасности «Awesome Mobile Security»

    Привет, Хабр!Меня зовут Юрий Шабалин, я один из основателей компании "Стингрей Технолоджиз" (входит в группу компаний Swordfish Security), мы разрабатываем платформу анализа защищенности мобильных...

    Хабр
  • Mobile AppSec World

    CVE-2021-30737 (Memory corruption in ASN.1 decoder) - Writeup по writeup’у Довольно интересную статью нашел, можно считать её описанием на описание уязвимости или writeup на writeup 😄 Оригинальный баг был найден в 2021 году и по нему написан достаточно увлекательное описание, как он был найден и в чем заключалась проблема. Новый пост это скорее заметки, дополнения и размышления, как мог произойти баг в парсинге и обработке ASN.1 в iOS и где ещё можно поискать подобные уязвимости. На самом деле читать такте статьи очень полезно, даже безотносительно самой уязвимости в iOS. Например, чтобы побольше узнать об ASN.1 и способах работы с ним, учитывая что я ним почти не сталкивался. Приятного чтения и хорошей недели! #iOS #vulnerability #writeup
    .:: Phrack Magazine ::.

    Phrack staff website.

    phrack.org
  • Mobile AppSec World

    Обход RASP (Runtime Application Security Protection) Совсем недавно, на одной из конференций был сделан доклад под названием «Forging golden hammer against Android app protections». Этот доклад посвящен проверкам различных инструментов защиты в рантайме, таким как шифрование кода приложения, поиск отладчика, Frida и многое-многое другое. Доклад очень крутой! Есть видеозапись выступления и репозиторий со слайдами и скриптами (активно наполняется). Сейчас там скрипты для Ghidra, но предполагается что все остальное тож добавит, что есть в видео). Я пока пролистал слайды и оставил видео на более подробный разбор, так как чувствую, там придется ещё по ходу пьесы гуглить :) но выглядит очень круто, особенно часть про Frida и способ хуков с многопоточностью и хуками на ещё не загруженные классы. Всем хороших выходных! #rasp #frida #ghidra #android
  • Mobile AppSec World

    Google начнет скрывать приложения, собранные с устаревшей версией TargetSDK Компания Google предупредила разработчиков, что будут усилены требования к уровню Target API (Android API), для которого собираются приложения. На практике это означает, что с 1 ноября 2022 года приложения в магазине Google Play не будут доступны для поиска и установки, если при их создании использовался устаревший TargetSDK (срок давности которого превышает два года). По мере выхода новых релизов Android, окно версий, в рамках которого можно указывать целевой уровень, будет меняться соответствующим образом. Говорят, это только одно из нововведений в политике, так что ожидаем и других новостей. Но, как мне кажется, следующим логичным шагом будет аналогичное “окно“ для установки минимальной версии SDK, которое позволит отсечь совсем уж старые устройства. #google #android #targetsdk #privacy
    Google начнет скрывать приложения, собранные с устаревшей версией TargetSDK - Stingray

    Компания Google предупредила разработчиков, что будут усилены требования к уровню Target API (Android API), для которого собираются приложения. На

    Stingray
  • Реклама

  • Mobile AppSec World

    Что нового в Android 13? Очень подробное описание практически всех нововведений и изменений в новой версии Android 13 было опубликовано некоторое время назад. Конечно, эта статья не очень из мира ИБ, но почитать все равно очень интересно, что и как улучшают в своей системе Google, где и что пришло к ним от Apple (и можно еще попробовать угадать, что появится в следующей версии iOS из этого списка). Интереснее всего почитать про Platform Changes и API Updates, а так же про изменения в Privacy Dashboard Приятного чтения! #Android13 #changes #updates
    Android 13 deep dive: Every change up to DP2, thoroughly documented

    This is everything you need to know about new Android 13 features, its release date, and API changes for developers.

    Esper Blog
  • Mobile AppSec World

    Что такое SafetyNet и зачем он нужен Нашел неплохой 40 минутный подкаст на тему SafetyNet, что это такое, зачем нужно, какие плюсы и минусы. Краткий тайминг, что внутри: • 02:09 - What is SafetyNet and what does it do? • 06:41 - How do modders get around SafetyNet? • 11:22 - What advantages does each side of this battle have? • 15:33 - What is hardware attestation? What makes it hard to break? Can it be bypassed? • 24:50 - What options do developers have in ensuring their apps are operating in safe envrionments? • 32:26 - What's the overall outlook as Google begins to replace SafetyNet with its new Play Integrity API? Должно быть интересно тем, кто задумывается над его использованием. #google #safetynet #android
    The cat-and-mouse game between hackers and developers - Android Bytes (powered by Esper)

    On this week's episode, we get caught up in the whirlwind of one of the many such cat-and-mouse games in Android development between power users and app...

    android-bytes-by-esper.captivate.fm
  • Mobile AppSec World

    RCE в Evernote И снова в главной роли приложение Evernote! После того, как @bagipro написал пост про обнаружение в нём кучи дырок, я думал, они задумались над безопасностью, но похоже, что не очень. Исследователь обнаружил возможность перезаписи произвольных файлов через Path Traversal, ну и как следствие, перезапись .so файлов и выполнение произвольного кода. Интересно на самом деле почитать дискуссию автора и компании на H1, сколько он сделал для того, чтобы они поняли, в чем бага и как её просплойтить :) ну и код можно подрезать)) Такие дисклозы ещё раз подтверждают необходимость тщательно следить за входными данными от пользователя 😄 Ну и конечно, надо отдать должное, функционал, в котором бага была найдена достаточно интересный и специфичный. Приятного чтения! #android #h1 #rce #evernote
    Evernote: Universal-XSS, theft of all cookies from all sites, and more

    Oversecured is a vulnerability analyzer for Android mobile apps. We frequently scan various popular apps to help secure as many users as possible against potential attacks that could lead to the theft of their personal data.

    News, Techniques & Guides