Обложка канала

Mobile AppSec World. Страница 2

Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое.

  • Mobile AppSec World

    Заблуждения о безопасности мобильных приложений После долгого затишья я наконец-то дописал и опубликовал статью по мотивам вебинара - «Мифы о безопасности мобильных приложений». Данные для этой статьи я копил годами и больше не могу уже терпеть) Я собрал наиболее часто встречающиеся заблуждения, которые я слышу, когда речь заходит о безопасности мобильных приложений. Это то, с чем мне приходится сталкиваться очень часто и постоянно говорить одно и то же. Я решился объединить все эти мысли и домыслы в один большой текст и выразить свое мнение по этому поводу. Надеюсь, вам будет интересно почитать и, скорее всего есть что добавить или поспорить, так что не стесняйтесь, может я вообще не прав и мобилки это действительно просто витрина данных для бэкенда? 🙃 #habr #webinar #mobilesecurity
    Шорт-лист мифов о безопасности мобильных приложений и неприкрытая правда

    Всем привет! И снова с вами я, Юрий Шабалин, ведущий архитектор Swordfish Security и генеральный директор Стингрей Технолоджиз. Как вы помните, мы разрабатываем систему автоматизированного анализа...

    Хабр
  • Mobile AppSec World

    А вот и текст новости от ChatGPT Все ссылки битые, так как ChatGPT не дает нормальные и просит их загуглить. Запрос: напиши, пожалуйста, небольшую статью про наиболее часто встречающиеся уязвимости в андроид приложениях за 2022 год со ссылками на статьи и исследования Ответ: В 2022 году было обнаружено несколько уязвимостей в андроид приложениях, которые остаются наиболее распространенными и серьезными. Ниже перечислены некоторые из них. 1. Уязвимость раскрытия конфиденциальной информации. Эта уязвимость позволяет злоумышленникам получать доступ к конфиденциальной информации, такой как пароли, данные кредитных карт и другие личные данные. Исследования показывают, что более 90% андроид-приложений содержат какую-то форму уязвимости раскрытия конфиденциальной информации. Статья на эту тему: www.darkreading.com/applica…/1341547 2. Уязвимость небезопасного хранения данных. Эта уязвимость позволяет злоумышленникам получать доступ к хранимым на устройстве данных, таким как фотографии, заметки и другие личные данные. Исследования показывают, что более 80% андроид-приложений содержат какую-то форму уязвимости небезопасного хранения данных. Статья на эту тему: securityintelligence.com/posts/d…ile-apps 3. Уязвимость небезопасного взаимодействия с сетью. Эта уязвимость позволяет злоумышленникам перехватывать данные, передаваемые между приложением и сервером, таким образом, злоумышленники могут получить доступ к конфиденциальным данным. Исследования показывают, что более 70% андроид-приложений содержат какую-то форму уязвимости небезопасного взаимодействия с сетью. Статья на эту тему: www.helpnetsecurity.com/2022/02…oid-apps 4. Уязвимость недостаточной проверки входных данных. Эта уязвимость позволяет злоумышленникам отправлять неправильные данные в приложение, таким образом, они могут перехватывать и изменять входные данные. Исследования показывают, что более 50% андроид-приложений содержат какую-то форму уязвимости недостаточной проверки входных данных. Статья на эту тему: www.securityweek.com/mobile-…rability
    Dark Reading | Security | Protect The Business

    Cyber security's comprehensive news site is now an online community for security professionals, outlining cyber threats and the technologies for defending against them.

