​​На Github есть ряд репозиториев, которые собирают ссылки на полезные материалы по определенной тематике. Такие репозитории заканчиваются или начинаются словом "awesome". Если репозиторий поддерживается, то это очень удобный способ следить за новыми тулами/исследованиями, да и в целом информация собранная в одном месте это всегда отлично.

Я нашел несколько таких репозиториев по мобильной безопасности и некоторые из них выглядят очень вкусно:

android-security-awesome / последний коммит 22 дня назад - сборник материалов по Android, включает в себя список инструментов со ссылками на гитхаб или сайт (разделение на онлайн анализаторы, SAST, DAST, Reverse, Fuzz Testing), загрузчики приложений из Google Play, книги, статьи, список эксплойтов;

awesome-mobile-security / последний коммит сегодня - в целом аналогичный набор, но намного больше обучающего материала: книги, курсы, выступления, задания

awesome-mobile-CTF / последний коммит 19 Мая - список мобильных CTF, write-ups (прохождений) и уязвимых мобильных приложений. Отличный ресурс, если вы любите играть/читать про CTF или иногда проводите подобные мероприятия внутри компании - тут есть на что посмотреть :)

osx-and-ios-security-awesome / последний коммит 28 дней назад - неплохая подборка инструментов для iOS/MacOS (правда больше для MacOS)


На самом деле таких репозиториев много (и не только для мобильных приложений), найти их можно через такой поиск по Github. Удобно, что из названия можно сразу понять, интересна тебе эта тема или нет)

# Android #iOS #GitHub #Awesome

​​Уязвимости в "Find My Mobile": удаленный сброс и блокировка телефонов Samsung

Интересные новости для владельцев Samsung. Если вы ещё не обновили приложение "Find My Mobile", самое время это сделать (наверное).

Группа исследователей опубликовала очень интересный ресерч, посвященный ряду уязвимостей в приложении Find My Mobile. Целью этого приложения является удаленное управление устройством, если вы его потеряли (блокировка с произвольным сообщением, определение местоположения телефона, удаление всех данных и т.д.).

Благодаря ряду найденных уязвимостей (надо сказать что они достаточно "детские") злоумышленник мог получить доступ ко всем функциям этого сервиса. Как это обычно бывает, по одиночке уязвимости не представляют большой опасности (кроме раскрытия данных), но все вместе выстроились в замечательную эксплуатируемую атаку 😁

Ссылка на техническое описание всех найденных уязвимостей, их эксплуатация и подробности можно найти здесь.

Несмотря на то, что открыть детали решились только через год, проверьте на всякий случай, что на телефоне стоит последняя версия 😏

Конечно, если вы не против рассылать свой MAC-адрес Bluetooth-адаптера броадкостом в эфир. Да, именно так, в последней версии приложения появилась отличная опция по определению местоположения вашего устройства, даже если у него нет доступа к сети. Процесс простой - приложение с определенной периодичностью отправляет широковещательный запрос в Bluetooth эфир... И если рядом есть другой Samsung, он сможет помочь найти ваш телефон.

Интересно, можно ли что-то сделать, зная эту инфу? Ну кроме того, чтобы постоянно трекать перемещение пользователя? 🤔

В общем, спасибо Samsung, уязвимости исправили, но что-то сомнительное добавили :) Выбираем из двух зол наименьшее..

#Samsung #Android #Vulnerabilities #Research #Bluetooth

​​Некоторое время назад была занимательная статья, как направить трафик с iOS и Android устройств, используя VPN клиента на телефоне и локальный сервер.

