Код в мешке
249 subscribers
9.08K photos
1.6K videos
2.11K files
42.7K links
Код в мешке - про кодинг, и не только...
Это личная записная книжка

https://t.me/joinchat/AAAAAEIy6oGlr8oxqTMS5w
Download Telegram
Forwarded from Киллер-фича
Сделай виртуального себя через ИИ. Чувак создал двух собственных цифровых аватаров через две AI — Segment Anything и ControlNet.

@killerfeat
Как обеспечить безопасность при работе с личного мобильного устройства

Удаленная работа стала популярной и востребованной. Сотрудники все чаще работают со своих собственных устройств, поэтому информационная безопасность требует особого внимания и новых решений.
https://www.klerk.ru/blogs/laboratoria_kasperskogo/584884/
5 инструментов, которые помогут оформить сайт без дизайнера, разработчика и копирайтера

Одни сайты способны надолго удержать внимание пользователей, с других уйти хочется через 3 секунды. В чем магия «магнитных» сайтов? Узнайте, как оформить сайт так, чтобы пользователи не хотели его покидать.
https://www.klerk.ru/blogs/smartwidgets/625215/
Sextortion-атаки и правовые средства борьбы с ними

Сегодня в нашем обществе особо распространенными стали киберпреступления. С каждым днем появляются все новые и новые формы мошенничества, вымогательства и иных общественно опасных деяний, запрещенных УК.
https://www.klerk.ru/blogs/sovetnik/623171/
Беспилотники жгут людей напалмом и ловят друг друга сетями. Будущее дронов - какое оно?
https://rg.ru/2024/10/09/vojna-dronov.html

Полковник Кошкин назвал особенности украинских дронов-драконов
https://rg.ru/2024/10/12/polkovnik-koshkin-nazval-osobennosti-ukrainskih-dronov-drakonov.html
...
Forwarded from Mobile AppSec World (Yury Shabalin)
Каналы по безопасности

Всем привет!
Я немного слоупок, поэтому возможность шарить папки с чатами оказалась внезапно очень удобной))
А тут и коллеги сформировали неплохую подборку из разных каналов по ИБ

В папке собраны телеграм-каналы, где можно найти актуальные новости, аналитику и практические советы по защите от киберугроз. Уверен, эта подборка будет полезна тем, кто неравнодушен к вопросам кибербезопасности как в интернете, так и за его пределами.

Добавляйте к себе папку и делить с друзьями и коллегами

В общем, добавляйте и читайте)
Forwarded from SecAtor
Исследователи McAfee обнаружили новый тип мобильного ПО SpyAgent для Android, реализующую технологию оптического распознавания символов OCR для кражи фраз мнемонических ключей из изображений на устройстве.

Мнемонический ключ — это, по сути, фраза из 12-24 слов, которая обеспечивает восстановление доступа к криптокошельку в качестве резервного ключа.

Такие секретные фразы являются крайне востребованной целью для злоумышленников, поскольку получение к ним доступа позволит им завладеть как кошельком, так и средствами на нем.

Поскольку такой ключ трудно запомнить, его часто скриншотят и хранят в изображениях на мобильном устройстве, нежели чем отдельно выписанную фразу на бумажке в безопасном месте.

Замеченная McAfee вредоносная кампания затронула как минимум 280 APK, распространяемых за пределами Google Play с помощью SMS или вредоносных сообщений в социальных сетях.

Некоторые из заряженных приложений для Android выдают себя за государственные сервисы, сайты знакомств и порноресурсы.

Основной таргет пришелся на Южную Корею, но McAfee заметила планвное расширение географии атака в сторону Великобритании.

При этом выявлены также и признаки того, что версия для iOS находится на стадии разработки.

После заражения нового устройства SpyAgent начинает отправлять на свой C2 следующую конфиденциальную информацию: список контактов (для дальнейшего распространения), входящие SMS с OTP, пригодные для OCR изображения, а также общую информацию об устройстве.