    Dark Reading
  • Mobile AppSec World

    Пост про применение ChatGPT и аналогов при анализе мобильных приложений. Всем привет! Я тут на выходных немного экспериментировал с ChatGPT и попросил его сгенерировать различных скриптов, которые могли бы помочь с поиском уязвимостей или хотя бы облегчить какие-то вещи, которые нужно ресерчить. Ну и вообще было интересно, что это за зверь такой. И результат меня очень сильно удивил (нет). Из порядка 15 задач "ИИ" решил примерно 0. То есть ни одного работающего примера из коробки и даже после пары уточняющих вопросов он не выдал. При просьбе написать какие-то обзорные вещи из разряда "Самые распространенные уязвимости" он выдал обобщенный список из 5 пунктов с 5-ю ссылками на несуществующие статьи. 🙃 И даже после поиска, как мне предложили, результат особенно сильно не изменился. В общем на мой взгляд, эта штука может быть неплоха, если ты в чем-то уперся (в исследовании какой-то функции или реализации чего-то не самого популярного) и нужен некоторый свежий взгляд. ChatGPT может помочь найти идею или дать направление, но точно не готовое или примерно работающее решение. Потратив несколько дней на попытки сделать хоть что-то работающее, я забил. Frida и Python это точно не его сильные стороны. Причем как в связке, так и по отдельности (распарсить текст в структуру он так и не осилил). Но вот письмо для рассылки написал неплохое (по структуре, но не по содержанию). Может быть у кого-то был позитивный опыт использования таких инструментов для нашей области (кроме генерации fuzzing-листов) и он им поделится, я был бы рад изменить свое мнение. #chatgpt #openai
  • Реклама

  • Mobile AppSec World

    Запись вебинара Друзья, спасибо огромное всем, кто нашел время и силы присоединиться и послушать мои мысли на счет необходимости защиты мобильных приложений. Очень надеюсь, что понравилось и каждый вынес какие-то новые для себя мысли или идеи! Мне очень важна ваша поддержка, спасибо огромное! Ну и как обещал, запись вебинара доступна по ссылке. До встречи в следующей серии :) #webinar
    Зачем защищать мобильные приложения? | Вебинар | Юра Шабалин

    Запись вебинара "Зачем защищать мобильные приложения?" На вебинаре Юра Шабалин рассказал: - Каким мифам о безопасности мобильных приложений опасно верить. - К каким рискам могут привести эти легенды. - Как на самом деле устроены мобильные продукты и почему важно их защищать. - Как бесшовно внедрить безопасность приложений в разработку. - Как наладить эффективный процесс анализа защищенности. Юра Шабалин - AppSec-эксперт с опытом работы более 12 лет в области внедрения практик SSDL и построения процесса DevSecOps. На профессиональном уровне владеет комплексом инструментов MAST. Автор интерактивного CTF-challenge для стека мобильных технологий, создатель курсов по уязвимостям приложений на платформах Android и iOS. Спикер международных конференций по информационной безопасности. Участник программы Bug Bounty Google. Сайт: https://stingray-mobile.ru Новости мобильной безопасности: https://t.me/mobile_appsec_world Курсы безопасности Android/iOS: https://edu.swordfishsecurity.ru/ iOS Security Awesome: https://github.com/Swordfish-Security/awesome-ios-security/ Android Security Awesome: https://github.com/Swordfish-Security/awesome-android-security/ Сколково: https://navigator.sk.ru/orn/1123087 Основы безопасности Android/Анализ мобильных приложений/Информационная Безопасность/DevOps/DevSecOps #devops #devsecops #информационнаябезопасность #мобильныеприложения #информационныетехнологии #кибербезопасность #импортозамещение #android #iOS #owasp #owasptop10

    YouTube
  • Mobile AppSec World

    Как обещал ссылка для подключения. Будет обязательно запись и после выложим обработанное видео. Но все равно присоединяйтесь, поговорим и подискутируем =)
    Join conversation

    Microsoft Teams
  • Mobile AppSec World

    Друзья, через 20 минут начинаем :) Если кто не успел зарегистрироваться, я пришлю ссылку после начала. До скорой встречи!
  • Mobile AppSec World

