​​Ещё один увлекательный Android CTF

Продолжая тему CTF, почему-то последнее время встречается много новых и интересных CTF под мобилы.

В этом уязвимом приложении как минимум 15 флагов! Начиная от зашитых исходников, взаимодействия с компонентами приложения, поиска в AWS, до XSS 😁


Хорошо написанное приложение с интересными задачами для всех,кто любит порешать всякое :)

#CTF #Android

Построение diff между версиями
Есть такая интересная практика - когда выходит обновление, закрывающее критическую уязвимость в софте проводить diff между версиями и смотреть, что именно было исправлено и как эту уязвимость эксплуатировать в прошлой версии 😃

В случае с анализом приложений, независимо от того на какой стороне баррикад вы находитесь - это тоже может быть очень полезно!

Тем более в соседнем канале Android Guards Today выложили замечательный референс на удобный инструмент, который позволяет в одну команду провести diff между версиями приложений!

https://t.me/android_guards_today/54

Больше CTF под Android
Очень здорово, когда разных CrackMe становится больше, они все различаются и каждый из них может чему-то научить.

Подписчик канала прислал свою разработку в этой сфере - CTF приложение специально разработанное для обучения, с подсказками и системой проверки флагов. Спасибо большое @AndroidDevSec, буду проходить на выходных. 😉

Последнее время очень много информации именно по CTF, думаю собрать все ссылки в один пост или сделать репо на гитхаб, чтобы не потерять в истории. Ну и тоже самое сделать с книгами и курсами, давно пора бы.

#CTF #Android #CrackMe

​​Уязвимости в нескольких популярных приложениях

Сейчас почему-то очень активно обсуждается статья про уязвимости в мобильном приложении для генерации кодов 2FA.

Название громкое, в тексте упоминаются фразы 0-day, public disclosure и прочие страшные вещи. Но смотря на список найденных уязвимостей, остаётся ощущение, что ничего не нашли, но написать что-то нужно.. Такие "баги" у нас обычно попадают в категорию "для информации" (ну может авто-копирование в буфер можно выделить).

А вот другая статья про XSS в клиенте Outlook намного интереснее! Про то, как простая на первый взгляд функция для преобразования телефонного номера в ссылку позволяла выполнить любой JS код! 😁

#Vulnerabilities #Research

Большая подборка книг, курсов и статей по безопасности мобильных приложений

На день знаний не успел выложить, но хоть на 3-е сентября будет 😄

Собрал воедино все книги, которые у меня были и что мне присылали, гайды и курсы по анализу и безопасности мобильных приложений!

Что получилось в итоге:

Android Books
Android Application Pentest Guide (AAPG)
Android Forensics
Android binder
Android Task Hijacking
Android Hacker's Handbook
Android Malware and Analysis
Android Apps Security
Android Security Attacks and Defenses
Android Security Internals
Application Security for the Android Platform
Android Application Secure Design/Secure Coding Guidebook
Decompiling Android
Deep Dive into Android Binder IPC
DEF CON 24 Workshop Dinesh Shetty Practical Android Application
Embedded Android
Kotlin secure coding practices
Learning Android Forensics
Hacking Android
XDAs Android Hackers Toolkit
Xaker-254
Яндекс - как общаются Android приложения
Broken Fingers - On the Usage of the Fingerprint API in Android
What can you do to an apk without its private key except repacking
WhatsApp Forensics: Decryption of Encrypted WhatsApp Databases
Huawei Mate 9 Pro (LON AL00) PWN2OWN
Android Internals - A Confectioner's Cookbook (Volume I)

