💻 Popping Android Vulnerabilities From Notification to WebView XSS
#en #android #mobile #xss #webview

Если вы всегда думали, что взлом Android-приложений сводится лишь к обходу проверки на root, SSL pinning'а или проксирования HTTP-запросов через Burp Suite для выявления уязвимостей в серверной части, возможно, пришло время изменить своё мышление. Хотя эти шаги действительно полезны, но они не раскрывают сущности всех уязвимостей Android-приложений. Автор, глубоко погрузившийся в безопасность мобильных приложений, может сказать, что настоящие уязвимости часто скрываются в самом Java-коде Android, а не только в API серверной части.

В этой статье автор покажет вам пример вредоносной отправки расширенного уведомления, которое приводит к XSS-уязвимости при обработке в WebView. Это яркий пример того, как понимание внутренних механизмов Android-приложений может помочь обнаружить значимые уязвимости, которые в противном случае могли бы остаться незамеченными.

➡️Читать далее

🌚 @poxek | 📺 Youtube | 📺 RuTube | 📺 VK Видео | 🌚 Магазин мерча

Деобфускация и поиск уязвимости в Android приложениях с помощью Gemini AI
#android #reverse #mobilepentest #gemini #google #ai

Тулза предназначена для выявления потенциальных уязвимостей и деобфускации кода Android-приложений. Используя публичный API Google's Gemini, он анализирует декомпилированный код, улучшая его читаемость путем переименования переменных и функций, а также добавления комментариев.

➡️На вход инструмент принимает папку с декомпилированным кодом
➡️На выходе мы получаем JSON файлик с именем vuln_report, где перечисляются возможные уязвимости и их импакт. Также получаем более читаемый деобфусцированный код

➡️ Установка
1️⃣Установка инструмента

git clone https://github.com/In3tinct/deobfuscate-android-app
cd deobfuscate-android-app
python3 -m venv venv
source venv/bin/activate
pip3 install -r requirements.txt

2️⃣ Устанавливаем jadx, если уже установлен, то пропускаем

wget https://github.com/skylot/jadx/releases/download/v1.5.1/jadx-1.5.1.zip
unzip jadx-1.5.1.zip
cd jadx-1.5.1/bin

3️⃣Настройка инструмента

# Достаём API ключик ai.google.dev
EXPORT GEMINI_API_KEY= "Your Gemini API Key"

➡️ Запуск

python3 script.py --llm_model gemini-1.5-flash -output_dir /tmp/ver/ -source_dir "input_dir1/ input_dir2/"

llm_model — модель LLM, используемая для анализа. В настоящее время поддерживается только Google's Gemini. Различные варианты модели можно найти здесь.
output_dir — каталог, в котором будут сохранены сгенерированные файлы.
source_dir — каталог с декомпилированным кодом. Можно указать несколько каталогов, разделяя их пробелами, как показано выше.
save_code (опционально) — по умолчанию установлено в false. Если установить в true, инструмент деобфусцирует код и сохранит его в указанном каталоге вывода; в противном случае будет сгенерирован только файл отчета об уязвимостях (vuln_report).

Важно: не отправляйте весь пакет целиком, включая библиотеки и прочее, так как сканирование может занять очень много времени. Рекомендуется указывать конкретные каталоги, содержащие код приложения. Например, если структура пакета выглядит как com/google/android/yourapp, укажите com/google/android/yourapp/receivers/.

На прикрепленных скринах видно, что примерно можно ожидать от этой тулзы.

📱 Github

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Reverse Engineer Android Apps for API Keys
#android #reverse #RE #mobile #pentest #API

Статья с pwn.guide посвящена основам реверс-инжиниринга и цифровой криминалистики (форензики) приложений под Android. В ней рассматриваются ключевые этапы анализа мобильных приложений, важные инструменты и практические советы для начинающих и опытных специалистов по информационной безопасности.

➡️Основные моменты статьи:
➡️Описывается структура Android-приложений (APK-файлов), их компоненты и способы упаковки.
➡️Даётся обзор инструментов для реверса и форензики Android, включая такие популярные решения, как Apktool, Androguard, jadx, а также специализированные forensic-утилиты вроде androick и backhack.
➡️Пошагово разбирается процесс декомпиляции APK-файла, извлечения ресурсов, анализа манифеста и кода, поиска уязвимостей и вредоносных функций.
➡️Приводятся советы по анализу разрешений, трекеров и подозрительных библиотек, а также по выявлению признаков компрометации или вредоносной активности.
➡️Рассматриваются методы динамического анализа, включая запуск приложения на эмуляторе, мониторинг сетевых запросов и взаимодействие с файловой системой.

Даются рекомендации по автоматизации анализа с помощью скриптов и интеграции различных инструментов.

➡️Необходимый тулинг
Android Studio — For running and testing APKs.
ADB — For interacting with Android devices or emulators.
APKTool — For decompiling and recompiling APKs.
JADX — For decompiling APKs to Java source code.
HTTP Toolkit — For intercepting and analyzing HTTP/HTTPS traffic.

Кому будет полезна статья:
Материал рассчитан на специалистов по кибербезопасности, исследователей вредоносных программ, а также всех, кто интересуется анализом безопасности мобильных приложений Android.

🔗 Читать далее

🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч