Mobile AppSec World
5.3K subscribers
142 photos
8 videos
19 files
675 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
[Embedded.Android].Karim.Yaghmour.pdf
11.6 MB
Во время разработки своего инструмента нам пришлось изрядно покопаться в устройстве внутренностей Android, пытаясь понять, почему что-то не работает, добавлять свои модули в ядро и отключать хитрые проверки.

Так как исходный код Android, в большинстве своем, находится в отрытом доступе в проекте AOSP (Android Open Source Project), можно попробовать разобраться самому, как именно он устроен и какие механизмы безопасности имплементированы. А также, некоторые энтузиасты проводят статический анализ кода и ищут в нем уязвимости 🤓

Но на самом деле, самому полностью разобраться и даже первый раз собрать проект достаточно тяжело. Помочь в этом может интересная книга под названием "Embedded Android", в которой описана базовая структура AOSP-проекта, детальные инструкции по модификации и сборке, а так же некоторые ключевые моменты в коде.

Самое время начать разрабатывать свою собственную версию Android, чем еще заниматься на удалёнке 😉

#Android #AOSP #Embedded #Books
Learning Android Forensics.pdf
17.6 MB
Начал разбираться в своих завалах "книги, которые я обязательно потом прочитаю". Думаю, у всех есть такая папка 😁

И обнаружил, что у меня скопилось немало разнообразных книг по безопасности мобильных приложений (удивительно).

Первая из них, которой я бы хотел поделиться, называется "Learning Android Forensics". Даже если вы не сильно увлекаетесь этим направлением, рекомендую прочитать первую и третью главу, где расписано внутреннее строение системы Android и дано подробное описание структуры файловой системы.

Также приятно, что одним из авторов является наш соотечественник!

#Android #Books #Forensic
​​Сначала я планировал выкладывать книги по одной, но подумал, что скачать все разом будет проще, удобнее и полезнее.

Так что встречайте, подборка книг по безопасности и анализу мобильных приложений под Android! Включает в себя:

- [A]ndroid [A]pplication [P]entest [G]uide - краткий немногословный гайд по различным тулам для анализа Android

- Android Hacker's Handbook - не самая свежая, но хорошая книга по анализу. Совмещает в себе и краткое описание структуры Android и методы "взлома"

- Android Malware and Analysis - очень хороший материал по семействам, типам малвари для Android, способам ее обнаружения различными методами (статический анализ, поведенческий анализ) и инструкциями по созданию собственной песочницы для экспериментов

- Android_Apps_Security - хорошая книга для начала изучения безопасности мобильных приложений, дает представление простым и понятным языком о многих вещах, начиная от основ и заканчивая принципами шифрования и его реализации на Android

- Android Security Internals - пожалуй, одна из лучших книг по механизмам безопасности, предоставляемых платформой и о внутреннем устройстве системы Android. Обязательна к прочтению 🤓

- Application_Security_for_the_Android_Platform - полезная книга, в которой сделан упор на обеспечение безопасности самих приложений и правильной реализации различных сособов защиты

- decompiling-android - пожалуй, наиболее полный гайд по декомпиляции и дизасемблированию (если можно его так назвать) приложений по Android. Если вы часто анализируете приложения методом "черного ящика" - эта книга вам точно поможет

- Learning_Android_Forensics - материал, посвященный извлечению данных с устройства, в том числе и удаленной когда-то. Если нужно будет что-то восстановить с умершего телефона, можно попробовать воспользоваться советами из этой книги

- Mobile App Hackers Handbook - так же не самая свежая, но в целом актуальная книга по анализу приложений и инструментам, которые для этого используются. Чем-то напоминает мне MSTG

- XDA's_Android_Hacker's_Toolkit - книга от участников форума XDA про безопасность мобильных устройств, кастомным загрузчикам, специфике различных производителей

Уверен, что каждый найдет для себя что-то полезное хотя бы в одной из этих книг!
Enjoy!

