Обложка канала

Mobile AppSec World. Страница 5

Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое.

  • Mobile AppSec World

    ⚡️Государству F снова угрожают хакеры, и их атаки становятся все более изощренными. Что им удастся взломать на этот раз? Да-да, нас опять ждет осенний Standoff. Вместе с кибербитвой будет проходить митап, который можно смотреть онлайн. А в 14:00, в секции "Безопасность или паранойя? Разбираем клиентскую часть мобильных приложений" - я и небезызвестный @Mr_R1p обсудим темные стороны безопасности мобильных приложений. Кроме этого выступления, обязательно обратите внимание на доклады "OAuth 2.0 и как его разламывать" и "37 слайдов про багбаунти". Присоединяйтесь, трансляция начинается в 10:00 MSK.
  • Mobile AppSec World

    Замечательная уязвимость, которая напоминает простую истину: используй все доступные возможности. Хакеру удалось обойти экран блокировки на Pixel 6 с помощью замены SIM карты на свою с ее последующей блокировкой и разблокировкой через PUK код. Выглядит довольно элегантно и совершенно точно нужно проверять эту возможность на других устройствах. Google заплатил за нее 70 килобаксов так-то 🤑
    Accidental $70k Google Pixel Lock Screen Bypass

    David Schütz's bug bounty writeups

    bugs.xdavidhu.me
  • Mobile AppSec World

    Инструмент Taint-анализа для apk Давно не было про новые тулы, как-то даже стало скучно. Но вот, отличная новость, нашел новый для себя инструмент - статический taint анализатор AppShark. Из интересного, что я отметил: - потенциальная возможность искать интересные баги - возможность написания своих правил - основан на не менее известных тулах Soot и FlowDroid, но имеет свою собственную реализацию движка анализа В общем, потенциально интересное решение, в ближайшее время более детально её погоняю и напишу, как оно) Ну или если кто уже успел попробовать или использует, напишите, как оно?) #android #taint #flow
    GitHub - bytedance/appshark: Appshark is a static taint analysis platform to scan vulnerabilities in an Android app.

    Appshark is a static taint analysis platform to scan vulnerabilities in an Android app. - GitHub - bytedance/appshark: Appshark is a static taint analysis platform to scan vulnerabilities in an And...

    GitHub
  • Реклама

  • Mobile AppSec World

    OWASP Global AppSec EU 2022 Внезапно понял, что у OWASP есть не только сайт и гитхаб репо, но и официальный ютуб :)) Посмотрев, что там, нашел весьма и весьма интересный плейлист с записью всех докладов с прошедшей в этом году Global AppSec конференции. Выложили видосы не так давно и потихоньку ещё добавляют, последний апдейт был вчера. На самом деле, доклады самые разнообразные, начиная от рассказов про Security Champions, DefectDojo, OpenSAMM, заканчивая разбором различных уязвимостей. Весьма интересно и может быть полезно в работе, посмотреть как люди за морем-океаном живут и о чем думают в области AppSec. По нашей тематике из этого списка можно выделить такие выступления: - “Mobile Wanderlust”! Our Journey to Version 2 0! - Exhibitor: How to Meet the New Mobile Application Security Imperative Хорошего просмотра! #owasp #video
  • Mobile AppSec World

    Итоги конкурса! Итак, несмотря на огромное количество желающих и участвующих, я все-таки смог выбрать победителя... И им стали оба два участника =)) Поздравляю вас, @iwillpicknicknamelater и @OxFi5t и спасибо Mobius за два билета)) В ближайшее время с вами свяжутся организаторы и передадут ваш заслуженный приз)) А для тех, кто не успел поучаствовать, но очень хотел, напомню про промокод на повышенную скидку для нас) Промокод maw2022JRGpc даст скидку на билеты из категории «Для частных лиц»: — 20% на Double Online — 25% на Online + Offline Думаю, что будет интересно! Более 30 докладов от спикеров из Яндекса, Сбера, Gradle, VK, Тинькофф, Skyeng и других компаний. #mobius #конкурс

    Mobius 2022 Autumn — конференция для мобильных разработчиков. Несколько десятков докладов об iOS, Android, кроссплатформенной разработке, инструментах, фреймворках и многом другом.