Android Courses
Android Part - Mobile Application Security and Penetration Testing v2
AndroidHackingCourse
Penetration Testing Apps for Android Devices

iOS Books
Apple Security Sandbox
iOS App Reverse Engineering
IOS FORENSICS COOKBOOK
IOS Hackers Handbook
Mac OS X and iOS Internals (1-е издание)
Mobile App Hackers Handbook
Hacking and Securing IOS Applications
Recreating an iOS 0day Jailbreak Out of Apple’s Security Updates
Revisiting iOS Kernel (In)Security: Attacking the early random() PRNG
Demystifying The Secure Enclave Processor

iOS Courses
iOS Part - Mobile Application Security and Penetration Testing v2

Книги включающие в себя и Android и iOS либо нечто общее про безопасность мобилок
MASTERING MOBILE FORENSICS
Mobile App Hackers Handbook
MOBILE FORENSICS ADVANCED INVESTIGATIVE STRATEGIES
DSEC - Анализ безопасности мобильных банковских приложений
DSEC - Анализ безопасности мобильных банковских приложений 2012
DSEC - SCADA и мобильники - оценка безопасности приложений, превращающих смартфон в пульт управления заводом
Secure mobile development best practices
OWASP Mobile App Security Checklist
OWASP Mobile AppSec Verification Standard RU
OWASP mobile security testing guide
Брюс Шнайдер - прикладная криптография :D

Смешанные курсы
Mobile Application Security and Penetration Testing v1

Все материалы доступны по ссылке. Можно как скачать отдельные материалы, так и все сразу.
По мере нахождения новых интересных материалов - буду обновлять и дополнять "библиотеку" 🤓

#Books #Education #Android #iOS

Советы по мобильному BugBounty

Статья, в которой автор рассказывает свой опыт участия в BugBounty программах, связанных с мобильными приложениями.

Весьма познавательно, особенно вступительная часть про первый репорт, который разбился о суровую реальность "эксплуатабельности" 😄

Что ещё полезно утянуть, так это список проверок, которые можно автоматизировать и улучшить первоначальный базовый анализ (по крайне мере регулярки точно подрезать можно).

Автор так же упоминает интересный блог, в котором мне зашла последняя статья о забытых ключах HockeyApp. Да-да, опять куча приложений, в которых оставили ключи.. С их помощью можно было залить новую версию версию приложения в HockeyApp. Это могла быть версия с майнером, малварь или что ещё интересное 🤓

#Android #iOS #BugBounty #HockeyApp

Альтернативный способ расшифровки IPA-файлов

Классический способ снятия FairPlay шифрования c ipa-файлов - дамп из памяти загруженных конструкций и загрузка получившегося файла к себе. Это умеет делать frida-ios-dump или dumpdecrypted, но как правило они требуют jailbreak (есть возможность использовать фриду и без джейла, но это другая история).

Однако существует инструмент yacd, который работает на iOS 13.4.1 и ниже и позволяет получить расшифрованный файл и передать его посредством Airdrop на другое устройство. Для достижения этой цели он использует эксплойт для доступа к памяти процесса, который работает как раз на этих версиях iOS.

Думаю достаточно удобно иметь под рукой такой инструмент, чтобы быстро и без особых проблем выгрузить нужное приложение 😄

#iOS #Tools #FairPlay #Decrypt

​​Обход проверок в DeepLink

Интересное видео про методику обхода проверок в механизме DeepLink на Android.

В видео рассказывается что такое DeepLink вообще, для чего они нужны, какие стандартные валидаторы применяются и как их можно обойти 😉

Ещё бы и код выложил, на котором демо проводит, вообще отлично было бы.

#Android #DeepLink #Bypass #Vulnerability

​​Атака на графический процессор Qualcomm Adreno

Обзор необычной атаки на графический процессор Qualcomm Adreno, которую можно реализовать находясь внутри песочницы. Другими словами, нет необходимости дополнительно повышать привилегии или совершать "побег", что бы выполнить зловредный код, все доступно в контексте приложения.

В статье описано, как устроен графический процессор, драйвер для взаимодействия с ядром системы и некоторые интересные особенности этой архитектуры. В результате эксплуатации уязвимости, возникает race condition, который приводит к возможности выполнения кода в контексте ядра 💃

Как говорится ничего не понятно, но очень интересно! 😁

#Android #Vulnerability #Writeup

​​Нововведения в Android 11

Я наконец-то добрался до статьи про новую версию Android. Пока других интересных новостей нет, посмотрим, что интересного приготовил нам Google.

