Советы по мобильному BugBounty

Статья, в которой автор рассказывает свой опыт участия в BugBounty программах, связанных с мобильными приложениями.

Весьма познавательно, особенно вступительная часть про первый репорт, который разбился о суровую реальность "эксплуатабельности" 😄

Что ещё полезно утянуть, так это список проверок, которые можно автоматизировать и улучшить первоначальный базовый анализ (по крайне мере регулярки точно подрезать можно).

Автор так же упоминает интересный блог, в котором мне зашла последняя статья о забытых ключах HockeyApp. Да-да, опять куча приложений, в которых оставили ключи.. С их помощью можно было залить новую версию версию приложения в HockeyApp. Это могла быть версия с майнером, малварь или что ещё интересное 🤓

#Android #iOS #BugBounty #HockeyApp

Альтернативный способ расшифровки IPA-файлов

Классический способ снятия FairPlay шифрования c ipa-файлов - дамп из памяти загруженных конструкций и загрузка получившегося файла к себе. Это умеет делать frida-ios-dump или dumpdecrypted, но как правило они требуют jailbreak (есть возможность использовать фриду и без джейла, но это другая история).

Однако существует инструмент yacd, который работает на iOS 13.4.1 и ниже и позволяет получить расшифрованный файл и передать его посредством Airdrop на другое устройство. Для достижения этой цели он использует эксплойт для доступа к памяти процесса, который работает как раз на этих версиях iOS.

Думаю достаточно удобно иметь под рукой такой инструмент, чтобы быстро и без особых проблем выгрузить нужное приложение 😄

#iOS #Tools #FairPlay #Decrypt

​​Обход проверок в DeepLink

Интересное видео про методику обхода проверок в механизме DeepLink на Android.

В видео рассказывается что такое DeepLink вообще, для чего они нужны, какие стандартные валидаторы применяются и как их можно обойти 😉

Ещё бы и код выложил, на котором демо проводит, вообще отлично было бы.

#Android #DeepLink #Bypass #Vulnerability

​​Атака на графический процессор Qualcomm Adreno

Обзор необычной атаки на графический процессор Qualcomm Adreno, которую можно реализовать находясь внутри песочницы. Другими словами, нет необходимости дополнительно повышать привилегии или совершать "побег", что бы выполнить зловредный код, все доступно в контексте приложения.

В статье описано, как устроен графический процессор, драйвер для взаимодействия с ядром системы и некоторые интересные особенности этой архитектуры. В результате эксплуатации уязвимости, возникает race condition, который приводит к возможности выполнения кода в контексте ядра 💃

Как говорится ничего не понятно, но очень интересно! 😁

#Android #Vulnerability #Writeup

​​Нововведения в Android 11

Я наконец-то добрался до статьи про новую версию Android. Пока других интересных новостей нет, посмотрим, что интересного приготовил нам Google.

Уже был пост на эту тему, но теперь мы можем потрогать новый Android живьём и немного освежим память, о чем нам там рассказывали :)

Добавили много полезных и удобных фич для пользователей и пару классных вещей в безопасности:

- Единоразовые разрешения. Теперь можно будет выдать пермишены на камеру, микрофон и другие подобные вещи только на один запуск. При следующем "открытии" приложение уже не будет иметь доступа к этим ресурсам. Да, теперь придется каждый раз при запуске всё проверять 🙈

- Удаление разрешений, если приложение долго не использовалось. Это значит, что если долго не открывать приложение, то система отзовет все пермишены, которые у него были. Тоже неплохо, теперь малвари, которая скрывает себя и оставляет только сервисы с ресиверами придется искать способ периодически запускать основное приложение 😁

- Обновления безопасности через GooglePlay. Пожалуй, самая интересная фича! Теперь апдейты безопасности будут распространяться через механизмы Google Play сервисов, как и обновления обычных приложений. Насколько это будет стабильно работать на зоопарке андроидов, посмотрим, конечно, но сама идея очень здравая.