Но некоторые пошли дальше и нашли классный способ перенаправлять трафик на свой прокси. Тут так же используется API, который предоставляет Android для реализации VPN, но интерес в том, что этому "клиенту" не нужен сервер 😁 Приложение прикидывается клиентом VPN, трафик идёт через него, а он провайдит его дальше в интернет или на прокси 😎

Интересное решение, на мой взгляд. Ссылка на репо:
https://github.com/httptoolkit/httptoolkit-android

#Android #VPN #Network

​​Прохождение CTF - как выиграть в игру за один клик

Очень здорово, когда CTF-задачки представляют собой не просто приложение с двумя-тремя стандартными экранами, а полноценное приложение, которое нужно проанализировать не только с помощью инструментов, но и применив немного логики. 🤓

Особенно здорово, когда такие приложения заставляют немного поностальгировать. В детстве была такая игра "Bomber Man", где нужно было расставлять бомбы и убегать от монстров. Примерно в таком же стиле сделан и этот CTF.

В статье о решении нет чего-то прям нового, но хорошо описан процесс, как автор искал нужные места в коде, как их модифицировал и какие инструменты использовал. Также есть несколько интересных отсылок к статье про инструменты для анализа и арсенал для анализа Android.

P.S. Ссылка на основную статью при переходе с компа почему-то требует регистрации, но с телефона все открывается нормально.

#Android #CTF #Challenge #Retro #Bomberman

Кстати, любителям порешать такие задачки.

Была одно время очень популярна игра "Flappy Bird", где птичкой нужно было пролетать между препятствиями. У этой игры было множество клонов и одной из таких копий игра "Clumsy Bird" (apk прикреплен к посту).

Если интересно и хотите попробовать свои силы - наберите в этой игре 999 очков не прикасаясь к экрану 😄

Сделать это достаточно просто, а вид птички пролетающей насквозь деревья выглядит очень забавно))

#CTF #ClumsyBird #Challenge

​​Уязвимость в сафари. Поделись с друзьями не только картинкой, но и своими файлами

Интересная баго-фича в Safari с использованием Web Share API для обмена различным контентом.

Суть уязвимости заключается в возможности прикрепления локальных файлов через схему file:// к сообщению при использовании функционала "поделиться с друзьями".

Но самое интересное, что разные приложения ведут себя по разному с прикрепленным файлом и иногда изменяют его имя на произвольное, так что догадаться, что ты отправляешь не котика, а свою историю браузера, может быть нетривиально. Да ещё если использовать много символов переноса строки "\n" то прикрепленный файл уезжает за пределы экрана и его не видно 🙈

Конечно, этот метод требует взаимодействия с пользователем и элементы соц.инженерии, но все равно познавательно. 🤓

И конечно, смущает политика Apple последних лет по общению с багхантерами и скоростью исправления уязвимостей. Обнаруженные баги могут жить годами, пока Apple их не пофиксит. И при этом запрещает исследователям раскрывать детали. Так и живём, ни фиксов, ни деталей :(

#iOS #Safari #Vulnerability

​​Опасная уязвимость в Google Play Core Library

Нередко приложения могут быть уязвимы не из-за того, что кто-то допустил ошибку в коде или что-то не учёл при разработке, а совсем по другим причинам. Одной из них могут быть уязвимые open-source библиотеки, которые мы используем при разработке. Даже если на момент подключения новой библиотеки она была безопасна, нет никакой гарантии, что завтра в ней не обнаружат какой-то адский баг 👹

Поддерживать версии используемых бибилиотек в актуальном состоянии - это очень важная задача. В процессе безопасной разработки даже есть отдельная практика для этого - SCA (Software Composition Analisys). И конечно, есть достаточное количество инструментов, которые позволяют это сделать, от бесплатных до энтерпрайз решений.

Это все к тому, что вчера вышел отчет о найденной уязвимости в библиотеке Google Play Core Library, которая довольно часто используется при разработке. Суть уязвимости заключается в возможности выполнения произвольного кода в контексте приложения, которое использует данную библиотеку.😱
В качестве PoC было выбрано приложение Google Chrome, которое в результате эксплуатирования уязвимости выполняло команду "chmod -R 777 /data/user/0/com.android.chrome", то есть, давало право чтения и записи любому приложению в директорию хрома. С помощью данной уязвимости можно производить любые операции с файлами на устройстве, копировать, отсылать на свой сервер, изменять и в целом все, что угодно)

Согласно присвоенной CVE уязвимы все версии Android's Play Core Library до версии 1.7.2. Так что настоятельно рекомендую обновиться как минимум до этой версии, если вы этого еще не сделали. Согласно Release Notes версия, исправляющая данную уязвимость вышла в марте, а текущая актуальная - 1.8.1

#Android #GooglePlay #Vulnerability #Exploit #PoC

​​Ещё один увлекательный Android CTF

Продолжая тему CTF, почему-то последнее время встречается много новых и интересных CTF под мобилы.

В этом уязвимом приложении как минимум 15 флагов! Начиная от зашитых исходников, взаимодействия с компонентами приложения, поиска в AWS, до XSS 😁


Хорошо написанное приложение с интересными задачами для всех,кто любит порешать всякое :)

#CTF #Android

Построение diff между версиями
Есть такая интересная практика - когда выходит обновление, закрывающее критическую уязвимость в софте проводить diff между версиями и смотреть, что именно было исправлено и как эту уязвимость эксплуатировать в прошлой версии 😃

В случае с анализом приложений, независимо от того на какой стороне баррикад вы находитесь - это тоже может быть очень полезно!

Тем более в соседнем канале Android Guards Today выложили замечательный референс на удобный инструмент, который позволяет в одну команду провести diff между версиями приложений!

https://t.me/android_guards_today/54

Больше CTF под Android
Очень здорово, когда разных CrackMe становится больше, они все различаются и каждый из них может чему-то научить.

Подписчик канала прислал свою разработку в этой сфере - CTF приложение специально разработанное для обучения, с подсказками и системой проверки флагов. Спасибо большое @AndroidDevSec, буду проходить на выходных. 😉

Последнее время очень много информации именно по CTF, думаю собрать все ссылки в один пост или сделать репо на гитхаб, чтобы не потерять в истории. Ну и тоже самое сделать с книгами и курсами, давно пора бы.

#CTF #Android #CrackMe

​​Уязвимости в нескольких популярных приложениях

Сейчас почему-то очень активно обсуждается статья про уязвимости в мобильном приложении для генерации кодов 2FA.

Название громкое, в тексте упоминаются фразы 0-day, public disclosure и прочие страшные вещи. Но смотря на список найденных уязвимостей, остаётся ощущение, что ничего не нашли, но написать что-то нужно.. Такие "баги" у нас обычно попадают в категорию "для информации" (ну может авто-копирование в буфер можно выделить).

А вот другая статья про XSS в клиенте Outlook намного интереснее! Про то, как простая на первый взгляд функция для преобразования телефонного номера в ссылку позволяла выполнить любой JS код! 😁

#Vulnerabilities #Research

Большая подборка книг, курсов и статей по безопасности мобильных приложений

На день знаний не успел выложить, но хоть на 3-е сентября будет 😄

Собрал воедино все книги, которые у меня были и что мне присылали, гайды и курсы по анализу и безопасности мобильных приложений!

Что получилось в итоге:

Android Books
Android Application Pentest Guide (AAPG)
Android Forensics
Android binder
Android Task Hijacking
Android Hacker's Handbook
Android Malware and Analysis
Android Apps Security
Android Security Attacks and Defenses
Android Security Internals
Application Security for the Android Platform
Android Application Secure Design/Secure Coding Guidebook
Decompiling Android
Deep Dive into Android Binder IPC
DEF CON 24 Workshop Dinesh Shetty Practical Android Application
Embedded Android
Kotlin secure coding practices
Learning Android Forensics
Hacking Android
XDAs Android Hackers Toolkit
Xaker-254
Яндекс - как общаются Android приложения
Broken Fingers - On the Usage of the Fingerprint API in Android
What can you do to an apk without its private key except repacking
WhatsApp Forensics: Decryption of Encrypted WhatsApp Databases
Huawei Mate 9 Pro (LON AL00) PWN2OWN
Android Internals - A Confectioner's Cookbook (Volume I)

Android Courses
Android Part - Mobile Application Security and Penetration Testing v2
AndroidHackingCourse
Penetration Testing Apps for Android Devices

iOS Books
Apple Security Sandbox
iOS App Reverse Engineering
IOS FORENSICS COOKBOOK
IOS Hackers Handbook
Mac OS X and iOS Internals (1-е издание)
Mobile App Hackers Handbook
Hacking and Securing IOS Applications
Recreating an iOS 0day Jailbreak Out of Apple’s Security Updates
Revisiting iOS Kernel (In)Security: Attacking the early random() PRNG
Demystifying The Secure Enclave Processor

iOS Courses
iOS Part - Mobile Application Security and Penetration Testing v2

Книги включающие в себя и Android и iOS либо нечто общее про безопасность мобилок
MASTERING MOBILE FORENSICS
Mobile App Hackers Handbook
MOBILE FORENSICS ADVANCED INVESTIGATIVE STRATEGIES
DSEC - Анализ безопасности мобильных банковских приложений
DSEC - Анализ безопасности мобильных банковских приложений 2012
DSEC - SCADA и мобильники - оценка безопасности приложений, превращающих смартфон в пульт управления заводом
Secure mobile development best practices
OWASP Mobile App Security Checklist
OWASP Mobile AppSec Verification Standard RU
OWASP mobile security testing guide
Брюс Шнайдер - прикладная криптография :D

Смешанные курсы
Mobile Application Security and Penetration Testing v1

Все материалы доступны по ссылке. Можно как скачать отдельные материалы, так и все сразу.
По мере нахождения новых интересных материалов - буду обновлять и дополнять "библиотеку" 🤓

#Books #Education #Android #iOS

Советы по мобильному BugBounty

Статья, в которой автор рассказывает свой опыт участия в BugBounty программах, связанных с мобильными приложениями.

Весьма познавательно, особенно вступительная часть про первый репорт, который разбился о суровую реальность "эксплуатабельности" 😄

Что ещё полезно утянуть, так это список проверок, которые можно автоматизировать и улучшить первоначальный базовый анализ (по крайне мере регулярки точно подрезать можно).

Автор так же упоминает интересный блог, в котором мне зашла последняя статья о забытых ключах HockeyApp. Да-да, опять куча приложений, в которых оставили ключи.. С их помощью можно было залить новую версию версию приложения в HockeyApp. Это могла быть версия с майнером, малварь или что ещё интересное 🤓

#Android #iOS #BugBounty #HockeyApp

Альтернативный способ расшифровки IPA-файлов

Классический способ снятия FairPlay шифрования c ipa-файлов - дамп из памяти загруженных конструкций и загрузка получившегося файла к себе. Это умеет делать frida-ios-dump или dumpdecrypted, но как правило они требуют jailbreak (есть возможность использовать фриду и без джейла, но это другая история).

Однако существует инструмент yacd, который работает на iOS 13.4.1 и ниже и позволяет получить расшифрованный файл и передать его посредством Airdrop на другое устройство. Для достижения этой цели он использует эксплойт для доступа к памяти процесса, который работает как раз на этих версиях iOS.

Думаю достаточно удобно иметь под рукой такой инструмент, чтобы быстро и без особых проблем выгрузить нужное приложение 😄

#iOS #Tools #FairPlay #Decrypt

​​Обход проверок в DeepLink

Интересное видео про методику обхода проверок в механизме DeepLink на Android.

В видео рассказывается что такое DeepLink вообще, для чего они нужны, какие стандартные валидаторы применяются и как их можно обойти 😉

Ещё бы и код выложил, на котором демо проводит, вообще отлично было бы.

#Android #DeepLink #Bypass #Vulnerability

​​Атака на графический процессор Qualcomm Adreno

Обзор необычной атаки на графический процессор Qualcomm Adreno, которую можно реализовать находясь внутри песочницы. Другими словами, нет необходимости дополнительно повышать привилегии или совершать "побег", что бы выполнить зловредный код, все доступно в контексте приложения.

В статье описано, как устроен графический процессор, драйвер для взаимодействия с ядром системы и некоторые интересные особенности этой архитектуры. В результате эксплуатации уязвимости, возникает race condition, который приводит к возможности выполнения кода в контексте ядра 💃

Как говорится ничего не понятно, но очень интересно! 😁

#Android #Vulnerability #Writeup

​​Нововведения в Android 11

Я наконец-то добрался до статьи про новую версию Android. Пока других интересных новостей нет, посмотрим, что интересного приготовил нам Google.

Уже был пост на эту тему, но теперь мы можем потрогать новый Android живьём и немного освежим память, о чем нам там рассказывали :)

Добавили много полезных и удобных фич для пользователей и пару классных вещей в безопасности:

- Единоразовые разрешения. Теперь можно будет выдать пермишены на камеру, микрофон и другие подобные вещи только на один запуск. При следующем "открытии" приложение уже не будет иметь доступа к этим ресурсам. Да, теперь придется каждый раз при запуске всё проверять 🙈

- Удаление разрешений, если приложение долго не использовалось. Это значит, что если долго не открывать приложение, то система отзовет все пермишены, которые у него были. Тоже неплохо, теперь малвари, которая скрывает себя и оставляет только сервисы с ресиверами придется искать способ периодически запускать основное приложение 😁

- Обновления безопасности через GooglePlay. Пожалуй, самая интересная фича! Теперь апдейты безопасности будут распространяться через механизмы Google Play сервисов, как и обновления обычных приложений. Насколько это будет стабильно работать на зоопарке андроидов, посмотрим, конечно, но сама идея очень здравая.

На самом деле, очень радует, как система растет в плане безопасности от версии к версии, видно, что Google старается и много времени уделяет этому аспекту. Сейчас уже сложнее сказать, что iOS безопаснее, чем Android 😁

#Android #Update #Android11

​​AndroidBroadcast о безопасности мобильных приложений

Очень обширный, интересный и затрагивающий многие аспекты разговор про безопасность мобильных приложений подсказали в нашем чате (спасибо @ChadwickBlackford):

https://www.youtube.com/watch?v=1AjWxpWMBBE&ab_channel=AndroidBroadcast

Выпуск идёт целых два часа, но это того стоит, и послушать полезно и посмотреть приятно)

#AndroidBroadcast #Video #Youtube

​​Несколько критических уязвимостей в TikTok

Компанию TikTok никак не оставят в покое 😁 Но на этот раз это уже не исследования, что же они собирают о пользователе и какие данные передают, а полноценное исследование приложения, в котором нашлись действительно серьезные уязвимости.

Тут тебе и чтение файлов из внутренней директории и выполнение произвольного кода в контексте приложения!

Отличное описание, с примерами и кодом для PoC. 🤓

#TikTok #Vulnerabilities #Research

​​Анализ Flutter приложений

Ранее было несколько статей про обход SSL-Pinning в приложениях, написанных при помощи Flutter. Но гайда, как устроены эти приложения внутри и как их правильно анализировать я не встречал.

Один из подписчиков, спасибо ему большое, поделился подробнейшей статьёй про реверс-инжиниринг таких приложений. Автор описывает, что это за технология, как она устроена, что за что отвечает. Ждём вторую статью с описанием процесса анализа реальных приложений 😉

Крайне полезная вещь, рекомендую всем, кому приходится сталкиваться с анализом таких приложений.

#Flutter #Analisys #Revers

​​Критические уязвимости в MobileIron MDM

MDM - Mobile Device Management, управление корпоративными устройствами, очень популярная вещь в больших компаниях. Но что произойдёт, если внутри самой этой системы присутствуют уязвимости, позволяющие выполнить любой код?

Это значит, что можно получить доступ к системе, а также данные об огромном количестве сотрудников. Ну и что-то им установить :)

В статье приведено описание уязвимости, как она была найдена и проэксплуатирована и есть ссылка на доклад. Один из интересных моментов, что автор после выхода фикса подождал некоторое время, выяснил, что Facebook не накатил патчи, залил к ним шелл и написал в багбаунти программу 😁 дабл профит))

#mdm #facebook #bugbounty #research