Обложка канала

Mobile AppSec World. Страница 6

Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое.

  • Mobile AppSec World

    Запись демо. Всем привет! Наконец дошли руки и появилась возможность нарезать демо, которое проводили летом. https://youtu.be/b3kOvsQoFfA Надеюсь, что скоро будет ещё одно, по нашим новым фичам) так что, можно обновить воспоминания, а что же такое наш Стингрей :) #stingray #demo
    Демонстрация платформы Стингрей

    Стингрей – платформа автоматизированного анализа защищённости мобильных приложений. Выявляет более 60 типов уязвимостей в iOS и Android приложениях​. Снижает затрат на устранение проблем безопасности за счет автоматизации​. В это видео Юрий Шабалин подробно расскажет про все основные функции платформы: #информационнаябезопасность #мобильныеприложения #devops #devsecops #информационныетехнологии #кибербезопасность #импортозамещение #android #iOS #owasp #owasptop10

    YouTube
  • Mobile AppSec World

    Анализ трафика Android-сматрфона Крайне занимательная статья вышла на Хабр под названием "Анализ трафика телеметрической информации Android смартфона". Автор взял обычный телефон со сброшенной к заводским установкам прошивкой и установленным пакетом российского ПО, без синхронизированных учётных записей. То есть по факту - телефон из "магазина" и проверил, кто и что отправляет в фоне на сервера, какую информацию, какие данные об устройстве, активности и т.д. Крайне занимательно, что запросов и данных передается достаточно много (что не удивительно), но еще интереснее исследование было бы с десятком установленных приложений. Боюсь, что там целая армия исследователей понадобилась бы, чтобы все данные проанализировать. Ну или просто взять "голый" Xiaomi и умереть от количества информации, что все его стоковые приложения шлют :D В общем, очень интересно почитать) #Android #Telemetry #traffic
    Анализ трафика телеметрической информации Android смартфона

    Сбор телеметрических данных о пользователях и их действиях в вебе и приложениях — плата за пользование «бесплатными» сервисами в Интернете. Пользователи расплачиваются своим вниманием и временем,...

    Хабр
  • Mobile AppSec World

    Jailbreak для iOS 15 Интересные новости приехали, а именно про открытый и доступный Jail для iOS 15 - Palera1n Jailbreak. По контенту статьи доступные устройства для джейла: iPhone X, iPhone 8, iPhone 8 Plus, iPhone 7, iPhone 7 Plus, iPhone 6s, iPhone 6s Plus, iPhone 6, iPhone 6 Plus, iPhone SE А так же версии: - iOS 15.1.1, 15.1, 15.0.2 , 15.0.1, 15 - iOS 15.4, iOS 15.3, iOS 15.2 - iOS 15.7, iOS 15.6, iOS 15.5 Не уверен, что это чистая правда и что всё работает, но очень надеюсь в скором времени проверить лично) Если это действительно так, то нужно подождать ещё пару месяцев до того времени, как наиболее популярные твики допишут под новую версию и можно будет полноценно использовать устройство для всяких непотребств анализа приложений 😄 Но в любом случае, даже если частично правда (так как в репо авторов немного другая информация), это в любом случае хороший такой лучик надежды на долгожданный джейл на 15 iOS! Если кто уже попробовал или знает подробности - отпишитесь, пожалуйста :) #iOS #jailbreak #news
    Palera1n Jailbreak - iOS 15 to iOS 15.7: Full Review.

    Palera1n Jailbreak App Review: First public Semi-Tethered, checkm8-based jailbreak app for iOS 15.0 - 15.7 on iPhone, iPad, and iPod Touch devices. Are

    iOS - Jailbreak Online
  • Реклама

  • Mobile AppSec World

    Заметки на полях. Дебаг нативных библиотек при помощи IDA В соседнем чате прислали интересную небольшую инструкцию, как можно удобно дебажить нативные библиотеки при помощи IDA: www.trustwave.com/en-us/r…sing-ida #IDA #android #reverse #debug
    Debugging Android Libraries using IDA

    During a recent test, I encountered a native JNI library used by an Android application. I needed to understand this library and what it did, so the first step was to load the library in IDA to see what it...

