🖱 Уязвимость в приложении TikTok для Android может привести к взлому аккаунта в один клик
Серьезная уязвимость в приложении TikTok для Android, которое установлено более 1.5 миллиарда раз, позволяет злоумышленникам завладеть учетной записью пользователя в один клик.
Уязвимость, отслеживаемая как CVE-2022-28799, была обнаружена Microsoft и возникает при обработке глубоких ссылок TikTok для Android — особого типа гиперссылок ОС, которые ссылаются на конкретный компонент в приложении.
Ошибка может позволить злоумышленникам изменять чужие профили пользователей TikTok и получать доступ к конфиденциальной информации, например, путем обнародования приватных видео, отправки сообщений и загрузки видео от имени пользователя.
Эксплуатация уязвимости зависит от реализации приложением интерфейсов JavaScript, которые предоставляются компонентом WebView-приложения. WebView позволяет приложениям загружать и отображать веб-страницы.
Проблема с WebView заключается в том, что если кто-то загружает в WebView веб-контент с объектами уровня приложения, доступными через JavaScript, то приложение становится уязвимым для инъекции интерфейса JavaScript. Это может привести к утечке данных, повреждению данных или, в некоторых случаях, к выполнению произвольного кода.
🗞 Блог Кодебай
#news #android #tiktok
Серьезная уязвимость в приложении TikTok для Android, которое установлено более 1.5 миллиарда раз, позволяет злоумышленникам завладеть учетной записью пользователя в один клик.
Уязвимость, отслеживаемая как CVE-2022-28799, была обнаружена Microsoft и возникает при обработке глубоких ссылок TikTok для Android — особого типа гиперссылок ОС, которые ссылаются на конкретный компонент в приложении.
Ошибка может позволить злоумышленникам изменять чужие профили пользователей TikTok и получать доступ к конфиденциальной информации, например, путем обнародования приватных видео, отправки сообщений и загрузки видео от имени пользователя.
Эксплуатация уязвимости зависит от реализации приложением интерфейсов JavaScript, которые предоставляются компонентом WebView-приложения. WebView позволяет приложениям загружать и отображать веб-страницы.
Проблема с WebView заключается в том, что если кто-то загружает в WebView веб-контент с объектами уровня приложения, доступными через JavaScript, то приложение становится уязвимым для инъекции интерфейса JavaScript. Это может привести к утечке данных, повреждению данных или, в некоторых случаях, к выполнению произвольного кода.
🗞 Блог Кодебай
#news #android #tiktok
👍10🔥2
🦈 SharkBot возвращается в Google Play, чтобы украсть ваши данные
Новая и обновленная версия вредоносной программы SharkBot снова появилась в Google Play Store, нацелившись на банковские учетные записи пользователей Android. Вредоносные приложения насчитывают десятки тысяч скачиваний.
В новой версии SharkBot 2.25, которую обнаружили исследователи 22 августа, добавлена возможность кражи cookies при входе в банковское приложение. После установки приложение-дроппер связывается с C2-сервером и запрашивает вредоносный APK-файл SharkBot. Затем приложение сообщает пользователю, что доступно обновление, и просит его установить вредоносный APK со всеми необходимыми разрешениями.
Вредонос присутствовал в двух приложениях для Android. Примечательно, что при отправке на автоматическую проверку от Google, приложения не содержали вредоносного кода. SharkBot был добавлен при обновлениях, которые пользователь сам устанавливал через приложения-дропперы.
Согласно данным компании Fox IT, два вредоносных приложения, «Mister Phone Cleaner» и «Kylhavy Mobile Security», насчитывают в общей сложности около 60.000 установок. Эти приложения были удалены из Google Play, но пользователи, установившие их ранее, должны удалить их вручную.
🗞 Блог Кодебай
#news #android #malware
Новая и обновленная версия вредоносной программы SharkBot снова появилась в Google Play Store, нацелившись на банковские учетные записи пользователей Android. Вредоносные приложения насчитывают десятки тысяч скачиваний.
В новой версии SharkBot 2.25, которую обнаружили исследователи 22 августа, добавлена возможность кражи cookies при входе в банковское приложение. После установки приложение-дроппер связывается с C2-сервером и запрашивает вредоносный APK-файл SharkBot. Затем приложение сообщает пользователю, что доступно обновление, и просит его установить вредоносный APK со всеми необходимыми разрешениями.
Вредонос присутствовал в двух приложениях для Android. Примечательно, что при отправке на автоматическую проверку от Google, приложения не содержали вредоносного кода. SharkBot был добавлен при обновлениях, которые пользователь сам устанавливал через приложения-дропперы.
Согласно данным компании Fox IT, два вредоносных приложения, «Mister Phone Cleaner» и «Kylhavy Mobile Security», насчитывают в общей сложности около 60.000 установок. Эти приложения были удалены из Google Play, но пользователи, установившие их ранее, должны удалить их вручную.
🗞 Блог Кодебай
#news #android #malware
👍5😱5❤🔥1❤1
🌐 Android пропускает трафик даже с функцией "Always-on VPN"
Эксперты Mullvad VPN обнаружили, что мобильные устройства на базе Android передают пользовательский трафик каждый раз, когда устройство подключается к новой сети Wi-Fi. Это происходит даже если активированы функции «Блокировать соединение без VPN» или «Always-on VPN».
К сожалению, причина данной проблемы реализована на уровне ОС Android и является технической особенностью. За пределами VPN-туннелей передаются следующие данные: IP-адреса, трафик HTTPS, запросы DNS Lookup и, возможно, трафик NTP.
Функция «Always-on VPN» в Android должна блокировать соединения, если владелец смартфона не использует VPN. Это способно предотвратить случайную утечку реального IP-адреса, если VPN-соединение внезапно пропадает. Однако при подключении к новой сети Wi-Fi некоторые данные передавались и без VPN.