    Mobius 2022 Autumn. Конференция для мобильных разработчиков
  • Mobile AppSec World

    #video #classes #yt #education Еще пока не препод, но всё впереди :) А пока делюсь со всем миром записями своих занятий! За последний год мне удалось провести целый курс по информационной безопасности. От базовых основ GNU/LINUX, криптографии, сетей, веба до полноценного пентеста. Большую часть удалось записать. На канале пока доступны два видео: лекция и практика по криптографии. Я далек от академичности, но абсолютно уверен, что знания должны распространяться свободно. С этого момента начинается моя карьера видео-блоггера 🤟😎 Делитесь видео с друзьями :) Буду очень рад обратной связи и корректной критике в комментариях тут или под видосами на yt.
  • Mobile AppSec World

    Ученье - свет Хоть и не прям про мобилки, но криптографию мы все применяем и иногда возникают вопросы общего характера. Их можно снять, если посмотреть полноценную лекцию по критографию. Есть и практика и много теории.
  • Mobile AppSec World

    Внимание, конкурс! Всем привет! И снова в нашей рубрике конкурс и разыгрываем билет на конференцию Mobius! Так как немного совсем времени осталось, победитель будет выбран в понедельник. Условия конкурса: В комментариях к этому посту или в чате напишите историю того, с какими аргументами против того, что мобильные приложения нужно проверять, вы сталкивались в своей работе? Основное, что слышал я, это «мобильное приложение всего лишь витрина данных, а защищать нужно бэк» или «гугл сам проверяет всё перед публикацией, зачем нам что-то делать?» Ну или историю про лучший комментарий, почему найденную уязвимость не нужно исправлять. К посту напишите тэг #mobius2 Ну а для тех, кто хочет попасть без конкурса ниже информация по коду на 20% скидки на билет! И немного информации о самой конфе и промокоду: Как пройти архитектурную секцию собеседования? Может ли «Аврора» стать альтернативой iOS и Android? Как работают in-app подписки в iOS? На Mobius 2022 Autumn вы узнаете ответы на эти и другие вопросы. 9 и 10 ноября в онлайне и 21 ноября в офлайне. На Mobius вы сможете не только послушать выступления, но и задать вопросы спикерам, а также пообщаться с другими единомышленниками. А промокод maw2022JRGpc даст скидку от 20% на билеты из категории «Для частных лиц». Подробности и билеты: https://mobiusconf.com/ Всем удачи!

    Mobius 2022 Autumn — конференция для мобильных разработчиков. Несколько десятков докладов об iOS, Android, кроссплатформенной разработке, инструментах, фреймворках и многом другом.

    Mobius 2022 Autumn. Конференция для мобильных разработчиков
  • Mobile AppSec World

    Свежий доклад по основам RE и пересборке Android приложений с VolgaCTF 2022. Контент для начинающих исследователей и для тех, кто хочет накидать себе в чемодан новых навыков.
    Основы reverse-engineering и модификации приложений Android / Алексей Немцев / VolgaCTF 2022

    Слайды: http://archive.volgactf.ru/volgactf_2022/slides/VolgaCTF_2022_Nemcev.pdf Основы reverse-engineering и модификации приложений Android Спикер: Алексей Немцев ______________________ Reverse engineering and Android apps modification by Aleksei Nemcev

    YouTube
  • Mobile AppSec World

    Обогнали меня с публикацией)
  • Mobile AppSec World

    Мы ищем людей в команду! Друзья, всем привет! Наша компания-разработчик продукта "Стингрей" продолжает расширяться и хочет покорить мир, добавить еще больше функционала по анализу мобилок и добавить поиск все новых и крутых уязвимостей! Ну а конкретно сейчас мы очень активно ищем специалиста по анализу iOS-приложений для усиления нашей команды. Если вы любите копаться в мобилках, искать уязвимости, хочется решать сложные и интересные задачи, которые до этого никогда никто не делал, то вам абсолютно точно нужно к нам)) Если ты пишешь на Frida, знаешь, как устроены iOS-приложения и MSTG, MASVS, PassionFruit, Objection это не пустые слова, то приходи к нам пообщаться, уверен, мы сможем найти общий язык. Если хочется деталей, то есть вакансия: https://hh.ru/vacancy/71723031 Если что, можно смело писать мне в личку (@Mr_R1p) или откликаться на вакансию или любым другим образом дать о себе знать :) Если не интересно, но есть, кому переслать, не поленитесь, пожалуйста)) #hh #vacancy #stingray
  • Mobile AppSec World

    Подкаст про центр компетенций Пообщались на прошлой неделе про безопасную разработку в целом и один из самых главных аспектов, про центр компетенций. Ведь сколько инструментов не покупай, сколько процессы не выдумывай, без людей, экспертов и специалистов это всё не будет работать, так что обучение и поддержание интереса к безопасности в компании это едва ли не самое главное. Про то, как можно подойти к этому непростому процессу и поговорили. Получилось достаточно интересно, надеюсь, кому-то это обязательно поможет. #podcast #awareness
  • Mobile AppSec World