SpyAgent
также способна получать команды с C2 для изменения настроек звука или отправки SMS-сообщений, которые, вероятно, используются для рассылки фишинговых текстов с целью распространения вредоносного ПО.

Как удалось выяснить McAfee, операторы SpyAgent особо не соблюдали надлежащие меры безопасности при настройке своих серверов, что позволило исследователям получить к ним доступ.

Изучив панель администратора, а также украшенные файлы и данные, McAfee смогли идентифицировать ряд жертв вредоносного ПО, одной из которых оказалось устройство Apple iPhone c iOS 15.8.2 с системным языком, установленным на упрощенный китайский («zh»).

При этом если изначально вредоносное ПО взаимодействовало со своим C2 посредством простых HTTP-запросов, то последняя версия использует соединения WebSocket.

Украденные изображения обрабатываются и сканируются с помощью OCR на стороне сервера, а затем соответствующим образом организуются на панели администратора, что обеспечивает оперативность использования в атаках.

Следует отметить, что технология OCR не нова в киберподполье, в июле 2023 Trend Micro находила два семейства вредоносных ПО для Android под названием CherryBlos и FakeTrade, распространявшихся через Google Play.

Так что можно смело констатировать, что такая тактика начинает набирать популярность.
Forwarded from Swordfish Security (Leila Galimova)
Запись вебинара по мобильной безопасности уже на YouTube!

Привет, друзья!

Недавно команда AppSec Solutions с продуктом Стингрей провела вебинар «Стендап о безопасности мобильных приложений». Было жарко! 🔥 Мы обсудили самые актуальные уязвимости и новые векторы атак на 2024 год.

Если пропустили — не беда! Запись уже готова:🔜ссылка

А теперь внимание: 🎆 бонус! Мы подготовили для вас демо-анализ безопасности вашего мобильного приложения!

Чтобы его получить, просто в любой из форм обратной связи на сайте, укажите ключевое слово "вебинар".
🔜Проверить приложение

Благодарим вас за участие и до встречи на наших следующих мероприятиях!
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Mobile AppSec World (Yury Shabalin)
Уязвимости в Google Pixel

На вебинаре, который недавно проходил (кстати, скоро будет запись), спросили, а нет ли каких-то проблем с Pixel или OnePlus?
Конечно, такого лютого списка, как с Samsung или Xiaomi нет, но вот есть крайне занятная статейка.

Условно, на куче Pixel'ей было установлено приложение Showcase.apk (с системными привилегиями), которое нельзя удалить.

Это приложение получало конфиг с удаленного сервера по HTTP и благодаря этому моно было выполнять произвольный код от имени системы :)

Кто спрашивал про Pixel, они тоже не идеальны :)

#android #pixel
Forwarded from Ева Коршунова
⭐️ ПО для удаленного доступа — незаменимый инструмент специалистов по ИБ, руководителей ИТ-компаний, технической поддержки организации и системных администраторов, который решает множество задач:

— Организация безопасного удаленного доступа
— Автоматизация администрирования ИТ Инфраструктуры
— Организация удаленной интерактивной тех. поддержки
— Импортозамещение
— Миграция на альтернативные ОС

В выборе универсального решения для удаленного доступа и управления конечными устройствами поможет вебинар от команды Код ИБ и RuDesktop.

🗓 27 августа в 11:00 (мск) узнайте о широких возможностях отечественного ПО. Спикеры познакомят вас с уникальным решением и ответят на все вопросы.

