Обложка канала

Mobile AppSec World. Страница 16

Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое.

  • Mobile AppSec World

    Наиболее распространенные уязвимости в мобильных приложениях Всем привет! Для начала, простите за длительное молчание, в связи со всеми событиями, да еще и подготовкой самого масштабного релиза, совсем не оставалось времени на то, чтобы что-то публиковать. Но потихоньку дела налаживаются и самое время снова выйти из тени. И вернуться я хочу с публикации статьи "Наиболее распространенные уязвимости в мобильных приложениях". Так как мы разрабатываем свой инструмент для динамического анализа, мы постоянно тестируем и анализируем десятки приложений (иногда прям по 10-ку в день получается) и за все время собрали немало статистики и наблюдений. Все эти вещи вылились в статью, в которой я описал наиболее распространенные уязвимости, которые мы находим в приложениях во время анализа. Как ни странно, но они мало чем отличаются от OWASP, даже не смотря на то, что последняя версия Mobile Top 10 вышла в далеком 2016 году. Я попробовал совместить наши наблюдения и небольшой опыт по способам недопущения этих проблем и как лучше всего было бы сделать те или иные вещи. Я на самом деле каждый раз переживаю, как будет воспринята та или иная статья и всегда с радостью принимаю замечания, так что пишите, не стесняйтесь, если с чем-то не согласны или где-то есть ошибки и неточности. Надеюсь эта статья и такой формат зайдут, так как я хочу попробовать выдерживать некоторую регулярность и раз в неделю-две писать новые статьи и материалы на основе нашего опыта и наших данных. На это меня сподвигло понимание того, как на самом деле немного годного материала на русском языке про безопасность мобильных приложений. Сейчас я составляю некоторую подборку и понимаю, что основным контент-мейкером является @OxFi5t, за что ему огромное спасибо! Ну и я постараюсь внести свой небольшой вклад в это замечательное дело 😁 Всем хорошей недели и приятного чтения! #Android #iOS #Habr
    Наиболее распространенные уязвимости в мобильных приложениях

    Всем привет, меня зовут Юрий Шабалин, я один из основателей компании "Стингрей Технолоджиз" (входит в группу компаний Swordfish Security), мы разрабатываем платформу анализа защищенности мобильных...

    Хабр
  • Mobile AppSec World

    Группа LAPSU$ объявила о взломе компании Samsung. В сеть утекло порядка 190Гб данных: исходный код различных продуктов компании, загрузчиков, механизмов аутентификации и идентификации, серверов активации, системы защиты Knox, online-сервисов, API, а также проприетарных компонентов, поставляемых компанией Qualcom. Кроме этого великолепия, заявляется, что утечка содержит код всех TA-апплетов для TEE, а также код управления ключами модулей DRM и биометрической идентификации. Все это добро можно найти самостоятельно на torrent-ах или взять готовый файлик у бота r0 crew: https://t.me/c/1344358540/91620 (инвайт в канал тоже нужно получать через бота). Это все грозит нам очень интересными последствиями. Ожидаем волны RCE эксплойтов для смартфонов любимого производителя ;)
  • Mobile AppSec World

    Вот это красота :))
  • Реклама

  • Mobile AppSec World

    Интеграция Burp Suite и Frida - Brida Продолжаю тему интеграций различных инструментов, в которых очень часто оказывается Frida 😅 Ещё давно я встречал плагин для Burp, который позволял отлавливать интенты в Android и работать с ними в Burp (повторять, фаззить и т.д.). Не могу сейчас найти это репо, но попробую. И вот новый виток интеграции, как назвали его авторы - Brida. Сам пока не смог протестировать, но судя по заявленному функционалу в репозитории, обещает быть очень интересным: - большое количество готовых хуков для Android и для iOS, которые можно вызвать напрямую из GUI инструмента - функциональность анализа бинаря, который представляется в виде дерева функций/классов и т.д. Возможность сразу навешивать хуки на интересующие методы и следить за их выполнением - консолька для собственных хуков И всё это из интерфейса BurpSuite! Ну и в дополнение смотреть в одном инструменте сразу и запросы и результаты хуков может быть достаточно удобно. У них достаточно много выступлений, неплохая документация. Из последнего, можно посмотреть видео с конференции Hack the Paris 2021 А так же два демо приложения в репозитории, на которых можно потестить (на них он должен работать :D ) Выглядит достаточно вкусно 🤓 #frida #ios #android #burp #integration
    GitHub - federicodotta/Brida: The new bridge between Burp Suite and Frida!

    The new bridge between Burp Suite and Frida! Contribute to federicodotta/Brida development by creating an account on GitHub.

    GitHub
  • Mobile AppSec World

    Интеграция jadx и Frida В новом релизе jadx 1.3.3 (вышел 18 часов назад), присутствует опция “Copy as Frida snippet”. При этом копируется целиком вызов нужного класса. Теперь стало поменьше ручной работы в написании хуков! Кстати, аналогичная опция есть и для Xposed :) #frida #jadx #integration
  • Mobile AppSec World

    Обучающие видео по анализу приложений Есть занятный канал про безопасность, на котором в том числе есть отдельная секция по мобилкам. Достаточно подробно разбираются некоторые уязвимости, например в deeplink или intent redirection и т.д. Достаточно годный материал, но только для тех, кто может слушать индусский английский. Я вот с трудом его переношу)) но если вам ок, то можно послушать :) #android #youtube #guide
  • Mobile AppSec World

    Конференция Mobius от JUG Ru Group возвращается! 🔥 Mobius 2022 Spring — 23-26 мая, онлайн Вы можете стать ее спикером. Если хотели поделиться знаниями с профессиональным сообществом, но сомневались, стеснялись или просто ждали удачного момента — это он. От вас требуется только идея доклада — программный комитет поможет подготовиться. Конференция пройдет онлайн, поэтому можно выступить удаленно либо приехать для этого в студию в Питере. Вот примеры тем, которые хотели бы видеть в программе: – под капотом: ОС, языки, интеграции; – архитектура; – качество продукта: перформанс, accessibility, UI/UX; – тренды: SwiftUI, Jetpack Compose, KMM, развитие платформ и сферы в целом; – инфраструктура. Но это лишь рекомендации — прийти можно с чем-то совершенно своим. Заявки принимают до 21 марта. Переходите на сайт, чтобы узнать больше и заполнить анкету. Кстати, билеты уже в продаже.
  • Mobile AppSec World

    Mobius объявляет набор докладов Конференция для разработчиков мобильных приложений стартует CFP. Если у вас есть, что рассказать, подавайтесь) Очень хочется, чтобы докладов по безопасности было побольше и они были посочнее, чем обзор OWASP Mobile :) Так что очень надеюсь послушать вас на этой конфе :)
  • Mobile AppSec World

    Безопасность iOS-приложений: гайд для новичков

    Привет! Меня зовут Гриша, я работаю application security инженером в компании Wrike и отвечаю за безопасность наших мобильных приложений. В этой статье я расскажу про основы безопасности...

    Хабр
  • Mobile AppSec World

    Гайд по пентесту iOS Отличный гайд для начала своего пути в пентесте мобильных приложений на платформе iOS. Написан качественно, понятно и достаточно подробно. И есть куда покопать после, походить по ссылочкам и всё такое! Рекомендую даже тем, кто уже давно этим занимается, ведь всегда можно почерпнуть или придумать что-то новое, когда читаешь уже известные тебе вещи) #iOS
  • Mobile AppSec World

    Выложили видео с Black Hat Europe 2021. Даже есть несколько на мобильную тему, но внимания достойны только два из них. Так что если у вас есть время только на два (или одно) видео, то вот они: A Titan M Odyssey. Доклад от широко известных в узких кругах ребят из Quarkslab. И это тот самый доклад который имеет смысл посмотреть если может посмотреть только один. Они расковыряли гугловый чип Titan M и рассказали о нем в одном докладе больше подробностей, чем Google во всех своих рекламных проспектах. А под занавес доклада показали еще несколько узявимостей. Вообще ничего не хочу сюда больше добавлять. Просто надо смотреть. A Universal Way to Exploit Android PendingIntents in High-profile and System Apps. Доклад от наших друзей из Поднебесной, которые такие же мастера в придумывании коротких названий докладов как и я. Сам доклад и стоящее за ним исследование весьма достойные. Если никогда не смотрели в сторону техник эксплуатации PendingIntent-ов, то однозначно рекомендую. Правда в большинстве случаев, баги такого рода это не “низко висящие фрукты”. Эксплуатация требует ряда дополнительных условий и чаще всего не так красива как 1-click RCE через Google Play Library. Тем не менее про этот класс уязвимостей знать нужно и пентестерам и разработчикам. Полный плейлист тут.
    2021: A Titan M Odyssey