На самом деле, очень радует, как система растет в плане безопасности от версии к версии, видно, что Google старается и много времени уделяет этому аспекту. Сейчас уже сложнее сказать, что iOS безопаснее, чем Android 😁

#Android #Update #Android11

​​AndroidBroadcast о безопасности мобильных приложений

Очень обширный, интересный и затрагивающий многие аспекты разговор про безопасность мобильных приложений подсказали в нашем чате (спасибо @ChadwickBlackford):

https://www.youtube.com/watch?v=1AjWxpWMBBE&ab_channel=AndroidBroadcast

Выпуск идёт целых два часа, но это того стоит, и послушать полезно и посмотреть приятно)

#AndroidBroadcast #Video #Youtube

​​Несколько критических уязвимостей в TikTok

Компанию TikTok никак не оставят в покое 😁 Но на этот раз это уже не исследования, что же они собирают о пользователе и какие данные передают, а полноценное исследование приложения, в котором нашлись действительно серьезные уязвимости.

Тут тебе и чтение файлов из внутренней директории и выполнение произвольного кода в контексте приложения!

Отличное описание, с примерами и кодом для PoC. 🤓

#TikTok #Vulnerabilities #Research

​​Анализ Flutter приложений

Ранее было несколько статей про обход SSL-Pinning в приложениях, написанных при помощи Flutter. Но гайда, как устроены эти приложения внутри и как их правильно анализировать я не встречал.

Один из подписчиков, спасибо ему большое, поделился подробнейшей статьёй про реверс-инжиниринг таких приложений. Автор описывает, что это за технология, как она устроена, что за что отвечает. Ждём вторую статью с описанием процесса анализа реальных приложений 😉

Крайне полезная вещь, рекомендую всем, кому приходится сталкиваться с анализом таких приложений.

#Flutter #Analisys #Revers

​​Критические уязвимости в MobileIron MDM

MDM - Mobile Device Management, управление корпоративными устройствами, очень популярная вещь в больших компаниях. Но что произойдёт, если внутри самой этой системы присутствуют уязвимости, позволяющие выполнить любой код?

Это значит, что можно получить доступ к системе, а также данные об огромном количестве сотрудников. Ну и что-то им установить :)

В статье приведено описание уязвимости, как она была найдена и проэксплуатирована и есть ссылка на доклад. Один из интересных моментов, что автор после выхода фикса подождал некоторое время, выяснил, что Facebook не накатил патчи, залил к ним шелл и написал в багбаунти программу 😁 дабл профит))

#mdm #facebook #bugbounty #research

​​Эксперименты с WebView

Практически всегда, когда говорят об уязвимостях в WebView - имеют ввиду возможности по выполнению JS кода, если это не отключено, чтение файлов, если опять-таки не отключена такая возможность и другие похожие проблемы.

Но вот другой интересный момент на который стоит обратить внимание, что если защищать нужно не ваше приложение, которое использует WebView, а вашу страницу, которое другое приложение отображает и данные клиентов, которую вводят на ней информацию? Простой пример - в стороннем приложении "партнера" нужно осуществить логин в ваш сервис и для этого используется Web страница. Что может сделать приложение с данными, которые отправляются через WebView и какие способы от этого защититься есть?

Подробная статья про разные методы защиты (CSP, Iframe Sandbox, X-XSS-Protection), в чем их смысл, как их можно обойти и что делать-то в итоге? Плюс этой статьи, что к каждому примеру есть работающие приложения, чтобы попробовать самому пройти все эти шаги и код, который можно изучить.

И в догонку пост от Mail.ru двухгодичной давности, но актуальный до сих пор, про безопасность мобильного OAuth2.0. Всем, кто использует или предоставляет такую возможность очень рекомендую к изучению, ребята очень дотошно и качественно подошли к материалу. Комментарии к этой статье тоже несут много полезной информации, что необычно 😁

#WebView #OAuth #Research

Ответы на вопросы по безопасности Android

Уже в эту пятницу 18 сентября в 19:00 по MSK будет стрим на Youtube по вопросам безопасности как самой системы Android, так и приложений! Отвечать на вопросы, которые также можно задать и в эфире, будет @OxFi5t, очень скиловый и крутой эксперт!