Участие бесплатное по предварительной регистрации.
Please open Telegram to view this post
VIEW IN TELEGRAM
Когда-то писал гайд о том как собрать iphone без ssl pinning. И вот случился момент, когда тестовое приложение не может работать ниже ios 16. Пришлось суетить. На помощь пришел старенький iphoneX. Оказывается его можно сделать rootfull практически без боли и страданий.
1) Берем iphone X. И обновляем до последней версии ios 16.7.10 стандартным обновлением. Можно и вручную накатить последнюю подписанную версию https://ipsw.me/
2) Дальше берем Macbook с разъемом usb-A и подключаем iphone через lightning провод. Пришлось поискать оригинальный.
3) После ставим Palera1n по инструкции на компьютер.
4) Запускаем в режиме palera1n -cf следуя инстркциям по зажиманию клавиш телефона. Потом мне еще потребовалось повторить palera1n -f.
5) Айфон получил palera1n app и возможность установить Sileo package manager.
6) Качаем последний релиз ssl-kill-switch3 , открываем через Sileo и выполняем установку пакета.
7) Ставим бурповый сертификат из http://bupr
Буквально спустя пару часов нашел critical. Все было не зря 🦾
Forwarded from Mobile AppSec World (Yury Shabalin)
Персональные данные и мобильные приложения, как они связаны?

Всем привет!

Я наконец выплыл из отпуска и возвращаюсь в рабочее русло 😄

И на повестке дня сегодня не что иное, как персональные данные и их утечки.
Меня очень давно интересовал этот вопрос, можно ли считать хранение или утечку ПДн через мобилку на самом деле утечкой, чем это может грозить и вообще, что же такое мобильное приложение с точки зрения нашего законодательства?

Я потратил достаточно много времени и экспертизой своих коллег чтобы разобраться в этом вопросе и вот результат - статья на Хабр.

Как мне кажется получилось достаточно неплохо, по крайней мере для себя я определился и с понятиями ПДн в мобилках и с определением приложений вообще в законах. Надеюсь, вам тоже это будет интересно. Особенно, учитывая, что сейчас на рассмотрении закон о введении оборотных штрафов для компаний, допустивших утечки.

Приятного чтения!

#habr #ПДн
Forwarded from Mobile AppSec World (Yury Shabalin)
Очень классная статья про системные приложения в Android

Статья очень понятно объясняет классификацию и привилегии приложений Android. Если кратко, то на самом деле есть пять основных групп приложений:
- недоверенные приложения
- предустановленные приложения
- привилегированные приложения
- приложения с подписью платформы
- приложения с системным UID.

Каждая категория имеет свои специфические разрешения и правила в SELinux, которые определяют их возможности.

Очень рекомендую почитать!

#android #apps #permissions
Forwarded from Mobile AppSec World (Yury Shabalin)
Разбираемся с уязвимостью в Jetpack Navigation

Всем привет!

Относительно недавно многоуважаемый @OxFi5t подсветил исследование коллег из Positive Technologies про новый вектор атаки на Android через проблемы в библиотеке Jetpack . Спасибо огромное им за исследование, оно реально крутое!

Мы не смогли остаться в стороне, тоже немного покапались в исследовании, нашли пару интересных вещей, не освещенных в оригинальном материале и сегодня я представляю вашему вниманию результат наших трудов, статью "Разбираемся с новой уязвимостью в Android-библиотеке Jetpack Navigation".

Кроме технических деталей самой проблемы мы еще дополнительно проанализировали 1000 приложений из различных маркетов и собрали интересную статистику по подверженности данной проблеме. Если кратко, то 21% из исследованых нами приложений содержит уязвимую навигацию. Эксплуатабельны ли они это отдельный вопрос, который, я надеюсь, мы разберем в дальнейшем обязательно))

Если интересно исследование с цифрами, какие категории оказались наиболее подвержены данной проблеме - можно посмотреть у нас на сайте.

А пока - приятного чтения и спасибо еще раз коллегам за шикарную уязвимость!

#jetpack #stingray #navigation #issue #research
Forwarded from Mobile AppSec World (Yury Shabalin)
Управление уязвимостями или как быть в курсе всего

Всем привет!

Как многие из вас знают, недавно была опубликована уязвимость в Telegram, которая при должном уровне подготовки с небольшой примесью социальной инженерии превращалась в возможность установки произвольного приложения на устройство пользователя!

Эту новость я впервые увидел на канале "Управление Уязвимостями и прочее" моего друга, Саши Леонова, который делится новостями из мира ИБ, своими мыслями, комментариями и идеями.