#Android #Books #Education

https://drive.google.com/file/d/17y5k91lIU0QWK3HyToQRWYbJAVVTQn-v
​​В продолжении темы книг - подборка по безопасности и анализу мобильных приложений под iOS! Включает в себя:

- iOS App Reverse Engineering - отличная книга практических советов по анализу iOS приложений при помощи Reverse Engineering. Пожалуй, наиболее подробный материал, который я читал по этому направлению.

- iOS_Forensics_Cookbook - книга, посвященная анализу данных на системе iOS, как и где можно посмотреть данные, что полезного хранят в себе логи, бэкапы, и какие утилиты можно использовать для удобного анализа

- iOS_Hackers_Handbook - не самая свежая, но хорошая книга по анализу. Описанные техники не самые новые, но описание архитектуры и модели безопасности iOS описаны подробно и понятно

- Mac OS X and iOS Internals - наверное, одна из самых подробных и сложных для меня книг, которая максимально подробно описывает, что происходит внутри операционной системы, памяти, ядра и прочих темных переулках iOS

- Mobile App Hackers Handbook - хорошая книга для начала изучения безопасности мобильных приложений, дает представление простым и понятным языком о многих вещах, пытаясь совместить в себе и описание анализа приложений и защиты.

Их, конечно намного меньше, чем по Android, но есть что почитать вечерком :)
Enjoy!

#iOS #Books #Education

https://drive.google.com/file/d/1X9StporiApy_UP2gd1b-2djmwcIRq524
Android Books Part 2.zip
19.3 MB
Спасибо @ChadwickBlackford из нашего чата за еще несколько интересных материалов по Android, забрал себе в "библиотеку", будем изучать :)

Материалы включают в себя:

- Practical Android Application Exploitation - подробная презентация Workshop'а с DEFCON по практическому анализу Android.

- Hacking Android - по беглому просмотру может оказаться очень полезной, описывается использование различных методов анализа при помощи достаточно современных утилит, что выгодно отличает эту книгу от большого количества статей в интернете

Если у кого есть интересные материалы - пишите, потом соберем всё в одну большую подборку 🤓

#Android #Books #Education
​​А вот и новый выпуск Хакера подоспел, в главной роли - Android!

В выпуске:
- Исследование IPC Android и хукинг нативных библиотек
- Безопасность Android от первой до одиннадцатой версии
- Боевой смартфон. Делаем из устройства с Android «хакерфон» с помощью Termux и Kali

В целом, почитать за чашкой чая вполне можно, тем более материал на русском, что редкость в наше время 🤓

#Android #Xaker #Books
Большая подборка книг, курсов и статей по безопасности мобильных приложений

На день знаний не успел выложить, но хоть на 3-е сентября будет 😄

Собрал воедино все книги, которые у меня были и что мне присылали, гайды и курсы по анализу и безопасности мобильных приложений!

Что получилось в итоге:

Android Books
Android Application Pentest Guide (AAPG)
Android Forensics
Android binder
Android Task Hijacking
Android Hacker's Handbook
Android Malware and Analysis
Android Apps Security
Android Security Attacks and Defenses
Android Security Internals
Application Security for the Android Platform
Android Application Secure Design/Secure Coding Guidebook
Decompiling Android
Deep Dive into Android Binder IPC
DEF CON 24 Workshop Dinesh Shetty Practical Android Application
Embedded Android
Kotlin secure coding practices
Learning Android Forensics
Hacking Android
XDAs Android Hackers Toolkit
Xaker-254
Яндекс - как общаются Android приложения
Broken Fingers - On the Usage of the Fingerprint API in Android
What can you do to an apk without its private key except repacking
WhatsApp Forensics: Decryption of Encrypted WhatsApp Databases
Huawei Mate 9 Pro (LON AL00) PWN2OWN
Android Internals - A Confectioner's Cookbook (Volume I)

