Обложка канала

Mobile AppSec World. Страница 18

Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое.

  • Mobile AppSec World

    Бесплатный онлайн-митап для мобильных разработчиков от Luxoft и JUG Ru Group 16 декабря, 18:00 (Мск, GMT+3) Программа митапа: 📌 Дмитрий Мовчан — «Гайд по выживанию в мире UI тестов» Дмитрий поможет понять, какой тип UI-тестирования вам нужен, поговорит про типичные проблемы и пройдется по инструментам, которые помогут с ними справиться. 📌 Михаил Зотьев — «Как проходит развитие библиотеки Elementary» Elementary — библиотека, позволяющая писать приложения на Flutter в стиле паттерна MVVM. Из доклада Михаила вы узнаете про основные концепты, преимущества и недостатки библиотеки. 📌 Евгений Сатуров — «Стелем мягкую соломку на жесткий Flutter» Евгений поделится с сообществом базой лучших практик разработки Flutter-проектов. В основе его доклада — опыт, накопленный командой Surf почти за 3 года работы с Flutter. А также вас ждут дискуссии после каждого доклада и розыгрыши брендированного мерча за лучший вопрос. Участие бесплатное, нужно только зарегистрироваться!
  • Mobile AppSec World

    Больши митапов богу митапов Продолжая тему с онлайн-мероприятиями для разработки - завтра пройдет митап от Luxoft и JUG Ru Group. Я бы про Flutter послушал)) На самом деле не хочется превращать канал в доску объявлений, но в последнее время много кто проводит бесплатные вебинары/семинары по разработке и иногда по безопасности. Наверное, это все конец года, когда времени осталось немного, а планов куча (как это знакомо). Так что если вы проводите какое-то бесплатное мероприятие или платное, но готовы сделать скидку/выдать мерч/какие-либо плюшки подписчикам канала или разыграть пару билетов, я готов это запостить) И отдельная просьба тем, кто читает, напишите в комментах, в целом полезные такие анонсы или нафиг их?
  • Mobile AppSec World

    Взлом Google Pay, Samsung Pay и Apple Pay Все мы пользуемся таким уже привычным NFC. Ведь это так удобно, взял с собой телефон и никакие карты или наличка уже не нужны. Но как это работает внутри и главный вопрос - насколько это безопасно? Я столкнулся с проблемой лично только один раз, когда ехал в автобусе, читал очередную статью, во время поворота неудачно прислонился вплотную к валидатору. И оплатил поездку, хотя не собирался этого делать 😄 Эта ситуация стала поводом начать разбираться в процессе привязки, оплаты, подтверждения и всего остального, связанного с картами в телефоне. Стало просто интересно, а что еще можно сделать и каким образом? В процессе ознакомления мне много помогали коллеги из банковского сектора, а также шикарные материалы от Тимура Юнусова, потрясающего researcher'a и автора многочисленных статей по безопасности и различным атакам на банковские карты: - Ата­куем бес­контак­тные кар­ты - Как работа­ют ата­ки на чиповые кар­ты - Как хакеры кра­дут день­ги с бан­ков­ских карт - Раз­бира­емся, как работа­ют сис­темы безопас­ности кре­дит­ных карт Очень рекомендую их прочитать (а еще посмотреть его выступления), чтобы понять как все устроено и какие атаки в принципе возможны. Написано очень и очень подробно с максимальным погружением в тематику. Но сегодня не об этом, а о новой статье Тимура - "Взлом Google Pay, Samsung Pay и Apple Pay". Да, это как раз статья о том, какие атаки становятся возможными благодаря такой удобной и полезной функциональности наших устройств - бесконтактная оплата. Не хочу раскрывать все детали, приведу лишь несколько слов автора, после которых очень хочется перечитать статью еще раз: Атаки, которые возможны до сих пор: 1. Транспортная карта Visa + ApplePay — безлимитные платежи на заблокированном, разряженном или украденном устройстве. Также до сих пор возможны платежи по кошелькам Visa + Google Pay, тут с 2019 года ничего не изменилось. 2. MasterCard + Google Pay — возможно клонирование транзакций, когда украденной информации будет достаточно для совершения определенного числа платежей. 3. Остальные вариации карта + кошелек — атаки возможны только при манипуляции Transaction Stream. Статья размещена на Хакер и пока что находится в закрытом доступе, но спасибо автору, он отправил мне PDF, чтобы все могли прочитать и ознакомиться с результатами исследования. И это действительно того стоит, очень и очень рекомендую всем, кому интересна тема бесконтактных платежей, как они устроены и как получить деньги с разряженного iPhone. Приятного чтения! #visa #mastercard #applepay #samsungpay #googlepay #research
    Близкие контакты. Атакуем бесконтактные карты

    Бесконтактные банковские карты очень удобны: приложил карточку к терминалу, и через пару секунд в кармане звякнул телефон — покупка оплачена. Но это удобство имеет и обратную сторону: злоумышленники могут украсть деньги у держателей такого «пластика». Давай поговорим о способах взлома банковских карт, использующих технологию NFC.