Я точно пойду послушаю )

Была бы ещё расшифровка записи, чтоб потом собрать некоторую wiki, было б вообще бомба. Может кто знает, как это можно автоматизировать? 😁

https://www.youtube.com/watch?v=zeU2wlcj_Bw

#Android #Security #Education

Интересная уязвимость в Firefox, которая позволяет запускать браузер и выполнять некорые Intent на вашем устройстве, если вы находитесь в одной сети со злоумышленником.

Но вот явного профита я пока не могу найти, что можно сделать адски плохого 👹

Полный репорт тут:
https://gitlab.com/gitlab-com/gl-security/security-operations/gl-redteam/red-team-tech-notes/-/tree/master/firefox-android-2020

P.S. новость с отличного канала, очень много интересного контента :)

Уязвимость в Firefox для Android, позволяющая управлять браузером через общий Wi-Fi
https://www.opennet.ru/opennews/art.shtml?num=53745

PoC
https://gitlab.com/gitlab-com/gl-security/security-operations/gl-redteam/red-team-tech-notes/-/blob/master/firefox-android-2020/ffssdp.py

​​CTF с защитой от root и frida

Обычно CTF решаются с помощью установки приложения на рутованное устройство, запускается Фрида и погнали!

Но не в этот раз 😁 В этом шикарном CTF (осторожно, по ссылке загрузка apk) стоит детект рута и определение Frida, что делает его непохожим на остальные и достаточно сложным.

Автор в статье описывает всю последовательность действий для прохождения этого добра. Очень здоровский CTF, можно к себе попробовать утащить детект Фриды :D

#CTF #Frida #Android

​​CVE-2020-9964 - iOS, утечка информации

Не так давно вышла новая версия iOS 14 и её тут же начали ковырять исследователи на возможность jailbreaķ. Одно время даже была новость про отвязанный jail 😱 Вот это было бы чудесно, конечно, но пока ещё нет.

Вместе с этим, выходят обзоры на уязвимости, закрытые в новой версии. Один из таких обзоров посвящен вопросу управления памяти. В описании Apple сказано, что благодаря уязвимости «локальный пользователь может читать память ядра» и называет ее «проблемой инициализации памяти».

Само по себе это не сильно опасно, но может помочь при дальнейших атаках.

#iOS #Kernel #CVE #Vulnerability

Казалось бы, еще одна статья про биометрическую аутентификацию в Android... Но нет. В этой даются полезные пояснения по новым классам аутентификации, которые появились в Android 11.

#4developers #biometric

https://proandroiddev.com/biometrics-in-android-50424de8d0e

​​Jailbreak на iOS 14

Появился jailbreak для iOS 14! Пока что не для всех моделей, но всё-таки!

Тенденция очень радует, чем старше версия iOS, тем быстрее её ломают. Может это и не так, нужно проверить 😁

Для устройств на процессорах A9(X) jailbreak уже доступен:
- iPhone 6s, 6s Plus, and SE
- iPad 5th generation
- iPad Air 2
- iPad mini 4
- iPad Pro 1st generation
- Apple TV 4 and 4K
- iBridge T2

Интересно, что в iOS 14 Apple добавила новое средство защиты SEPOS на процессорах A10 и выше: если устройство было загружено из режима DFU и Secure Enclave получает запрос на расшифровку пользовательских данных, то сработает защита. Поскольку основной эксплойт checkm8 не может обойти это ограничение, то очень кстати оказалась выявленная недавно уязвимость blackbird, которая позволяет получить контроль над Security Enclave и отключить эту проверку.

Устройства, которые ждут "скрещивания" checkm8 и blackbird:
- iPhone 7 and 7 Plus
- iPad 6th and 7th generation
- iPod touch 7
- iPad Pro 2nd generation

По заверению исследователей, это дело нескольких недель.

Для остальных устройств, на процессорах выше А10(Х), на данный момент не понятно, сработает ли уязвимость blackbird.