В Google сообщили, что все так и должно быть, поэтому не стоит ждать исправление. Эксперты считают, что пользователи ОС Android вряд ли будут знать о таком поведении из-за некорректного описания функции.
🗞 Блог Кодебай
#news #android #vpn
Эксперты Mullvad VPN обнаружили, что мобильные устройства на базе Android передают пользовательский трафик каждый раз, когда устройство подключается к новой сети Wi-Fi. Это происходит даже если активированы функции «Блокировать соединение без VPN» или «Always-on VPN».
К сожалению, причина данной проблемы реализована на уровне ОС Android и является технической особенностью. За пределами VPN-туннелей передаются следующие данные: IP-адреса, трафик HTTPS, запросы DNS Lookup и, возможно, трафик NTP.
Функция «Always-on VPN» в Android должна блокировать соединения, если владелец смартфона не использует VPN. Это способно предотвратить случайную утечку реального IP-адреса, если VPN-соединение внезапно пропадает. Однако при подключении к новой сети Wi-Fi некоторые данные передавались и без VPN.
В Google сообщили, что все так и должно быть, поэтому не стоит ждать исправление. Эксперты считают, что пользователи ОС Android вряд ли будут знать о таком поведении из-за некорректного описания функции.
🗞 Блог Кодебай
#news #android #vpn
😢11👍7🤯7🤔3🔥1😐1
Первый в мире Socks5-server с поддержкой UDP протокола на телефоне Android
И так, друзья, небольшое объяснение того, как все это работает. Существует виртуальная сеть под названием Yggdrasil, которая обходит NAT и позволяет превратить ваше устройство, которое находится в локальной сети, в сервер, к которому можно будет подключиться так, как будто это устройство имеет прямой доступ в Интернет. При этом эта сеть децентрализована - что-то наподобие сети TOR, но менее безопасна.
📌 Читать далее
#proxy #socks #android
И так, друзья, небольшое объяснение того, как все это работает. Существует виртуальная сеть под названием Yggdrasil, которая обходит NAT и позволяет превратить ваше устройство, которое находится в локальной сети, в сервер, к которому можно будет подключиться так, как будто это устройство имеет прямой доступ в Интернет. При этом эта сеть децентрализована - что-то наподобие сети TOR, но менее безопасна.
📌 Читать далее
#proxy #socks #android
👍10🔥5🤔2
Трюки с adb на android
Всем привет! Сегодня рассмотрим что можно делать с ADB и для чего он предназначен. Android Debug Bridge или ADB - это инструмент для запуска команд на подключенном устройстве Android. Опыты проводились на Xiaomi Redmi Note 4X.
📌 Читать далее
#android #adb
Всем привет! Сегодня рассмотрим что можно делать с ADB и для чего он предназначен. Android Debug Bridge или ADB - это инструмент для запуска команд на подключенном устройстве Android. Опыты проводились на Xiaomi Redmi Note 4X.
📌 Читать далее
#android #adb
👍8🔥2🤣2👎1🤩1
Универсальный обход SSL pinning для андроид приложений
Привет всем, в этой статье, я объясню как обойти SSL pinning для андроид приложений используя Frida framework. Я попытаюсь объяснить все в деталях,четко и понятно. В настоящее время большинство приложений реализуют SSL pinning в своем мобильном приложении. Почему же? Давайте рассмотрим, что мы хотим безопасно обмениваться некоторыми данными между нашим устройством и сервером. Сделает ли шифрование транспортного уровня ssl передачу данных безопасной и надежной? Ну, тут есть подвох.
📌 Читать далее
#android #ssl #bypass
Привет всем, в этой статье, я объясню как обойти SSL pinning для андроид приложений используя Frida framework. Я попытаюсь объяснить все в деталях,четко и понятно. В настоящее время большинство приложений реализуют SSL pinning в своем мобильном приложении. Почему же? Давайте рассмотрим, что мы хотим безопасно обмениваться некоторыми данными между нашим устройством и сервером. Сделает ли шифрование транспортного уровня ssl передачу данных безопасной и надежной? Ну, тут есть подвох.
📌 Читать далее
#android #ssl #bypass
👍9🔥2😍1
Мой личный ТОП эмуляторов Андроид обзор, сравнение.
Здравствуйте, уважаемые коллеги! Как часто в вашей работе требовалось запустить какое-то непонятное приложение, которое очень не хочется или очень опасно запускать на личном смартфоне, а тестового устройства (жертвы будущих экспериментов) для запуска под рукой нет. Да, можно запустить Android Studio, но данное программное обеспечение требует предварительного изучения мануала - без этого не получится на нем что то запустить, но время и желание на такие задачи есть не всегда.
Считается: что лучшая задача - та, которую можно делегировать другому человеку, а на все его возникающие вопросы ответить ссылкой на статью. К сожалению, я такую статью не нашел, и, чтобы не ходить далеко, написал сам.
📌 Читать далее
#software #android
Здравствуйте, уважаемые коллеги! Как часто в вашей работе требовалось запустить какое-то непонятное приложение, которое очень не хочется или очень опасно запускать на личном смартфоне, а тестового устройства (жертвы будущих экспериментов) для запуска под рукой нет. Да, можно запустить Android Studio, но данное программное обеспечение требует предварительного изучения мануала - без этого не получится на нем что то запустить, но время и желание на такие задачи есть не всегда.
Считается: что лучшая задача - та, которую можно делегировать другому человеку, а на все его возникающие вопросы ответить ссылкой на статью. К сожалению, я такую статью не нашел, и, чтобы не ходить далеко, написал сам.
📌 Читать далее
#software #android
🔥9👍5❤3👏1