    In the past years, most of the Android devices were relying on ARM Trustzone for critical security features.In 2018, with the release of the Pixel 3, Google introduced the Titan M chip, a hardware security module used to enhance the device security by reducing its attack surface, mitigating classes of hardware-level exploits such as Rowhammer or Spectre, and providing several security sensitive functions, such as a Keystore backend called StrongBox, Android Verified Boot (or AVB) and others. It has been now almost three years since this announcement and yet very little information about it is available online... By: Damiano Melotti, Maxime Rossi Bellom & Philippe Teuwen Full Abstract & Presentation Materials: https://www.blackhat.com/eu-21/briefings/schedule/#-a-titan-m-odyssey-24471

    YouTube
  • Mobile AppSec World

    Blackhat Europe Не могу не поделиться постом про мобильные доклады на Blackhat! Советую посмотреть!
  • Mobile AppSec World

    Про Frida уже написано столько, что хватит на 3 “войны и мира”, но часто это какие-то прикладные статьи или туториалы начального уровня. За границами этих туториалов начинается остервенелое изучение документации, которая, ИМХО, не так хороша как могла бы быть. Тем интереснее книга, которую я после долгих раздумий все же решился прочитать и не пожалел - Beginning Frida. У меня вообще есть практика периодически изучать материалы начального уровня чтобы закрыть возможные пробелы в знаниях. Книга в меньше степени про использование Frida в Android и в большей про то как устроен инструмент, как на нем решать различные задачи и про экосистему вокруг. Тем и ценна. Автор сильно упростил мне задачу написав какие главы нужно читать обязательно, а какие можно пропустить. Я прочитал все и теперь полностью согласен с его рекомендациями: Глава 1: Настройка среды. Будет полезна тем, кто никогда про Frida не слышал или давно хотел попробовать, но руки не доходили. Остальные там ничего интересного не найдут. Глава 2: Базовые приемы работы. Смело пропускаем если уже трогали тетю Фриду ;) Глава 3: Работа с frida-trace. Нашел для себя несколько интересных вещей касательно модулей. Глава 4: Углубленная работа с frida-trace. Мне показалась интересной. Можно пробежаться глазами и поискать интересные практики для себя. Глава 5: Переход от трейсинга к сталкингу. Есть полезная инфа про frida-stalker и немного про frida-gadget Глава 6: Разработка собственных инструментов. Новичкам будет полезно, джедаям - вряд-ли. Глава 7: Разбор компонета frida-server. Есть интересное, в т.ч. запуск по сети. Глава 8: Введение в NativeFunction. Довольно полезная глава. Есть интересные практики. Глава 9: Frida и Android. Новичкам обязательна к прочтению. А также всем тем, кто ловил странные проблемы с Frida. У кого и так все хорошо - не читайте. Глава 10: Работа с библиотечными функциями и памятью. Полезная глава. Есть хорошие примеры работы с адресами функций и поиску значений в памяти. Глава 11: Как писать обертки на Python. Тоже хорошая глава. Отлично раскрывает концепцию RPC, которую я редко вижу в скриптах, а при этом она довольно полезная. Глава 12: Решение пары OWASP-овских crackme на Android. Новички, вам сюда. Джедаи, проходите мимо. Глава 13: Как открыть Telegram в Objection. Будет полезна все тем же новичкам и людям не знакомым с Objection. Глава 14: Небольшое описание Codeshare. А вы знали, что там можно зарегистрироваться? 😀 Что касается самого текста, то он читается довольно легко. Я пробежался буквально за пару вечеров. Ссылку на торренты не прикладываю. Вы же хакеры, сами найдете 😎
  • Mobile AppSec World

    Книга про Frida Не могу не поделиться шикарным постом про изучение инструмента Frida. Даже дополнить нечего, ушел скачивать :) Спасибо каналу https://t.me/android_guards_today за отличный материал)
    Android Guards Today 🛰