    xakep.ru
  • Реклама

  • Mobile AppSec World

    Реверс протокола камер Reolink Достаточно давно интересуюсь системами умного дома и в целом устройствами IoT. И вот наткнулся на очень интересную статью про реверс проприетарного протокола камер Reolink с целью его преобразования в популярный и народный RTSP. Чем она приглянулась и почему решил поделиться с вами? В статье много инструментов, которые мы часто используем, тут и Wireshark, анализ firmware, использование Ghidra, поиск строк, использование gdb, strace и многое другое. Интересно посмотреть на использование таких знакомых вещей под немного другим углом 😄 Надеюсь вам тоже будет немного интересно почитать, а может даже и полезно 🙃 #Reolink #iot #smarthome #reverse
    Hacking Reolink cameras for fun and profit

    Dragging Reolink, kicking and screaming, into the light of the open-standards day

    www.thirtythreeforty.net
  • Mobile AppSec World

    🚩Конференция OFFZONE пройдет 25–26 августа 2022 года 🚩 Международная конференция по практической кибербезопасности OFFZONE уже в третий раз пройдет в Москве с 25 по 26 августа 2022 года в очном формате. Тщательно подобранный контент, любимое комьюнити и, конечно, уютная атмосфера постапа — все остается на местах. К сожалению, ни в прошлом, ни в позапрошлом годах конференцию провести не удалось в связи со сложной эпидеомиологической обстановкой. К счастью, правила проведения массовых мероприятий более-менее устаканились, поэтому удалось определиться с датой. Почему не онлайн? Организаторы отказались от этого формата, чтобы не потерять дух OFFZONE! Как ни крути, а живое общение и атмосферу ничем не заменишь. Билетов пока нет в продаже, но уже скоро они появятся — планируйте бюджет заранее. Если у вас остался билет на OFFZONE 2020, то вы не только сможете посетить OFFZONE 2022 по нему, но и получите эксклюзивные футболки за верность конференции! Цены, локация, спикеры, доклады — обо всем этом позже. Следите за новостями на сайте конференции и в соцсетях: • Телеграм-канал Twitter Instagram
    OFFZONE

    International community conference for cybersecurity researchers and professionals. No suits, no business - only hardcore research. [email protected]

    Telegram
  • Mobile AppSec World

    Бесплатный митап Sber Mobile Meetup — 7 декабря, 17:00, онлайн Сбер при поддержке JUG Ru Group проведет онлайн-митап для мобильных разработчиков. В программе — три доклада от специалистов, которые работают над сервисами Сбера: – Андрей Попов — «Современный подход к анимациям в UICollectionView». Доклад об анимациях, применимых к коллекциям с помощью современных API в iOS SDK. – Дмитрий Исаев — «Clean MMVM c Combine, SwiftUI в продакшене». Узнайте, как команда Сбера применила этот стек к большому объему бизнес-логики, вдохновившись Clean Code от дядюшки Боба Мартина. – Андрей Данилов — «Как (не) ускорить сборку Android-проекта». Андрей расскажет, как не наступить на грабли при ускорении сборки: исправить порядок репозиториев зависимостей и найти альтернативы для неэффективных инструментов. А еще вы сможете задать спикерам вопросы после докладов и пообщаться с коллегами в Spatial chat. Участие бесплатное, нужно только зарегистрироваться. Ждем вас!
  • Mobile AppSec World

    Анонсы мероприятий Всем привет, появилось несколько новостей о мероприятиях, которые будут интересны и разработчикам и безопасникам: - Митап по мобильной разработке от Сбера с достаточно интересными докладами - Наконец-то анаос о дате проведения OffZone! Ниже будут посты с материалами по этим мероприятиям, если интересно - присоединяйтесь) Если нет, пропускайте мимо)
  • Mobile AppSec World

    Интересный доклад с прошедшего недавно митапа OWASP Melbourne, в котором рассказывается история человека пытающегося обойти экран блокировки путем подбора пин-кода. tl;dr - обошел с помощью NetHunter-а, OTG кабеля и самописного скрипта для брутфорса. Скрипт забирайте здесь. Доклад совершенно ненапряжный и его можно посмотреть просто по фану. Там показано довольно много способов решения этой задачи и не исключено, что те, котрые не сработали у него - сработают у вас. Способы такие: 1. Попробовать руками первые 20 вариантов из списка DataGenetics Research 2. Проверить комбинации важных дат (дни рождения, дни свадьбы, последние 4 цифры номера телефона, слова вроде LOVE,FUCK,etc... в T9 варианте) 3. Использовать Find My Device от Google 4. Использовать Find My Mobile от Samsung (или аналоги от других вендоров) 5. CVE-2015-3860 - крэш экрана блокировки на Samsung. Можно поискать аналоги у других вендоров 6. Использовать ADB чтобы удалить файл с пин-кодом/паттерном /data/system/gesture.key 7. Воспользоваться вот этим списком из еще 7ми способов с форума XDA 8. Попробовать специальные утилиты и устройства для мобильной криминалистики (forensic tools): Cellebrite, Oxygen, XRY, GrayKey, Octoplus, Odin + TWRP 9. Поискать публичные эксплойты 10. Использовать USB Rubber Ducky или аналоги (опционально спаять свой) 999. Выполнить сброс к заводским настройкам Happy hacking 😎
    [Live🔴] The Mobile Sec Special - Melbourne Chapter (Virtual) Meetup - 23rd Nov 2021