Android Courses
Android Part - Mobile Application Security and Penetration Testing v2
AndroidHackingCourse
Penetration Testing Apps for Android Devices

iOS Books
Apple Security Sandbox
iOS App Reverse Engineering
IOS FORENSICS COOKBOOK
IOS Hackers Handbook
Mac OS X and iOS Internals (1-е издание)
Mobile App Hackers Handbook
Hacking and Securing IOS Applications
Recreating an iOS 0day Jailbreak Out of Apple’s Security Updates
Revisiting iOS Kernel (In)Security: Attacking the early random() PRNG
Demystifying The Secure Enclave Processor

iOS Courses
iOS Part - Mobile Application Security and Penetration Testing v2

Книги включающие в себя и Android и iOS либо нечто общее про безопасность мобилок
MASTERING MOBILE FORENSICS
Mobile App Hackers Handbook
MOBILE FORENSICS ADVANCED INVESTIGATIVE STRATEGIES
DSEC - Анализ безопасности мобильных банковских приложений
DSEC - Анализ безопасности мобильных банковских приложений 2012
DSEC - SCADA и мобильники - оценка безопасности приложений, превращающих смартфон в пульт управления заводом
Secure mobile development best practices
OWASP Mobile App Security Checklist
OWASP Mobile AppSec Verification Standard RU
OWASP mobile security testing guide
Брюс Шнайдер - прикладная криптография :D

Смешанные курсы
Mobile Application Security and Penetration Testing v1

Все материалы доступны по ссылке. Можно как скачать отдельные материалы, так и все сразу.
По мере нахождения новых интересных материалов - буду обновлять и дополнять "библиотеку" 🤓

#Books #Education #Android #iOS
Обновление книги Android Internals
Ух ты! Под новый год оказывается вышло обновление одной из самых классных книг по Android - "Android Internals: A Confectioner's Cookbook" с дополнениями по Android 10, 11 и кучей новой информации.

К сожалению, на просторах интернета не найти, но, тот кто любит такие вещи, должен оценить. Я вот собираюсь себе заказать :)

Если что, первое издание есть в подборке книг тут

#books #Android #Internals
Большое обновление курсов по анализу мобильных приложений

Всем привет!

На драйве из предыдущего поста произошло глобальное обновление курсов, лекций и практических материалов по анализу защищенности и пентесту мобильных приложений.
За весь этот замечательныый контент скажем огромное спасибо @EZ3K1EL!

В общем, welcome, теперь это все в едином месте)

Примерный состав курсов и их описание (некоторые еще в процессе загрузки и будут доступны чуть позже)

SANS Cources
- FOR 518 - Mac and iOS Forensic Analysis and Incident Response
- FOR 585 - Advanced Smartphone Forensics (2017)
- SEC 575 - Mobile Device Security and Ethical Hacking (2017)

The Complete Mobile Ethical Hacking Course (11 Gb)
- Introduction
- Lab Setup
- Mobile Backdoors
- Android Studio Fundamentals
- Java Fundamentals
- iOS Development Fundamentals
- Rooting & Jailbreaking
- Reverse Engineering Android
- Reverse Engineering iOS
- Cloud Hacking Firebase Security
- CTF Banking App Hacking
- In-Network Attacks for Mobile Devices
- Closing

The Complete Android Ethical Hacking Practical Course
- Introduction
- Termux Basics
- Metasploit Framework
- Protect your files with Encryption
- Phishing Attack and hw to prevent unknown threats
- How an attacker access your Front camera
- Access front camera and back camera of your victims android device 100 working
- Optional Section
- Reward Section

Pentester Academy - Android Security and Exploitation for Pentesters
- 26-Cydia-Substrate

Dynamic Mobile Application Analysis and Manipulation
- Intro
- Android Dynamic Anaysis with Drozer
- iOS Dynamic Analysis with Needle
- Modifying Mobile Applications
- Mobile Application Runtime Manipulation
- Automated Runtime Manipulation with Objection
- Application Security Verification


Mobile Penetration Testing
- Mobile Penetration Testing
- Network Activity Analysis
- Network Manipulation Attacks
- Network Traffic Manipulation
- SSLTLS attacks
- Intercepting SSLTLS traffic
- Leveraging Mobile Malware
- Where to go from here

The Stolen Device Threat and Mobile Malware
- The Stolen Device Threat
- Jailbreaking iOS
- Rooting Android
- Data Storage on Android
- Data Storage on iOS
- Mitigating Malware

Static Application Analysis
- Static Application Analysis
- Manual Static Analysis
- Automating App Analysis
- Obfuscated Apps
- Third Party App Platforms

Udemy - Masters in Ethical Hacking with Android
Очень много контента

JSInfoSec Android Hacking
Очень много видео-уроков и лекций

Скачать все это (и не только) - можно тут

#books #education #courses
Обновление курсов и книг по безопасности и анализу мобильных приложений

Очередное обновление библиотеки!