Уже был пост на эту тему, но теперь мы можем потрогать новый Android живьём и немного освежим память, о чем нам там рассказывали :)

Добавили много полезных и удобных фич для пользователей и пару классных вещей в безопасности:

- Единоразовые разрешения. Теперь можно будет выдать пермишены на камеру, микрофон и другие подобные вещи только на один запуск. При следующем "открытии" приложение уже не будет иметь доступа к этим ресурсам. Да, теперь придется каждый раз при запуске всё проверять 🙈

- Удаление разрешений, если приложение долго не использовалось. Это значит, что если долго не открывать приложение, то система отзовет все пермишены, которые у него были. Тоже неплохо, теперь малвари, которая скрывает себя и оставляет только сервисы с ресиверами придется искать способ периодически запускать основное приложение 😁

- Обновления безопасности через GooglePlay. Пожалуй, самая интересная фича! Теперь апдейты безопасности будут распространяться через механизмы Google Play сервисов, как и обновления обычных приложений. Насколько это будет стабильно работать на зоопарке андроидов, посмотрим, конечно, но сама идея очень здравая.

На самом деле, очень радует, как система растет в плане безопасности от версии к версии, видно, что Google старается и много времени уделяет этому аспекту. Сейчас уже сложнее сказать, что iOS безопаснее, чем Android 😁

#Android #Update #Android11

​​AndroidBroadcast о безопасности мобильных приложений

Очень обширный, интересный и затрагивающий многие аспекты разговор про безопасность мобильных приложений подсказали в нашем чате (спасибо @ChadwickBlackford):

https://www.youtube.com/watch?v=1AjWxpWMBBE&ab_channel=AndroidBroadcast

Выпуск идёт целых два часа, но это того стоит, и послушать полезно и посмотреть приятно)

#AndroidBroadcast #Video #Youtube

​​Несколько критических уязвимостей в TikTok

Компанию TikTok никак не оставят в покое 😁 Но на этот раз это уже не исследования, что же они собирают о пользователе и какие данные передают, а полноценное исследование приложения, в котором нашлись действительно серьезные уязвимости.

Тут тебе и чтение файлов из внутренней директории и выполнение произвольного кода в контексте приложения!

Отличное описание, с примерами и кодом для PoC. 🤓

#TikTok #Vulnerabilities #Research

​​Анализ Flutter приложений

Ранее было несколько статей про обход SSL-Pinning в приложениях, написанных при помощи Flutter. Но гайда, как устроены эти приложения внутри и как их правильно анализировать я не встречал.

Один из подписчиков, спасибо ему большое, поделился подробнейшей статьёй про реверс-инжиниринг таких приложений. Автор описывает, что это за технология, как она устроена, что за что отвечает. Ждём вторую статью с описанием процесса анализа реальных приложений 😉

Крайне полезная вещь, рекомендую всем, кому приходится сталкиваться с анализом таких приложений.

#Flutter #Analisys #Revers

​​Критические уязвимости в MobileIron MDM

MDM - Mobile Device Management, управление корпоративными устройствами, очень популярная вещь в больших компаниях. Но что произойдёт, если внутри самой этой системы присутствуют уязвимости, позволяющие выполнить любой код?

Это значит, что можно получить доступ к системе, а также данные об огромном количестве сотрудников. Ну и что-то им установить :)

В статье приведено описание уязвимости, как она была найдена и проэксплуатирована и есть ссылка на доклад. Один из интересных моментов, что автор после выхода фикса подождал некоторое время, выяснил, что Facebook не накатил патчи, залил к ним шелл и написал в багбаунти программу 😁 дабл профит))

#mdm #facebook #bugbounty #research

​​Эксперименты с WebView

Практически всегда, когда говорят об уязвимостях в WebView - имеют ввиду возможности по выполнению JS кода, если это не отключено, чтение файлов, если опять-таки не отключена такая возможность и другие похожие проблемы.

