Forwarded from Swordfish Security (Leila Galimova)
Запись вебинара по мобильной безопасности уже на YouTube!
Привет, друзья!
Недавно команда AppSec Solutions с продуктом Стингрей провела вебинар «Стендап о безопасности мобильных приложений». Было жарко! 🔥 Мы обсудили самые актуальные уязвимости и новые векторы атак на 2024 год.
Если пропустили — не беда! Запись уже готова:🔜 ссылка
А теперь внимание:🎆 бонус! Мы подготовили для вас демо-анализ безопасности вашего мобильного приложения!
Чтобы его получить, просто в любой из форм обратной связи на сайте, укажите ключевое слово "вебинар".
🔜 Проверить приложение
Благодарим вас за участие и до встречи на наших следующих мероприятиях!
Привет, друзья!
Недавно команда AppSec Solutions с продуктом Стингрей провела вебинар «Стендап о безопасности мобильных приложений». Было жарко! 🔥 Мы обсудили самые актуальные уязвимости и новые векторы атак на 2024 год.
Если пропустили — не беда! Запись уже готова:
А теперь внимание:
Чтобы его получить, просто в любой из форм обратной связи на сайте, укажите ключевое слово "вебинар".
Благодарим вас за участие и до встречи на наших следующих мероприятиях!
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Mobile AppSec World (Yury Shabalin)
Уязвимости в Google Pixel
На вебинаре, который недавно проходил (кстати, скоро будет запись), спросили, а нет ли каких-то проблем с Pixel или OnePlus?
Конечно, такого лютого списка, как с Samsung или Xiaomi нет, но вот есть крайне занятная статейка.
Условно, на куче Pixel'ей было установлено приложение Showcase.apk (с системными привилегиями), которое нельзя удалить.
Это приложение получало конфиг с удаленного сервера по HTTP и благодаря этому моно было выполнять произвольный код от имени системы :)
Кто спрашивал про Pixel, они тоже не идеальны :)
#android #pixel
На вебинаре, который недавно проходил (кстати, скоро будет запись), спросили, а нет ли каких-то проблем с Pixel или OnePlus?
Конечно, такого лютого списка, как с Samsung или Xiaomi нет, но вот есть крайне занятная статейка.
Условно, на куче Pixel'ей было установлено приложение Showcase.apk (с системными привилегиями), которое нельзя удалить.
Это приложение получало конфиг с удаленного сервера по HTTP и благодаря этому моно было выполнять произвольный код от имени системы :)
Кто спрашивал про Pixel, они тоже не идеальны :)
#android #pixel
iverify.io
iVerify Discovers Android Vulnerability Impacting Millions of Pixel Devices Around the World
iVerify discovered an Android package, with excessive system privileges on a very large percentage of Pixel devices shipped worldwide.
Forwarded from Ева Коршунова
— Организация безопасного удаленного доступа
— Автоматизация администрирования ИТ Инфраструктуры
— Организация удаленной интерактивной тех. поддержки
— Импортозамещение
— Миграция на альтернативные ОС
В выборе универсального решения для удаленного доступа и управления конечными устройствами поможет вебинар от команды Код ИБ и RuDesktop.
🗓 27 августа в 11:00 (мск) узнайте о широких возможностях отечественного ПО. Спикеры познакомят вас с уникальным решением и ответят на все вопросы.
Участие бесплатное по предварительной регистрации.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Поросёнок Пётр
Когда-то писал гайд о том как собрать iphone без ssl pinning. И вот случился момент, когда тестовое приложение не может работать ниже ios 16. Пришлось суетить. На помощь пришел старенький iphoneX. Оказывается его можно сделать rootfull практически без боли и страданий.
1) Берем iphone X. И обновляем до последней версии ios 16.7.10 стандартным обновлением. Можно и вручную накатить последнюю подписанную версию https://ipsw.me/
2) Дальше берем Macbook с разъемом usb-A и подключаем iphone через lightning провод. Пришлось поискать оригинальный.
3) После ставим Palera1n по инструкции на компьютер.
4) Запускаем в режиме palera1n -cf следуя инстркциям по зажиманию клавиш телефона. Потом мне еще потребовалось повторить palera1n -f.
5) Айфон получил palera1n app и возможность установить Sileo package manager.
6) Качаем последний релиз ssl-kill-switch3 , открываем через Sileo и выполняем установку пакета.
7) Ставим бурповый сертификат из http://bupr
Буквально спустя пару часов нашел critical. Все было не зря 🦾
1) Берем iphone X. И обновляем до последней версии ios 16.7.10 стандартным обновлением. Можно и вручную накатить последнюю подписанную версию https://ipsw.me/
2) Дальше берем Macbook с разъемом usb-A и подключаем iphone через lightning провод. Пришлось поискать оригинальный.
3) После ставим Palera1n по инструкции на компьютер.
4) Запускаем в режиме palera1n -cf следуя инстркциям по зажиманию клавиш телефона. Потом мне еще потребовалось повторить palera1n -f.
5) Айфон получил palera1n app и возможность установить Sileo package manager.
6) Качаем последний релиз ssl-kill-switch3 , открываем через Sileo и выполняем установку пакета.
7) Ставим бурповый сертификат из http://bupr
Буквально спустя пару часов нашел critical. Все было не зря 🦾
Forwarded from Mobile AppSec World (Yury Shabalin)
Персональные данные и мобильные приложения, как они связаны?
Всем привет!
Я наконец выплыл из отпуска и возвращаюсь в рабочее русло 😄
И на повестке дня сегодня не что иное, как персональные данные и их утечки.
Меня очень давно интересовал этот вопрос, можно ли считать хранение или утечку ПДн через мобилку на самом деле утечкой, чем это может грозить и вообще, что же такое мобильное приложение с точки зрения нашего законодательства?
Я потратил достаточно много времени и экспертизой своих коллег чтобы разобраться в этом вопросе и вот результат - статья на Хабр.
Как мне кажется получилось достаточно неплохо, по крайней мере для себя я определился и с понятиями ПДн в мобилках и с определением приложений вообще в законах. Надеюсь, вам тоже это будет интересно. Особенно, учитывая, что сейчас на рассмотрении закон о введении оборотных штрафов для компаний, допустивших утечки.
Приятного чтения!
#habr #ПДн
Всем привет!
Я наконец выплыл из отпуска и возвращаюсь в рабочее русло 😄
И на повестке дня сегодня не что иное, как персональные данные и их утечки.
Меня очень давно интересовал этот вопрос, можно ли считать хранение или утечку ПДн через мобилку на самом деле утечкой, чем это может грозить и вообще, что же такое мобильное приложение с точки зрения нашего законодательства?
Я потратил достаточно много времени и экспертизой своих коллег чтобы разобраться в этом вопросе и вот результат - статья на Хабр.
Как мне кажется получилось достаточно неплохо, по крайней мере для себя я определился и с понятиями ПДн в мобилках и с определением приложений вообще в законах. Надеюсь, вам тоже это будет интересно. Особенно, учитывая, что сейчас на рассмотрении закон о введении оборотных штрафов для компаний, допустивших утечки.
Приятного чтения!
#habr #ПДн
Хабр
Защита персональных данных в мобильных приложениях: как не нарушить закон
Всем привет! На связи Юрий Шабалин, директор по развитию технологий ИИ ГК Swordfish Security и руководитель продукта AppSec.Sting. В предыдущей статье я рассказывал о влиянии Профиля защиты ЦБ РФ на...
Forwarded from Mobile AppSec World (Yury Shabalin)
Очень классная статья про системные приложения в Android
Статья очень понятно объясняет классификацию и привилегии приложений Android. Если кратко, то на самом деле есть пять основных групп приложений:
- недоверенные приложения
- предустановленные приложения
- привилегированные приложения
- приложения с подписью платформы
- приложения с системным UID.
Каждая категория имеет свои специфические разрешения и правила в SELinux, которые определяют их возможности.
Очень рекомендую почитать!
#android #apps #permissions
Статья очень понятно объясняет классификацию и привилегии приложений Android. Если кратко, то на самом деле есть пять основных групп приложений:
- недоверенные приложения
- предустановленные приложения
- привилегированные приложения
- приложения с подписью платформы
- приложения с системным UID.
Каждая категория имеет свои специфические разрешения и правила в SELinux, которые определяют их возможности.
Очень рекомендую почитать!
#android #apps #permissions
Meta Red Team X
The many meanings of “system app” in modern Android
Not all Android apps are created equal. The Settings app on an Android device, for example, can change numerous things that no “normal” app can, regardless of how many permissions that app requests. Apps with special privileges like Settings are often called…
Forwarded from Mobile AppSec World (Yury Shabalin)
Разбираемся с уязвимостью в Jetpack Navigation
Всем привет!
Относительно недавно многоуважаемый @OxFi5t подсветил исследование коллег из Positive Technologies про новый вектор атаки на Android через проблемы в библиотеке Jetpack . Спасибо огромное им за исследование, оно реально крутое!
Мы не смогли остаться в стороне, тоже немного покапались в исследовании, нашли пару интересных вещей, не освещенных в оригинальном материале и сегодня я представляю вашему вниманию результат наших трудов, статью "Разбираемся с новой уязвимостью в Android-библиотеке Jetpack Navigation".
Кроме технических деталей самой проблемы мы еще дополнительно проанализировали 1000 приложений из различных маркетов и собрали интересную статистику по подверженности данной проблеме. Если кратко, то 21% из исследованых нами приложений содержит уязвимую навигацию. Эксплуатабельны ли они это отдельный вопрос, который, я надеюсь, мы разберем в дальнейшем обязательно))
Если интересно исследование с цифрами, какие категории оказались наиболее подвержены данной проблеме - можно посмотреть у нас на сайте.
А пока - приятного чтения и спасибо еще раз коллегам за шикарную уязвимость!
#jetpack #stingray #navigation #issue #research
Всем привет!
Относительно недавно многоуважаемый @OxFi5t подсветил исследование коллег из Positive Technologies про новый вектор атаки на Android через проблемы в библиотеке Jetpack . Спасибо огромное им за исследование, оно реально крутое!
Мы не смогли остаться в стороне, тоже немного покапались в исследовании, нашли пару интересных вещей, не освещенных в оригинальном материале и сегодня я представляю вашему вниманию результат наших трудов, статью "Разбираемся с новой уязвимостью в Android-библиотеке Jetpack Navigation".
Кроме технических деталей самой проблемы мы еще дополнительно проанализировали 1000 приложений из различных маркетов и собрали интересную статистику по подверженности данной проблеме. Если кратко, то 21% из исследованых нами приложений содержит уязвимую навигацию. Эксплуатабельны ли они это отдельный вопрос, который, я надеюсь, мы разберем в дальнейшем обязательно))
Если интересно исследование с цифрами, какие категории оказались наиболее подвержены данной проблеме - можно посмотреть у нас на сайте.
А пока - приятного чтения и спасибо еще раз коллегам за шикарную уязвимость!
#jetpack #stingray #navigation #issue #research
Forwarded from Mobile AppSec World (Yury Shabalin)
Управление уязвимостями или как быть в курсе всего
Всем привет!
Как многие из вас знают, недавно была опубликована уязвимость в Telegram, которая при должном уровне подготовки с небольшой примесью социальной инженерии превращалась в возможность установки произвольного приложения на устройство пользователя!
Эту новость я впервые увидел на канале "Управление Уязвимостями и прочее" моего друга, Саши Леонова, который делится новостями из мира ИБ, своими мыслями, комментариями и идеями.
Всем, кто интересуется миром ИБ, рекомендовал бы подписаться, так как сам с удовольствием читаю и много нового узнаю :)
Например о том, что есть такая замечательная штука, как Vulristics, которая может очень хорошо помочь собрать и агрегировать дополнительную информацию по обнаруженным CVE идентификатором, чтобы понять насколько они действительно критичны. В канале выходят ежемесячные обзоры Microsoft Patch Tuesday и Linux Patch Wednesday уязвимостей, проанализированных с помощью Vulristics.
Так что, приятного чтения!
#vulristics #leonov #telegram #cve
Всем привет!
Как многие из вас знают, недавно была опубликована уязвимость в Telegram, которая при должном уровне подготовки с небольшой примесью социальной инженерии превращалась в возможность установки произвольного приложения на устройство пользователя!
Эту новость я впервые увидел на канале "Управление Уязвимостями и прочее" моего друга, Саши Леонова, который делится новостями из мира ИБ, своими мыслями, комментариями и идеями.
Всем, кто интересуется миром ИБ, рекомендовал бы подписаться, так как сам с удовольствием читаю и много нового узнаю :)
Например о том, что есть такая замечательная штука, как Vulristics, которая может очень хорошо помочь собрать и агрегировать дополнительную информацию по обнаруженным CVE идентификатором, чтобы понять насколько они действительно критичны. В канале выходят ежемесячные обзоры Microsoft Patch Tuesday и Linux Patch Wednesday уязвимостей, проанализированных с помощью Vulristics.
Так что, приятного чтения!
#vulristics #leonov #telegram #cve
Telegram
Управление Уязвимостями и прочее
Об уязвимости "EvilVideo" в Telegram for Android. Пост вышел в блоге компании ESET. Они сообщают, что эксплоит для уязвимости продаётся в даркнете.
🔻 Злоумышленник создаёт payload, который отображается в Telegram for Android не как файл, а как превьюшка…
🔻 Злоумышленник создаёт payload, который отображается в Telegram for Android не как файл, а как превьюшка…
Forwarded from Белый хакер
Привет, друзья! Хотите узнать что-то крутое из мира шифрования и безопасности данных? Apple выкатил открытую библиотеку для гомоморфного шифрования, написанную на Swift. Это значит, что теперь можно создавать приложения, которые работают с зашифрованными данными, не раскрывая их на промежуточных этапах обработки.
🧑💻 Гомоморфное шифрование позволяет выполнять вычисления с данными, которые остаются зашифрованными на всех этапах обработки. То есть вы шифруете данные, передаёте их на сервер, сервер выполняет нужные вычисления и возвращает результат тоже в зашифрованном виде. Расшифровать результат можете только вы, используя свои ключи. Такой подход идеально подходит для облачных сервисов, конфиденциальных вычислений, электронного голосования и даже для работы с зашифрованными данными в СУБД и машинном обучении.
Как это может помочь?
P. S Библиотека распространяется под лицензией Apache 2.0, так что каждый из вас может её использовать и дорабатывать. Это огромный шаг вперёд в мире безопасности данных и конфиденциальных вычислений.
#Apple #Шифрование
Белый хакер
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Mobile AppSec World (Yury Shabalin)
Шифрование!
Вот это прям реально круто! И чтобы Apple, да в openSource. Это внушает надежды, что проект будет поддерживаться.
Однако, судя по тому, что мы видим, редко кто обычное шифрование использует, почти никогда не встретишь использование Security Enclave, что говорить о гомоморфном шифровании (всегда два раза проверяю написание этого слова).
Но очень хочется верить, что если это правильно донести до разработки, очень надеюсь, что мы скоро сможем увидеть использование этого подхода в приложениях.
Так что изучаем, продвигаем и используем! :D
Вот это прям реально круто! И чтобы Apple, да в openSource. Это внушает надежды, что проект будет поддерживаться.
Однако, судя по тому, что мы видим, редко кто обычное шифрование использует, почти никогда не встретишь использование Security Enclave, что говорить о гомоморфном шифровании (всегда два раза проверяю написание этого слова).
Но очень хочется верить, что если это правильно донести до разработки, очень надеюсь, что мы скоро сможем увидеть использование этого подхода в приложениях.
Так что изучаем, продвигаем и используем! :D
Forwarded from Mobile AppSec World (Yury Shabalin)
Это лучшее, что я читал и слышал за последнее время!
Спасибо @OxFi5t за прекрасный ресерч!
Если честно, боюсь представить, сколько приложений подвержено этой проблеме.. Учитывая, что согласно нашему последнему анализу, примерно каждое 4-е приложение использует Jetpack :)
Но думаю, очень скоро мы это узнаем))
Спасибо @OxFi5t за прекрасный ресерч!
Если честно, боюсь представить, сколько приложений подвержено этой проблеме.. Учитывая, что согласно нашему последнему анализу, примерно каждое 4-е приложение использует Jetpack :)
Но думаю, очень скоро мы это узнаем))
Forwarded from Android Guards
Опять Android, опять навигация. Я уже рассказывал вам про интересную технику эксплуатации уязвимости в библиотеке Jetpack Navigation, которую обнаружил мой коллега. Кто не читал, обязательно ознакомьтесь. В той статье шла речь про навигацию для приложений использующих фрагменты. Но проблема не только в них. Поэтому я решил посмотреть что там с расширением для Jetpack Compose и оказалось, что там все еще веселее. Техники эксплуатации этой уязвимости даже более простые, чем в предыдущем варианте. Исследование вышло в двух вариантах:
1. На английском языке в блоге PT SWARM
2. На русском языке в моем личном блоге
Надеюсь вам понравится.
1. На английском языке в блоге PT SWARM
2. На русском языке в моем личном блоге
Надеюсь вам понравится.
HivisionIDPhotos — нейросеть для генерации фотографий для документов
https://habr.com/ru/news/850576/
Разработчики представили нейросеть, которая в реальном времени генерирует геймплей CS:GO
https://habr.com/ru/news/850552/
...
https://habr.com/ru/news/850576/
Разработчики представили нейросеть, которая в реальном времени генерирует геймплей CS:GO
https://habr.com/ru/news/850552/
...
Хабр
HivisionIDPhotos — нейросеть для генерации фотографий для документов
Соучредитель проекта SwanHub — китайского аналога Hugging Face работает над нейросетью HivisionIDPhotos , предназначенной для генерации фотографий для документов. Модель машинного обучения уже может...
Поиск по фото и раздетые дипфейки
https://habr.com/ru/articles/850540/
https://habr.com/ru/articles/850540/
Хабр
Поиск по фото и раздетые дипфейки
Современные технологии стремительно развиваются, и то, что когда-то казалось футуристической фантастикой, стало реальностью. Одной из таких технологий является поиск по фото — инструмент, который...
Router-On-A-Stick на Keenetic с помощью VLAN
https://habr.com/ru/articles/850532/
https://habr.com/ru/articles/850532/
Хабр
Router-On-A-Stick на Keenetic с помощью VLAN
Всем привет, эта небольшая инструкция посвящается моим коллегам и всем тем, кому нужно реализовать сценарий Router-On-A-Stick на устройствах с интернет-центром Keenetic. Делаете все на свой страх и...
Что выгодней — свое железо или облако?
На первый взгляд облако кажется идеальным решением: не нужно сразу вкладываться в железо, можно быстро масштабироваться, легко получать доступ к новым технологиям.
Однако стоит копнуть чуть глубже, и картина становится не такой однозначной.
Особенно когда речь заходит о долгосрочной перспективе и финансах.
Сегодня мы в ServerFlow попробуем разобраться, что же действительно выгоднее: аренда облачных ресурсов или покупка своего оборудования.
↘️ https://habr.com/ru/companies/serverflow/articles/849784/
...
На первый взгляд облако кажется идеальным решением: не нужно сразу вкладываться в железо, можно быстро масштабироваться, легко получать доступ к новым технологиям.
Однако стоит копнуть чуть глубже, и картина становится не такой однозначной.
Особенно когда речь заходит о долгосрочной перспективе и финансах.
Сегодня мы в ServerFlow попробуем разобраться, что же действительно выгоднее: аренда облачных ресурсов или покупка своего оборудования.
↘️ https://habr.com/ru/companies/serverflow/articles/849784/
...
Хабр
Что выгодней — свое железо или облако?
Привет, Хабр! Вопрос из заголовка уже давно волнует и малый бизнес, и крупные компании. На первый взгляд облако кажется идеальным решением: не нужно сразу вкладываться в железо, можно быстро...
Шифрование для облака: разные подходы
https://habr.com/ru/companies/ruvds/articles/846478/
https://habr.com/ru/companies/ruvds/articles/846478/
Хабр
Шифрование для облака: разные подходы
Облачные сервисы по-разному подходят к шифрованию данных на своём хостинге. В некоторых случаях это шифрование не удовлетворяет требованиям безопасности, поэтому приходится брать задачу в свои руки и...
Цифровой рубль: ответы на часто задаваемые вопросы
https://habr.com/ru/companies/rshb/articles/846934/
https://habr.com/ru/companies/rshb/articles/846934/
Хабр
Цифровой рубль: ответы на часто задаваемые вопросы
21 февраля R-Style Softlab провел вебинар на тему «Цифровой рубль: возможности и перспективы». Участниками вебинара стали организации банковской отрасли, заинтересованные во внедрении...
Ремонт HDD Western Digital My Book Essential: система не видит диск, нет питания. Дело в плате
https://habr.com/ru/companies/selectel/articles/762032/
https://habr.com/ru/companies/selectel/articles/762032/
Хабр
Ремонт HDD Western Digital My Book Essential: система не видит диск, нет питания. Дело в плате
Привет, Хабр! В прошлый раз я публиковал статью об очередном походе на испанскую барахолку. В ней рассказывал про купленные внешние жесткие диски. Один из них работал. Второй, HDD Western Digital My...
Как организовать контроль доступа на объектах культуры
https://habr.com/ru/companies/perco/articles/850408/
Полная автоматизация ворот
https://habr.com/ru/articles/850148/
...
https://habr.com/ru/companies/perco/articles/850408/
Полная автоматизация ворот
https://habr.com/ru/articles/850148/
...
Хабр
Как организовать контроль доступа на объектах культуры
Объекты культуры – музеи, театры, дворцово-парковые ансамбли, концертные залы, библиотеки. Основные требования к оборудованию контроля доступа определяются в зависимости от задач объектов. Например,...