    Details here: https://www.meetup.com/Application-Security-OWASP-Melbourne/events/282160343/ Chapter Survey: https://forms.gle/35e5gXWs5SX9xiG7A Chat on Discord https://discord.gg/uAWze2B

    YouTube
  • Mobile AppSec World

    А вот и описание второго доклада на канале от @OxFi5t с мероприятия OWASP. Я до него так и не добрался, посмотрев только первую часть про обновление OWASP Mobile. Как оказалось зря :))
  • Mobile AppSec World

    Изменения в MASVS и MSTG Не так давно прошел митап от OWASP, где обсуждались изменения и будущие улучшения в главных документах для мобилок от OWASP (стандатрте MASVS и гайду MSTG). Обещают автоматическую генерацию чеклистов на основании MASVS, глобальную переработку структуры и контента, более прозрачную связь между этими документами. Насколько я понял, бегло пробежав по видео - можно подискуровать и предложить что-то своё в issue на github или присоединившись в Discord. Интересная и правильная активность, постараюсь в ближайшее время посмотреть подробнее и накидать ссылок на самые интересные изменения. Посмотреть весь доклад можно на YouTube. Плюсом к обсуждению переработки документов, на том же вебинаре можно посмотреть доклад Cracking Android PINs. #owasp #masvs #mstg
    The Mobile Security Special - Melbourne Chapter (Virtual) Meetup - 23rd Nov 2021

    вт, 23 нояб. 2021 г., 18:00: If you are into mobile apps security, don't miss this.We've got 2 solid presentations, 3 amazing speakers.Presentations:Refactoring the OWASP MSTG and MASVS---------------

    Meetup
  • Mobile AppSec World

    Анализ приложений при помощи Jadx и Frida Пару дней назад релизнулся один из самых классных декомпиляторов - jadx! Проект очень быстро развивается, автор очень быстро фиксит баги и добавляет функционал (кстати это тоже наш соотечественник). В связи с этим радостным событием хочу порекомендовать статью для начинающих, анализ и модификация приложений при помощи jadx и frida. Для матерых специалистов будет мало что полезного, но для тех, кто начинает свой путь, вполне годно. Рассказана основа, структура apk, как использовать jadx, что искать и что с этим потом делать 😀 Полезная штука в общем. Ну и для тех, кто любит пообходить всякое, автор написал приложение, которое имплементирует SSL Pinning на нескольких разных популярных фреймворках. Можно попрактиковаться и открутить их всех! :D Статья, кстати, от автора тулы для перехвата трафика, которая обещает автоматический сетап для браузеров, мобилок, приложений на электроне и т.д. Не знаю, зачем я это написал, но она OpenSource, может кому пригодится доя быстрого анализа) #https #frida #jadx #ctf #pinning #mitm
    Releases · skylot/jadx

    Dex to Java decompiler. Contribute to skylot/jadx development by creating an account on GitHub.

    GitHub
  • Mobile AppSec World

    Workshop по безопасности Android Нашелся тут достаточно интересный Android Security Workshop, состоящий из трёх модулей, в каждом из которых разбирается много интересных вещей, не только про уровень приложений, но и о самой архитектуре Android и моделях безопасности. Состав курса: Модуль 1: - Access Control In the Android OS - SELinux - Application Signing - Permission Based Access Control - Hardware Based Security Features Модуль 2: - Application Components - WebViews / Use and Abuse - The Window Manager / Use and Abuse - Accessibility Service, Admin API, DCL, Reflection / Use and Abuse Модуль 3: - The Java Native Interface Достаточно неплохой материал, помогает понять, как устроены механизмы внутри. А зная это, можно уже переходить и к более интересным вещам 😉 Кстати, у автора ещё много интересных статей, которые можно почитать. И он же является автором небезызвестного фреймворка Medusa. #Android #Workshop #Slides
    Android Security Workshop

    Module 1

    Medium
  • Mobile AppSec World

    Here you can find write ups for iOS Vulnerabilities that have been released. 👽🔌 URL - https://github.com/writeups/iOS #IOSAppSec #IOS #Learning #Hacking
    GitHub - writeups/iOS: Here you can find write ups for iOS Vulnerabilities that have been released.

    Here you can find write ups for iOS Vulnerabilities that have been released. - GitHub - writeups/iOS: Here you can find write ups for iOS Vulnerabilities that have been released.

    GitHub
  • Mobile AppSec World

    Большой сборник материалов по iOS На соседнем канале, посвященному iOS опубликована шикарная ссылка на гитхаб репозиторий, который содержит в себе большое количество статей, книг, writeup по уязвимостям, обнаруженным в iOS и в целом по безопасности iOS #iOS #Security #Books