    Приглашаю на вебинар "Зачем защищать мобильные приложения?" Всем привет! Я достаточно давно ничего не публиковал и не постил, за это прошу прощения, будем исправляться )) С головой ушел в работу и крутые задачи) Но есть и позитивная новость, уже меньше, чем через неделю (29 марта в 16-00) проведем вебинар на тему "Зачем защищать мобильные приложения?" В вебинара я структурировал разные мифы и заблуждения, с которыми мне приходилось сталкиваться во время работы с анализом защищенности мобильных приложений. Я собрал самый распространенные (но далеко не все, конечно) и попробую их опровергнуть и подискутировать на тему того, почему же на самом деле это важно, заботиться о безопасности ваших мобилок? Ну и конечно, я немного расскажу про наш инструмент, который помогает это делать и покажу, как его можно подключить к процессу разработки (ну и расскажу немного о нововведениях и наших планах на развитие). Приходите и присоединяйтесь: будет точно интересно! stingray-mobile.ru/zachem-…are.html
    Зачем защищать мобильные приложения и как выстроить эффективный процесс анализа безопасности — обсудим на вебинаре - Стингрей

    29 марта 2023 года эксперты Стингрей Технолоджиз проведут вебинар, посвященный мифам о безопасности мобильных приложений и современным технологиям для

    stingray-mobile.ru
  • Mobile AppSec World

    Попалась мне тут совершенно замечательная ссылка, которой не имею сил не поделиться - github.com/krizzsk…droidSec. Там куча ссылок на туториалы, утилиты и исследования по уязвимостями в Android. Звучит скучно да? Верно. Это был бы еще один всратый "awesome list" если бы не одно "но" - там много ссылок на нативные китайские блоги и статьи. И там действительно полезная инфа, которую просто так не загулишь, если не ищешь специально на китайском. Я давно хотел найти что-то подобное и вот оно пришло. Из полезного лично для себя, я нашел там разбор форматов различных файлов (AndroidManifest.xml, resources.arsc и т.п.) и материалы по статическому анализу. Всем 你好 ;)
    GitHub - krizzsk/HackersCave4StaticAndroidSec: A comprehensive resource for Android static analysis and vulnerability assessment. Tutorials, tools, and resources for identifying and mitigating security vulnerabilities in Android applications.

    A comprehensive resource for Android static analysis and vulnerability assessment. Tutorials, tools, and resources for identifying and mitigating security vulnerabilities in Android applications. -...

    GitHub
  • Mobile AppSec World

    это шикарно!
  • Mobile AppSec World

    SSL Unpinning или снова о том же самом Совсем недавно обсуждали способ дампа ssl-ключей и дальнейшей расшифровке записанного дампа трафика, как альтернатива проксированию запросов с подменой сертификата. Но иногда такой способ не работает или не сильно удобен, тогда можно воспользоваться классическим способом и попробовать все-таки снять пиннинг. Одним из таких способов является, конечно же Frida и стоит отметить вот этот скрипт, который позволяет обходить очень многие проверки и байпасить много различных фреймворков и реализаций. Рекомендую его сохранить, так как периодически gist на гитхабе могут и пропадать 🤓 #frida #sslpinning #unpinning
    Mobile AppSec World

    Дамп и расшифровка трафика без использования Proxy Все мы так или иначе сталкивались с необходимостью посмотреть трафик приложения и поисследовать его. Но всегда мешают всякие нехорошие безопасники, которые заставляют делать разработчиков SSL Pinning в приложении. И наиболее частый вопрос - как открутить пиннинг в приложении. Как правило, это использование frida или аналогов, чтобы подмениить и отключить проверку сертификата в приложении. Но сделать это удается далеко не всегда и не со всеми приложениями. Есть альтернативный вариант данному методу - это логировать SSL-ключи, которые используются для шифрования внутри канала связи, снимать дамп трафика и потом его расшифровывать этими ключами. Спасибо огромное @vadim_a_yegorov за универсальный скрипт для Android и iOS (12/13/14/15), который помогает снимать и сохранять ключи! Вот тут можно найти полный Frida-код этого прекрасного скрипта. Спасибо, это очень круто! #sslpinning #ssl #keys #dump

