Развитие механизмов безопасности Android
Я наконец-то доделал статью по развитию безопасности в Android от версии к версии, что добавлялось, что улучшалось, а может и ухудшалось в каждой новой версии этой замечательной операционной системы.
Статья получилось достаточно интересного, на мой взгляд, формата. Изначально она планировалась, как техническая с большим количеством различных деталей, но в итоге, по мере написания, я понял, что стоит уделить внимание и более общим вещам.
В этой статье можно найти информацию и про технические вещи и про изменения для пользователей.
Для себя отметил несколько новых и интересных деталей, о которых не подозревал до написания 😁
Необычный формат, посмотрим, насколько это зайдет, но надеюсь, что понравится!
#Habr #Android #Security
Я наконец-то доделал статью по развитию безопасности в Android от версии к версии, что добавлялось, что улучшалось, а может и ухудшалось в каждой новой версии этой замечательной операционной системы.
Статья получилось достаточно интересного, на мой взгляд, формата. Изначально она планировалась, как техническая с большим количеством различных деталей, но в итоге, по мере написания, я понял, что стоит уделить внимание и более общим вещам.
В этой статье можно найти информацию и про технические вещи и про изменения для пользователей.
Для себя отметил несколько новых и интересных деталей, о которых не подозревал до написания 😁
Необычный формат, посмотрим, насколько это зайдет, но надеюсь, что понравится!
#Habr #Android #Security
Хабр
Развитие механизмов безопасности Android (от версии к версии)
Привет, Хабр!Я занимаюсь безопасностью мобильных приложений и с удовольствием слежу за развитием платформ Android и iOS, которые с каждым новым релизом становятс...
Наиболее распространенные уязвимости в мобильных приложениях
Всем привет!
Для начала, простите за длительное молчание, в связи со всеми событиями, да еще и подготовкой самого масштабного релиза, совсем не оставалось времени на то, чтобы что-то публиковать. Но потихоньку дела налаживаются и самое время снова выйти из тени.
И вернуться я хочу с публикации статьи "Наиболее распространенные уязвимости в мобильных приложениях".
Так как мы разрабатываем свой инструмент для динамического анализа, мы постоянно тестируем и анализируем десятки приложений (иногда прям по 10-ку в день получается) и за все время собрали немало статистики и наблюдений. Все эти вещи вылились в статью, в которой я описал наиболее распространенные уязвимости, которые мы находим в приложениях во время анализа.
Как ни странно, но они мало чем отличаются от OWASP, даже не смотря на то, что последняя версия Mobile Top 10 вышла в далеком 2016 году. Я попробовал совместить наши наблюдения и небольшой опыт по способам недопущения этих проблем и как лучше всего было бы сделать те или иные вещи.
Я на самом деле каждый раз переживаю, как будет воспринята та или иная статья и всегда с радостью принимаю замечания, так что пишите, не стесняйтесь, если с чем-то не согласны или где-то есть ошибки и неточности.
Надеюсь эта статья и такой формат зайдут, так как я хочу попробовать выдерживать некоторую регулярность и раз в неделю-две писать новые статьи и материалы на основе нашего опыта и наших данных. На это меня сподвигло понимание того, как на самом деле немного годного материала на русском языке про безопасность мобильных приложений.
Сейчас я составляю некоторую подборку и понимаю, что основным контент-мейкером является @OxFi5t, за что ему огромное спасибо! Ну и я постараюсь внести свой небольшой вклад в это замечательное дело 😁
Всем хорошей недели и приятного чтения!
#Android #iOS #Habr
Всем привет!
Для начала, простите за длительное молчание, в связи со всеми событиями, да еще и подготовкой самого масштабного релиза, совсем не оставалось времени на то, чтобы что-то публиковать. Но потихоньку дела налаживаются и самое время снова выйти из тени.
И вернуться я хочу с публикации статьи "Наиболее распространенные уязвимости в мобильных приложениях".