    Trustwave
  • Mobile AppSec World

    Вторая часть исследования iOS-приложений под обфускацией Почитав блог из предыдущей статьи, я нашел у автора вторую часть этой, на самом деле, крайне полезной статьи. Вдохновившись анализом и защитой SignPass, автор нашел еще одно приложение, которое было пропущено через тот же обфускатор, но включало в себя намного более строгие проверки в рантайме. Что мне понравилось, это способ "защиты" от анализа crash-лога приложения, когда оно падает или аварийно завершается при обнаружении Frida или jailbreak. А именно, перед завершением работы обфускатор затирает некоторые регистры, например LR. А в твуом формате iOS-служба для анализа сбоев не может правильно построить стек вызовов функций, которые привели к сбою. Очень занятно, так как из crash-лога можно было бы получить нужную информацию.о том, где происходят проверки. Как и в первой статье, подробно расписано, как и что автор делал, чтобы найти точки в приложении, где реализована защита, как он ее обходил и как именно это приложение было защищено. Ну и конечно, в статье много хороших отсылок на другие полезные статьи. Некоторые из них, если вам лень с утра пораньше открывать и читать статью: - Deobfuscation: recovering an OLLVM-protected program - Automated Detection of Control-flow Flattening - D810: A journey into control flow unflattening В общем, настоятельно рекомендую ознакомиться всем, кто занимается iOS и реверсом, крайне полезная штука. #ios #reverse #rasp #frida #obfuscation
    Part 2 – iOS Native Code Obfuscation and Syscall Hooking | Romain Thomas

    This second blog post deals with native code obfuscation and RASP syscall interception

    Romain Thomas
  • Mobile AppSec World

    Анализ iOS-приложения SignPass, анализ обфускации и обход RASP Очень интересная статья про подход к анализу приложения, нативный код которого обфусцирован, а само оно имплеменитрует методику RASP, а именно всё, что мы так любим, обнаружение Jailbreak, отладчиков, обнаружение Frida и всё вот это. Очень подробно и тщательно описаны шаги и действия автора, поиск и обход всех проверок (а их там немало) с примерами кода и ассемблерными вставками. В общем очень-очень рекомендую ознакомиться всем, кто работает с iOS-приложениями и занимается реверсом и Frida. #ios #frida #rasp
    Part 1 – SingPass RASP Analysis | Romain Thomas

    This first blog post introduces the RASP checks used in SingPass

    Romain Thomas
  • Mobile AppSec World

    Больше Flutter'a богу Flutter! Всем привет! Я наконец-то отошел от конференции, осознал себя, долечился и готов снова поставлять новости и контент по мобилкам, как и раньше. А накопилось его за это время порядком уже, месяц как-никак прошел... 😳 Ну и начнем мы с любимого всеми Flutter, его особенностей, способа анализа и прочего-прочего-прочего. По стопам доклада с OFFZONE (надеюсь, скоро будут и видео), вышла большая статья от @impact_l посвященная особенностям архитектуры, компиляции и, конечно анализу подобных приложений. Очень подробная и качественная статья полностью раскрывающая нюансы, которые не были упомянуты в докладе из-за ограничений по времени. Так что, надеюсь, утренний кофе сегодня будет намного вкуснее и интереснее, чем обычно. Приятного чтения! И да, подписывайтесь на канал от автора статьи, он публикует классный контент (и не только по мобилкам)! С возвращением меня и хорошей недели всем! #return #flutter #reflutter
    Fork Bomb for Flutter