    А мы начинаем Всем кто хотел послушать, посвящается :) Начинаем выступление, присоединяйтесь, пишите вопросы, ставьте лайки и вот это всё :) Постараюсь сделать интересно :) Ссылки для подключения в посте выше, но для ленивых вот на YouTube: https://youtu.be/tYyAYYVpOnA #sk #webinar #stingray
    TECHFLIX / Технологии, инновации, саморазвитие 24/7 / Live Chat

    24/7 транслируем самый актуальный контент об инновациях: мероприятия, новости технологического мира, мастер-классы и вебинары. В прямом эфире смотрите: – Инструменты, техники и тренды HR-мира на HR Meetup c понедельника по пятницу в 17:00; – Все о маркетинге, продвижении и PR каждый вторник в 13:00; – Социокультурная жизнь «Сколково» c понедельника по пятницу в 18:30; – Лекции Школы стартапов Skolkovo каждую пятницу в 11:00; – Питчи, инвестиции и инсайды от бизнес-ангелов на Pitch Office Hours каждую пятницу в 14:00. Хотите узнать больше об инновациях? Подписывайтесь на наши социальные сети! VK: https://vk.com/technoparkskolkovo Telegram: https://t.me/technoparksk_news Все права принадлежат правообладателям. Но иногда случаются обидные ошибки – если вы владелец видео- или аудиоконтента и не согласны с его использованием, пожалуйста, напишите нам на почту: [email protected]. Мы оперативно решим этот вопрос: отметим вас как автора или удалим видео по вашему запросу. По вопросам сотрудничества пишите нашему бородатому режиссеру: [email protected]

    YouTube
  • Mobile AppSec World

    Интересные обновления в iOS Всем привет! Не так давно в документации на сайте security.apple.com появился блог :) И всё бы ничего, но контент обещают интересный и технический. Пока там всего два поста, но они подходят под описание «интересный и технический»: 1. Обновление BugBounty программы Обещают большую прозрачность, новый трекер, быстрые ответы… конечно, было бы здорово, учитывая множество историй, когда Apple либо молча правила баг либо просто забивала на вознаграждение.. 2. К следующему поколению безопасности памяти XNU: kalloc_type Статья про улучшения безопасности памяти для ядра XNU, которое уже вышло в iOS 15 и будет вскоре расширено и на другие платформы. Очень качественно структурированная статья: - постановкой проблемы - описание предметной области - вызовы, которые стояли перед командой - описание решения - выводы и анализ сильных и слабых сторон Статья действительно очень интересная и хорошо написана, хочется верить, что и остальной контент будет таким же качественным и, возможно, поможет быстрее найти способ сделать джейл на новых iOS :)) #ios #bubounty #blog

    Apple’s Security Bounty program has paid nearly $20 million in rewards to security researchers in just two and a half years. Our new site makes it easier than ever for researchers to submit reports on the web, get real-time updates from Apple engineering, and earn recognition for helping to improve security for the users of over 1.8 billion devices worldwide.

    Blog - Apple Security Bounty. Upgraded. - Apple Security Research
  • Mobile AppSec World

    Анонс доклада "Безопасность мобильных приложений в России" Всем привет! Пока не каждый день получается радовать свежими новостями, но скоро, я постараюсь делать как раньше, намного чаще) А сегодня хочу вас пригласить на завтрашнее выступление на митапе по безопасной разработке от фонда Сколково, где я расскажу немного про безопасность мобильных приложений и анонсирую некоторые цифры из нашего исследования, которое появится в ближайшее время. На самом деле, это будет не совсем стандартный доклад, мне хочется затронуть важную тему и дать пищу для размышлений, а именно, почему недооценивают безопасность мобильных приложений и главное, почему смотреть на мобилки нужно не менее тщательно, чем на остальные части системы. Посмотрим, насколько мне это удастся, по крайней мере, я постараюсь, чтобы было интересно)) Так что, если есть желание посмотреть и присоединиться, то вот немного ссылок: - Сайт мероприятия и форма регистрации - Трансляция на techflix.sk - Трансляция в YouTube - Трансляция в VK Запись тоже будет, непременно поделюсь) Ну а пока что, хорошего завершения недели! #SK #Webinar #Meetup #Mobile
    Технологический митап: "Secure SDLC для безопасной разработки"

    Приглашаем Вас принять участие в первом технологическом митапе в рамках хаба «Кибербезопасность», посвященном безопасной разработке. Лучшие эксперты поделятся своим опытом в вопросах управления процессом безопасной разработки, расскажут об инструментах и стратегии внедрения DevSecOps.