На этот раз были добавлены книги по Android / iOS и два больших курса (спасибо @wusero)!

Книги:
- Android глазами хакера
- Android Security Cookbook
- iOS Application Security
- The Mac Handbook
- Beginner Guide to Exploitation on ARM 1
- Beginner Guide to Exploitation on ARM 2

Курсы:
- Pentester Academy - Pentesting iOS Applications
- GeekBrains - Безопасность мобильных приложений

Приятного чтения и просмотра!

#Books #Security #Android #iOS #Cources
Большой сборник материалов по iOS

На соседнем канале, посвященному iOS опубликована шикарная ссылка на гитхаб репозиторий, который содержит в себе большое количество статей, книг, writeup по уязвимостям, обнаруженным в iOS и в целом по безопасности iOS

#iOS #Security #Books
Forwarded from Mobile AppSec World
Большая подборка книг, курсов и статей по безопасности мобильных приложений

На день знаний не успел выложить, но хоть на 3-е сентября будет 😄

Собрал воедино все книги, которые у меня были и что мне присылали, гайды и курсы по анализу и безопасности мобильных приложений!

Что получилось в итоге:

Android Books
Android Application Pentest Guide (AAPG)
Android Forensics
Android binder
Android Task Hijacking
Android Hacker's Handbook
Android Malware and Analysis
Android Apps Security
Android Security Attacks and Defenses
Android Security Internals
Application Security for the Android Platform
Android Application Secure Design/Secure Coding Guidebook
Decompiling Android
Deep Dive into Android Binder IPC
DEF CON 24 Workshop Dinesh Shetty Practical Android Application
Embedded Android
Kotlin secure coding practices
Learning Android Forensics
Hacking Android
XDAs Android Hackers Toolkit
Xaker-254
Яндекс - как общаются Android приложения
Broken Fingers - On the Usage of the Fingerprint API in Android
What can you do to an apk without its private key except repacking
WhatsApp Forensics: Decryption of Encrypted WhatsApp Databases
Huawei Mate 9 Pro (LON AL00) PWN2OWN
Android Internals - A Confectioner's Cookbook (Volume I)

Android Courses
Android Part - Mobile Application Security and Penetration Testing v2
AndroidHackingCourse
Penetration Testing Apps for Android Devices

iOS Books
Apple Security Sandbox
iOS App Reverse Engineering
IOS FORENSICS COOKBOOK
IOS Hackers Handbook
Mac OS X and iOS Internals (1-е издание)
Mobile App Hackers Handbook
Hacking and Securing IOS Applications
Recreating an iOS 0day Jailbreak Out of Apple’s Security Updates
Revisiting iOS Kernel (In)Security: Attacking the early random() PRNG
Demystifying The Secure Enclave Processor

iOS Courses
iOS Part - Mobile Application Security and Penetration Testing v2

Книги включающие в себя и Android и iOS либо нечто общее про безопасность мобилок
MASTERING MOBILE FORENSICS
Mobile App Hackers Handbook
MOBILE FORENSICS ADVANCED INVESTIGATIVE STRATEGIES
DSEC - Анализ безопасности мобильных банковских приложений
DSEC - Анализ безопасности мобильных банковских приложений 2012
DSEC - SCADA и мобильники - оценка безопасности приложений, превращающих смартфон в пульт управления заводом
Secure mobile development best practices
OWASP Mobile App Security Checklist
OWASP Mobile AppSec Verification Standard RU
OWASP mobile security testing guide
Брюс Шнайдер - прикладная криптография :D

Смешанные курсы
Mobile Application Security and Penetration Testing v1

Все материалы доступны по ссылке. Можно как скачать отдельные материалы, так и все сразу.
По мере нахождения новых интересных материалов - буду обновлять и дополнять "библиотеку" 🤓

#Books #Education #Android #iOS