    Flutter applications can be found in security analysis projects or bugbounty programs. Most often, such assets are simply overlooked due to the lack of methodologies and ways to reverse engineer them. I decided not to skip this anymore and developed the reFlutter tool. This article describes the results of my research. Summary The report starts […]

    PT SWARM
  • Mobile AppSec World

    Перенос вебинара. Всем привет! С большим сожалением нам пришлось перенести дату проведения вебинара на сентябрь (более точно дату скажу позже). Я после конфы сильно приболел, так что пришлось немного подвинуться :) Ну ничего, будет значит больше времени на подготовку и ещё больше классного контента! Не болейте!
  • Mobile AppSec World

    Спасибо всем огромное за участие! Действительно, за последние полчаса произошли существенные изменения в турнирной таблице =) Поздравим наших победителей!
  • Mobile AppSec World

    А чтобы было чуть интереснее, мы заморозим скорборд и будет неизвестно, кто победил до самого часа Х (16-00) 5 участников буквально в шаге от победы. Так что, нее упустите свой шанс и скоро мы узнаем тройку призеров!
  • Mobile AppSec World

    И вторая половина =)
  • Mobile AppSec World

    Первая десятка участников!
  • Mobile AppSec World

    Окончание CTF Друзья! Спасибо всем огромное, кто принимал участие в «Своей Игре» и болел за участников и иногда им помогал :) Было очень весело и круто! Ну а мы потихоньку завершаем наш CTF по Android и iOS, осталось совсем немного времени, чтобы пробиться в лидеры! В 16:00 проведем награждение всех, кто занял призовые места! А именно с первого по двадцатое! Так что приходите за призами и наградами! :D
  • Mobile AppSec World

    Своя игра! Ребят, все, кто на OFFZONE, около стенда проводим свою игру! Приходите, посмотреть или поучаствовать :)
  • Mobile AppSec World

    Второй день мы с вами! Всем привет, надеюсь, вы живы после вчерашнего дня конференции =) Сегодня мы снова с вами и вас ждет не менее интересный день. В 14-00 проведем "Свою игру", вечером подведем итоги мобильного CTF и наградим победителей футболками, мерчем и, конечно, начислим OffCoin'ы! Приходите поболтать, посмотреть на демку и просто весело провести время! #android #iOS #CTF #OFFZONE
  • Реклама

  • Mobile AppSec World

    Ну и в качестве небольшого подгона) Стикерпак с мобилками, в лучших традициях жанра)))
  • Mobile AppSec World

    OFFZONE! CTF! Участвуйте и приходите к нам! Всем привет! Итак, конференция OFFZONE 2022 официально началась! У нас свой комьюнити стенд, так что приходите знакомиться! У нас классные активности, а именно CTF по Android и iOS! Заходите, участвуйте, получайте фан и крутой мерч) Зарегистрироваться на CTF можно тут: https://mobile.ctf.appsec.global/ За первые 10 мест обещаем футболки, OffCoin и полный набор мерча! И конечно, те, кто участвовал в розыгрышах, приходите за обещеннымы подарками) LETS GO! #OFFZONE #CTF
  • Mobile AppSec World

    А что после OFFZONE? И после OFFZONE есть жизнь)) Хочу пригласить всех желающих на небольшой вебинар «Безопасность мобильных приложений в текущих реалиях». Пройдет он во вторник, 30 августа в 14:00 (мск). Я расскажу, что вообще сейчас происходит с безопасностью мобилок и каких угроз сегодня стоит опасаться больше всего. Обсудим с вами, как защитить данные пользователей и технологии. Поговорим о подходах и инструментах, с помощью которых можно автоматизировать тестирование приложений. Ну а в конце встречи участники получат специальное предложение (это пока секрет)) Постараюсь дать как можно больше практических деталей, ответить на все ваши вопросы и сделать вебинар максимально полезным для вас) Не забудьте заранее зарегистрироваться по этой ссылке. Надеюсь, увидеть много знакомых лиц :) #webinar #stingray