    Telegram
  • Mobile AppSec World

    Анализ Android Malware - тип Stalkerware. Интересный тип зловреда, который я до этого не слышал - Stalkerware. По большому счету это классический стилер, который тырит максимальное количество информации с устройства. В статье описан анализ приложения, нацеленного на Итальянских пользователей (ну либо его разработчики из Италии) и умеет несколько классических вещей (кража фото/видео, сообщений, записи звонков и экрана, смс, локации и прочего). Запрашивает огромное количество разрешений и становится администратором устройства. Не самое незаметное поведение, согласитесь 😄 Из интересного - каждый раз при загрузке с сайта, в приложении генерируется уникальный и случайный package_name и подпись. Этим они стараются избежать детекта различными антивирусными движками. Не самое увлекательное чтиво, конечно, но иногда бывает интересно посмотреть, чем на жизнь зарабатывают люди, ведь стоимость - 22 евро в месяц для подобного софта. #spy #stalkerware #android
    Dissecting an Android stalkerware

    Analysis of an Italian stalkerware for Android

    Andpalmier
  • Mobile AppSec World

    Как анализировать системные приложения на стоковых образах Android Весьма полезная статья для тех исследователей, что любят покопаться в системных приложениях. Автор подробно рассказывает о шагах, которые необходимо предпринять, чтобы без каких-либо проблем и ограничений инструментировать системные приложения при помощи Frida. Это по большей части относится к различным приложениям без пользовательского интерфейса, которые запускаются на уровне системы при загрузке. То есть, включение Frida-gadget в целевое приложение, которое подгрузит его при запуске системы и старте системных компонентов. Весьма интересный подход, который может существенно упростить анализ подобных приложений (а еще и подсказать способ аналогичного патчинга приложений и использование их с фридой на нерутованных девайсах). #frida #android #systemapps
    How to instrument system applications on Android stock images

    By Vitor Ventura This post is the result of research presented at Recon Montreal 2022. Two slide decks are provided along with this research . One is the presentation showing the whole process and how to do it on Google Play Protect services. The other one is a workshop on how

    Cisco Talos Blog
  • Mobile AppSec World

    Анализ защищенного мессенджера Threema Всем любителям криптографии и атакам на различные шифры и протоколы должно быть крайне интересно почитать про исследование защищенного мессенджера Threema. Исследователи провели очень крутую работу и изложили все как в достаточно простом виде на сайте, так и оформили практически в научную статью (с формулами, описанием использованных алгоритмов и т.д., очень рекомендую, если есть время). Из интересного - это рассмотрение различных моделей злоумышленника с различным уровнем доступа, чего обычно не встретишь в подобных статьях. Грамотное и правильное описание, какие атаки доступны в каких случаях и при каком доступе/информации у злоумышленника, респект 😄 Все подробности вы прочитаете в статье, но 3 вывода я оставлю тут, как правильное напоминание потомкам: 1. Использование современных безопасных библиотек для криптографических примитивов само по себе не приводит к безопасному дизайну протокола 2. Будьте внимательны к "межпротокольным" взаимодействиям 3. Проактивная, а не реактивная безопасность Всем хороших выходных! #friday #crypto #messenger

    Threema-PST22.pdf

    application/pdf
  • Mobile AppSec World

    После декомпиляции приложения нужно поискать секреты в коде. Для этого можно использовать trufflehog или любую другую подобную утилиту. Пример запуска trufflehog: trufflehog filesystem --directory=`pwd` --only-verified Но иногда, отсутствие флага only-verified дает интересные результаты. Поэтому обязательно попробуйте. А как быть с найденными секретами дальше, подскажет keyhacks #aht
  • Mobile AppSec World

    Полностью поддерживаю этот совет) именно так мы нашли около 10 серверных ключей от FCM на выборке из 700 приложений) Ну я писал об этом в прошлом году, тоже может быть полезно)
    Mobile AppSec World

    Знай свои секреты. Поиск и автоматическая проверка секретов сторонних сервисов Что-то в последнее время много постов на канале про моё творчество, но, наверное, это и неплохо :) И вот вам занятное на почитать между праздниками, статья о хранении секретов в мобильных приложениях. А именно о том, что происходит с аутентификационными данными от сторонних сервисов, которые мы так любим использовать, о том, как их искать и автоматически проверять на валидность, какие инструменты есть для решения подобных задач и как это всё автоматизировать. Надеюсь, что для кого-то эта статья окажется полезной и он сможет применить некоторые подходы в своей работе! Спасибо и хороших вторых выходных 😄 #habr #secrets #stingray