Всем, кто интересуется миром ИБ, рекомендовал бы подписаться, так как сам с удовольствием читаю и много нового узнаю :)

Например о том, что есть такая замечательная штука, как Vulristics, которая может очень хорошо помочь собрать и агрегировать дополнительную информацию по обнаруженным CVE идентификатором, чтобы понять насколько они действительно критичны. В канале выходят ежемесячные обзоры Microsoft Patch Tuesday и Linux Patch Wednesday уязвимостей, проанализированных с помощью Vulristics.

Так что, приятного чтения!

#vulristics #leonov #telegram #cve
Forwarded from Белый хакер
⚙️ Apple опубликовала открытую библиотеку гомоморфного шифрования

Привет, друзья! Хотите узнать что-то крутое из мира шифрования и безопасности данных? Apple выкатил открытую библиотеку для гомоморфного шифрования, написанную на Swift. Это значит, что теперь можно создавать приложения, которые работают с зашифрованными данными, не раскрывая их на промежуточных этапах обработки.

🧑‍💻 Гомоморфное шифрование позволяет выполнять вычисления с данными, которые остаются зашифрованными на всех этапах обработки. То есть вы шифруете данные, передаёте их на сервер, сервер выполняет нужные вычисления и возвращает результат тоже в зашифрованном виде. Расшифровать результат можете только вы, используя свои ключи. Такой подход идеально подходит для облачных сервисов, конфиденциальных вычислений, электронного голосования и даже для работы с зашифрованными данными в СУБД и машинном обучении.


Apple использует схему BFV (Brakerski-Fan-Vercauteren), основанную на задаче обучения с ошибками в кольце (RLWE), которая защищена от криптоанализа квантовыми компьютерами. В библиотеке Swift Crypto находятся низкоуровневые примитивы для шифрования, что обеспечивает безопасность и производительность.

Как это может помочь?

🖌 Представьте себе огромные базы данных, которые невозможно передать на клиентскую сторону для проверки. С гомоморфным шифрованием это не проблема: достаточно передать небольшую порцию метаданных, и сервер сделает всю работу, сохраняя данные в безопасности.

P. S Библиотека распространяется под лицензией Apache 2.0, так что каждый из вас может её использовать и дорабатывать. Это огромный шаг вперёд в мире безопасности данных и конфиденциальных вычислений.

#Apple #Шифрование
Белый хакер
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Mobile AppSec World (Yury Shabalin)
Шифрование!

Вот это прям реально круто! И чтобы Apple, да в openSource. Это внушает надежды, что проект будет поддерживаться.

Однако, судя по тому, что мы видим, редко кто обычное шифрование использует, почти никогда не встретишь использование Security Enclave, что говорить о гомоморфном шифровании (всегда два раза проверяю написание этого слова).

Но очень хочется верить, что если это правильно донести до разработки, очень надеюсь, что мы скоро сможем увидеть использование этого подхода в приложениях.

Так что изучаем, продвигаем и используем! :D
Forwarded from Mobile AppSec World (Yury Shabalin)
Это лучшее, что я читал и слышал за последнее время!

Спасибо @OxFi5t за прекрасный ресерч!

Если честно, боюсь представить, сколько приложений подвержено этой проблеме.. Учитывая, что согласно нашему последнему анализу, примерно каждое 4-е приложение использует Jetpack :)

Но думаю, очень скоро мы это узнаем))
Forwarded from Android Guards
Опять Android, опять навигация. Я уже рассказывал вам про интересную технику эксплуатации уязвимости в библиотеке Jetpack Navigation, которую обнаружил мой коллега. Кто не читал, обязательно ознакомьтесь. В той статье шла речь про навигацию для приложений использующих фрагменты. Но проблема не только в них. Поэтому я решил посмотреть что там с расширением для Jetpack Compose и оказалось, что там все еще веселее. Техники эксплуатации этой уязвимости даже более простые, чем в предыдущем варианте. Исследование вышло в двух вариантах:
1. На английском языке в блоге PT SWARM
2. На русском языке в моем личном блоге

Надеюсь вам понравится.