    Статьи, исследования, полезные ссылки и многое другое из мира безопасности Android платформы и приложений. Только проверенный контент! Еще больше интересного можно найти на YouTube канале: https://www.youtube.com/c/AndroidGuards

    Telegram
  • Mobile AppSec World

    Эмулятор iOS на базе QEMU с поддержкой KVM Как-то это прошло мимо меня. но оказывается есть эмулятор для iOS на базе QEMU! Запускается вместе с графической оболочкой (по отзывам) и ssh-доступом на устройство. На данный момент проект поддерживает (переводить не буду, а то мой перевод может быть вообще не тем, что имел ввиду автор): - launchd services - Interactive bash - R/W secondary disk device - Execution of binaries (also ones that are not signed by Apple) - SSH through TCP tunneling - Textual FrameBuffer - ASLR for usermode apps is disabled - ASLR for DYLD shared cache is disabled - GDB scripts for kernel debugging - KVM support - TFP0 from user mode applications Master-ветка обещает нам полноценную поддержку iOS 12, а так же есть ветка с поддержкой iOS 14! Конечно, немного смущает, что последний коммит был 21 февраля 2021 года... Но вдруг всё настолько стабильно работает, что и править ничего не надо? 🤓 Для тех, кто хочет подробнее узнать о том, как развивался этот проект и почитать достаточно суровые выкладки по тому, как это стало возможным, вот серия статей от создателей этого шикарного репозитория: 1. Running iOS in QEMU to an interactive bash shell (1) 2. Running iOS in QEMU to an interactive bash shell (2) 3. Tunnelling TCP connections into iOS on QEMU 4. Accelerating iOS on QEMU with hardware virtualization (KVM) Так что не Correlium-ом единым в части виртуализации iOS. Если руки доберутся, обязательно хочу это опробовать и посмотреть, как оно работает. Может в обозримом будущем нам уже не нужны будут реальные устройства, чтобы тестировать приложения на iOS? По крайне мере очень хотелось бы в это верить! #iOS #emulator #correlium #qemu #kvm
    GitHub - alephsecurity/xnu-qemu-arm64

    Contribute to alephsecurity/xnu-qemu-arm64 development by creating an account on GitHub.

    GitHub
  • Реклама

  • Mobile AppSec World

    Объявляем Call for Papers для OFFZONE 2022! Почитать о подаче заявок, принципах CFP и бонусах для спикеров можно на сайте. Если коротко: ▪️Заявку можно подать до 3 июля. ▪️Будет два формата выступлений — Talk и Short Talk. ▪️Подавать заявку нужно лично. Нет, через пиарщика нельзя. ▪️Приложить к докладу можно любые материалы. Да, даже фото котиков, если они помогут оценить качество исследования. До встречи👋
  • Mobile AppSec World

    Открыт CFP на OffZone Ну и раз пошла такая пьянка с конференциями) Приглашаю всех желающих на CFP на одну из самых классных конференций - OffZone! Так как я в программном комитете, очень жду докладов по мобилкам) Welcome!
  • Mobile AppSec World

    Открыта ранняя продажа билетов на ZeroNights 2022 ZeroNights – это квинтэссенция того, чем ИБ-сообщество живет целый год. И мы в 11-й раз соберем всех неравнодушных к прикладным аспектам отрасли. 🗓 Дата 23 июня 2022 📍Место Санкт-Петербург, Севкабель Порт 💥Программа На ZeroNights будут представлены тщательно отобранные доклады по самым разным темам информационной безопасности. В этом году массу интересного можно будет услышать на отдельной секции Defensive Track, посвященной практической стороне ИБ в контексте защиты и обеспечения безопасности ресурсов и приложений. Спикеры любимой многими секции Web Village расскажут о современных атаках на веб-приложения. Желающие прокачать свои скиллы и овладеть новыми навыками смогут сделать это в рамках воркшопов и Hardware Zone. Активностей с ценными призами для победителей будет еще больше! До 1 марта у вас есть возможность приобрести билеты на конференцию со скидкой! Поспешите приобрести билет по цене прошлого года. Купить билет со скидкой