Будем следить :)

#iOS #Jailbreak #iOS14 #checkm8

Вебинар - Android Hacking Proving Ground

Уже сегодня (24 сентября) в 20:00 пройдет вебинар по анализу мобильных приложений (обязательна регистрация, а то не придет ссылка) от одного из активных участников OWASP и контрибьютора в MSTG из компании Acronis.

В программе:
- Вступление
- О себе
- Разнообразие мобильной безопасности
- Атака, защита и поиск ошибок в Android-приложениях
- CTF InjuredAndroid
- Демо различных атак
- Карьера в области безопасности мобильных приложений
- Полезные Ресурсы
- Вопросы и ответы

Может будет что-то интересное/полезное 😄

#Android #Webinar #CTF

Что нового в безопасности iOS 14

Новая версия iOS уже с нами и выходит все больше статей про новые функции безопасноcти и анализ нововведений, таких как App Clips.
Одна из первых новостей - статья от Elcomsoft про обновления в части Forensic для новой iOS.

Несколько полезных статей про изменения и новый функционал:
- Анализ новой функциональности App Clips
- Анализ цепочек сообщений в iMessages
- Большая обзорная статья про нововведения в механизмы безопасности

Из интересного:
- Немного изменился формат локального бекапа (для того, чтобы его создать нужна последняя версия iTunes). Так что утилиты для разбора и анализа бекапов могут какое-то время не работать до их обновления под измененный формат. Данные, которые туда попадают, остаются такими же.
- Такая участь постигла и облачные бэкапы
- Минорные изменения в структуре файловой системы
- Появилась возможность разрешать приложениям доступ только к приблизительному местоположению
- В правой верхней части экрана устройства будет отображаться индикатор использования камеры и микрофона

Глобально, по большому счету, мало что изменилось)

#iOS #Update #Security

​​RCE в Instagram на Android и iOS

Очень подробная, длинная и качественная статья про найденную уязвимость в приложении Instagram для обеих платформ.

Дьявол, как обычно, кроется в деталях. Исследователи решили искать уязвимости не в самом приложении, а в используемых open-source библиотеках!

Как это обычно бывает, наиболее интересные баги всегда связаны с обработкой изображений, уже ни раз находили подобные проблемы и в приложениях и в самих операционных системах. В данном случае жертвой стала библиотека Mozjpeg. При помощи прекрасного инструмента для фаззинга American Fuzzy Lop (AFL) нашли ряд проблем, одну из которых почти докрутили до полноценного эксплойта. Но чуть не хватило 😁

В статье подробно расписан процесс анализа и объясняется, как именно исследователи строили и проверяли различные предположения. С выкладками кода, бинарщиной, манипуляциями с памятью, всё как надо)

Почитать на ночь,что надо 😁

#Android #iOS #Instagram #Vulnerability

​​Universal XSS в WebView

Описание одной из найденных уязвимостей, позволяющей выполнить произвольный JS код в рамках WebView и в некоторых особенно запущенных случаях получить доступ к привилегированным API-интерфейсам, предоставляемых приложением.

Сработало интересное поведение WebView, которое при настройке по умолчанию, запрещает иметь несколько окон, WebSettings.setSupportMultipleWindows(). Такая настройка позволяет из iframe обходить политику Same-Origin и выполнять произвольный JavaScript сразу на вашей странице.

Эта уязвимость затрагивает приложения, которые используют WebView с настройками по умолчанию и которые работают в системах с версией Android WebView до 83.0.4103.106.

Как защититься, если не уверены, что работаете на пропатченной версии:
1. Включите поддержку нескольких окон (WebSettings.setSupportMultipleWindows() установить в true). При этом поведение и внешний вид может остаться аналогичным и незаметным для пользователя.

2. Загружаете в WebView только доверенный контент со своих серверов.

Интересная находка, которая затрагивает сразу и приложения, использующие WebView и сами браузеры 😃

Пора автоматизировать и на h1?) 🤔

#Android #Vulnerability #XSS