    sdlc.events.sk.ru
  • Реклама

  • Mobile AppSec World

    Android для параноиков или альтернативные сборки ОС И снова всем привет, читаю сейчас про интересный проект под названием GrapheneOS. Вообще, по описанию, проект позиционируется, как мобильная операционная система с фокусом на приватности и безопасности с поддержкой Android-приложений. При этом мне нравится пункт, выделенный отдельно, что они не будут принципиально в поставке включать Google-сервисы. А для их поддержки выделили отдельный ограниченный уровень внутри ОС. Да, никто не любит большого брата: ’( Конечно, всегда возникает огромный вопрос со стабильностью работы подобных сборок и как с ними будут работать гугловские сервисы (или хуавеевские). И больше всего, как он будет работать на огромном количестве разномастных устройств. Ведь фрагментация Android это уже даже не смешно, мне кажется, скоро в ботинках можно будет увидеть модифицированный Android 😄 Из нечто подобного, из наиболее популярных форков я помню CyanogenMod и его форк Lineage OS, который работал очень и очень достойно. Вообще попробовать было бы интересно, конечно, учитывая что многие наработки из этого проекта нашли отражение и в исходниках AOSP. Но интересно, пользовались ли вы когда модами/альтернативными прошивками и почему?) #android #privacy #grapheneos #cyanogen
    GrapheneOS features overview

    Overview of GrapheneOS features differentiating it from the Android Open Source Project (AOSP).

    GrapheneOS
  • Mobile AppSec World

    Немного про анализ Malware Хоть я и не сильно люблю эту тему, но иногда попадаются действительно качественные исследования того, как работают и функционируют различные зловреды на Android. И сегодня как раз про такие исследования и поговорим. Нередко, при прочтении можно получить интересные идеи и мысли по защите своего кода и приложения от анализа. Действительно, некоторые из представителей показывают достаточно неплохой уровень защиты. Но, это скорее исключения, так как 90% экземпляров зловредов это пересобранные, перепакованные версии одной и той же (иногда немного модифицированной) версии. А с другой стороны можно посмотреть реализацию разного функционала, который можно даже использовать :D Ну что же, вот и небольшая подборка: 1. Technical analysis of Ginp android malware По факту, разбор того, как работает малварь, её возможностей и способов реализации. 2. A TECHNICAL ANALYSIS OF PEGASUS FOR ANDROID А вот это уже куда более интересное исследование самого живучего и интересного представителя - Pegasus для Андроид. Статья в нескольких частях и очень подробно разобраны все возможности и их реализация 3. Technical analysis of SharkBot android malware Исследование от авторов первой статьи по новому трояну. Ничего необычного, но есть и интересные моменты, например обнаружение работы на эмуляторе. 4. This Is the Code the FBI Used to Wiretap the World А вот эта статья достойна отдельного вашего внимания. Это троян для криминального мира. Если верить источнику, то FBI разработал защищенный мессенджер, который шифрует сообщения и обеспечивает конфиденциальность переписок и стал продавать его на черном рынке для всяких бандитов :) очень классный ход, учитывая, что все сообщения пересылались в FBI . Но интересно даже не это, а то, что судя по описанию и коду, разрабатывался проект быстро, с кучей лишнего кода, а за основу вообще был взят опенсорс. И делалось это на фрилансе сторонними разработчиками. Так что, друзья, будьте аккуратны, беря на фриланс странные проекты)) Вот такой необычный пост сегодня получился, надеюсь, что в ближайшее время про малварь больше не будет новостей, а будет что-то новое и интересное, но похоже, что все сейчас обеспокоены немного другим и не так много исследований. Но, думаю, что в ближайшее время всё наладится) Хорошей недели вам! #android #malware #pegasus
    Technical analysis of Ginp android malware

    بسم الله الرحمن الرحيم

    muha2xmad
  • Mobile AppSec World

    Уязвимости в Amazon Photo Всё больше в последнее время новостей об 0-click RCE из связки нескольких уязвимостей или уязвимостей, связанных с получением доступа к файлам внутри приложения через Path Traversal в контент-провайдерах, в общем не совсем простые вещи. Но иногда, самые простые баги тоже могут за собой повлечь немало неприятностей. Как и случилось с приложением Amazon Photos, где обычная экспортируемая Activity при вызове отправляла токен (и адрес сервера, куда этот токен отправлялся, контролировался злоумышленником). Вот собственно и вся бага :)) Весь интерес дальше, зная этот токен можно было получить полный доступ к фото и файлам пользователя (причем не только на чтение, но и запись). Так что пожалуйста, соблюдайте общую гигиену ваших приложений, не экспортируйте лишнего и помните про Intent-фильтры, которые делают ваши компоненты экспортируемыми. Ну и да, токены приватные не рассылайте кому попало :D Всех с понедельником и хорошей недели! #Amazon #Photo #Android #vulnerability
    Amazon fixes high-severity vulnerability in Android Photos app

    Amazon has confirmed and fixed a vulnerability in its Photos app for Android, which has been downloaded over 50 million times on the Google Play Store.

    BleepingComputer