    Telegram
  • Реклама

  • Mobile AppSec World

    Коллеги разработчики, нужна ваша помощь! Всем снова привет, друзья, я решил обратиться за помощью в комьюнити. Мне стало интересно, на какие уязвимости проверяют загружаемые приложения магазины вроде Google Play, Huawei AppGallery и Samsung Galaxy Store? И проверяют ли вообще? Аккаунт разработчика мне пока что нигде не подтвердили, так что прошу помощи у тех, кто загружал приложения в эти и другие магазины, приходили ли вам уведомления, что ваше приложение уязвимо? Пока что из интересного я нашел, что Google, оказывается, пытается проверить много чего (но, как показывает практика, без особого успеха). И может заблокировать приложение, если оно не удовлетворяет их политикам. А вот для того, чтобы приложение из Huawei AppGallery было доступно в КНР, нужно прикрепить отчет о проверке безопасности их специального ведомства. В общем ребят, если вы когда-то с таким сталкивались или видели где-то чеклисты, на что проверяют приложения, поделитесь, пожалуйста, это очень интересно. Я после составлю сравнение разных магазинов, если соберу достаточно информации. Спасибо!
  • Mobile AppSec World

    Дамп и расшифровка трафика без использования Proxy Все мы так или иначе сталкивались с необходимостью посмотреть трафик приложения и поисследовать его. Но всегда мешают всякие нехорошие безопасники, которые заставляют делать разработчиков SSL Pinning в приложении. И наиболее частый вопрос - как открутить пиннинг в приложении. Как правило, это использование frida или аналогов, чтобы подмениить и отключить проверку сертификата в приложении. Но сделать это удается далеко не всегда и не со всеми приложениями. Есть альтернативный вариант данному методу - это логировать SSL-ключи, которые используются для шифрования внутри канала связи, снимать дамп трафика и потом его расшифровывать этими ключами. Спасибо огромное @vadim_a_yegorov за универсальный скрипт для Android и iOS (12/13/14/15), который помогает снимать и сохранять ключи! Вот тут можно найти полный Frida-код этого прекрасного скрипта. Спасибо, это очень круто! #sslpinning #ssl #keys #dump
    sslkeylogger.js

    GitHub Gist: instantly share code, notes, and snippets.

    Gist
  • Mobile AppSec World

    Обновление нашего продукта Стигнрей! Ох, мы наконец-то это сделали и выпустили долгожданный и многострадальный релиз 🥳 На этот раз он получился не менее насыщенный, чем прошлые наши обновления и привнес в себя очень много интересных и полезных вещей. Если кратко, то мы снова почти полностью переписали одну из частей нашего продукта и наш UI теперь работает безумно быстро, он стал более продуманным и красивым (а еще там появилась темная тема)! 😎 Еще мы научились запускать Appium-скрипты для автоматизации тестирования и это дает намного большую гибкость по работе с приложением во время автоматизированного анализа и возможность переиспользовать наработки QA в тестировании. И наконец, у нас появились полноценные автотесты для iOS-приложений, с записью видео с экрана устройства и полным повторением действий пользователя во время сканирования! Что касается нашего любимого IAST-анализа, то в Android мы существенно его доработали, улучшили и сделали задел на будущие активные проверки. Результатом этого стало выявление еще большего количества интересных и сложных уязвимостей. А также, мы портировали этот механизм на iOS и планируем в дальнейшем его максимально развивать. На самом деле, изменений больших и маленьких огромное количество, всего не перечислишь, и за это я хотел сказать огромное спасибо всей команде, которая вкладывается в каждую новую фичу, в каждую строчку кода всей душой! Спасибо парни, вы лучшие! 🥇 Ну и если кому интересно чуть более детально посмотреть, что мы сделали, то небольшое видео с обновлениями доступно на YouTube, а более-менее полный список обновлений на сайте. Ура! #stingray #ios #android #release