Но вот другой интересный момент на который стоит обратить внимание, что если защищать нужно не ваше приложение, которое использует WebView, а вашу страницу, которое другое приложение отображает и данные клиентов, которую вводят на ней информацию? Простой пример - в стороннем приложении "партнера" нужно осуществить логин в ваш сервис и для этого используется Web страница. Что может сделать приложение с данными, которые отправляются через WebView и какие способы от этого защититься есть?

Подробная статья про разные методы защиты (CSP, Iframe Sandbox, X-XSS-Protection), в чем их смысл, как их можно обойти и что делать-то в итоге? Плюс этой статьи, что к каждому примеру есть работающие приложения, чтобы попробовать самому пройти все эти шаги и код, который можно изучить.

И в догонку пост от Mail.ru двухгодичной давности, но актуальный до сих пор, про безопасность мобильного OAuth2.0. Всем, кто использует или предоставляет такую возможность очень рекомендую к изучению, ребята очень дотошно и качественно подошли к материалу. Комментарии к этой статье тоже несут много полезной информации, что необычно 😁

#WebView #OAuth #Research

Ответы на вопросы по безопасности Android

Уже в эту пятницу 18 сентября в 19:00 по MSK будет стрим на Youtube по вопросам безопасности как самой системы Android, так и приложений! Отвечать на вопросы, которые также можно задать и в эфире, будет @OxFi5t, очень скиловый и крутой эксперт!

Я точно пойду послушаю )

Была бы ещё расшифровка записи, чтоб потом собрать некоторую wiki, было б вообще бомба. Может кто знает, как это можно автоматизировать? 😁

https://www.youtube.com/watch?v=zeU2wlcj_Bw

#Android #Security #Education

Интересная уязвимость в Firefox, которая позволяет запускать браузер и выполнять некорые Intent на вашем устройстве, если вы находитесь в одной сети со злоумышленником.

Но вот явного профита я пока не могу найти, что можно сделать адски плохого 👹

Полный репорт тут:
https://gitlab.com/gitlab-com/gl-security/security-operations/gl-redteam/red-team-tech-notes/-/tree/master/firefox-android-2020

P.S. новость с отличного канала, очень много интересного контента :)

Уязвимость в Firefox для Android, позволяющая управлять браузером через общий Wi-Fi
https://www.opennet.ru/opennews/art.shtml?num=53745

PoC
https://gitlab.com/gitlab-com/gl-security/security-operations/gl-redteam/red-team-tech-notes/-/blob/master/firefox-android-2020/ffssdp.py

​​CTF с защитой от root и frida

Обычно CTF решаются с помощью установки приложения на рутованное устройство, запускается Фрида и погнали!

Но не в этот раз 😁 В этом шикарном CTF (осторожно, по ссылке загрузка apk) стоит детект рута и определение Frida, что делает его непохожим на остальные и достаточно сложным.

Автор в статье описывает всю последовательность действий для прохождения этого добра. Очень здоровский CTF, можно к себе попробовать утащить детект Фриды :D

#CTF #Frida #Android

​​CVE-2020-9964 - iOS, утечка информации

Не так давно вышла новая версия iOS 14 и её тут же начали ковырять исследователи на возможность jailbreaķ. Одно время даже была новость про отвязанный jail 😱 Вот это было бы чудесно, конечно, но пока ещё нет.

Вместе с этим, выходят обзоры на уязвимости, закрытые в новой версии. Один из таких обзоров посвящен вопросу управления памяти. В описании Apple сказано, что благодаря уязвимости «локальный пользователь может читать память ядра» и называет ее «проблемой инициализации памяти».

Само по себе это не сильно опасно, но может помочь при дальнейших атаках.

#iOS #Kernel #CVE #Vulnerability

Казалось бы, еще одна статья про биометрическую аутентификацию в Android... Но нет. В этой даются полезные пояснения по новым классам аутентификации, которые появились в Android 11.

#4developers #biometric

https://proandroiddev.com/biometrics-in-android-50424de8d0e