Так как мы разрабатываем свой инструмент для динамического анализа, мы постоянно тестируем и анализируем десятки приложений (иногда прям по 10-ку в день получается) и за все время собрали немало статистики и наблюдений. Все эти вещи вылились в статью, в которой я описал наиболее распространенные уязвимости, которые мы находим в приложениях во время анализа.
Как ни странно, но они мало чем отличаются от OWASP, даже не смотря на то, что последняя версия Mobile Top 10 вышла в далеком 2016 году. Я попробовал совместить наши наблюдения и небольшой опыт по способам недопущения этих проблем и как лучше всего было бы сделать те или иные вещи.
Я на самом деле каждый раз переживаю, как будет воспринята та или иная статья и всегда с радостью принимаю замечания, так что пишите, не стесняйтесь, если с чем-то не согласны или где-то есть ошибки и неточности.
Надеюсь эта статья и такой формат зайдут, так как я хочу попробовать выдерживать некоторую регулярность и раз в неделю-две писать новые статьи и материалы на основе нашего опыта и наших данных. На это меня сподвигло понимание того, как на самом деле немного годного материала на русском языке про безопасность мобильных приложений.
Сейчас я составляю некоторую подборку и понимаю, что основным контент-мейкером является @OxFi5t, за что ему огромное спасибо! Ну и я постараюсь внести свой небольшой вклад в это замечательное дело 😁
Всем хорошей недели и приятного чтения!
#Android #iOS #Habr
Хабр
Наиболее распространенные уязвимости в мобильных приложениях
Всем привет, меня зовут Юрий Шабалин, я один из основателей компании "Стингрей Технолоджиз" (входит в группу компаний Swordfish Security), мы разрабатываем платформу анализа защищенности мобильных...
Подборка материалов по мобильной безопасности «Awesome Mobile Security»
Всем привет!
В очередной раз, пока искал в истории канала какую-то ссылку на видео, решил что пора заканчивать с таким неблагородным делом и оформлять все материалы, которые скопились в представительный вид.
Из этого вылилось два репозитория на гитхабе с подборками всех материалов, которые были в канале, разбитые по логическим группам. Еще немного покопался в закромах и выудил ссылки на различные CTF и WriteUp по ним для Android. Получились достаточно интересные подборки. Подробнее посмотреть, что вышло можно в статье на Хабр (ну а куда без него).
Основная проблема всех таких репозиториев, что про них забывают и забивают и через месяц они становятся абсолютно неактуальными) Мне бы хотелось такого избежать, поэтому весь контент, что будет появляться в канале в конце недели я буду переносить в репозитории, а потом делать небольшой "дайджест" на Хабр по новостям текущей недели (посмотрим, зайдет ли такой формат).
Всем хорошей недели и приятного чтения, надеюсь, вы найдете для себя что-то новое в материалах.
#Habr #News #Awesome #Android #iOS
Всем привет!
В очередной раз, пока искал в истории канала какую-то ссылку на видео, решил что пора заканчивать с таким неблагородным делом и оформлять все материалы, которые скопились в представительный вид.
Из этого вылилось два репозитория на гитхабе с подборками всех материалов, которые были в канале, разбитые по логическим группам. Еще немного покопался в закромах и выудил ссылки на различные CTF и WriteUp по ним для Android. Получились достаточно интересные подборки. Подробнее посмотреть, что вышло можно в статье на Хабр (ну а куда без него).
Основная проблема всех таких репозиториев, что про них забывают и забивают и через месяц они становятся абсолютно неактуальными) Мне бы хотелось такого избежать, поэтому весь контент, что будет появляться в канале в конце недели я буду переносить в репозитории, а потом делать небольшой "дайджест" на Хабр по новостям текущей недели (посмотрим, зайдет ли такой формат).
Всем хорошей недели и приятного чтения, надеюсь, вы найдете для себя что-то новое в материалах.
#Habr #News #Awesome #Android #iOS
Хабр
Подборка материалов по мобильной безопасности «Awesome Mobile Security»
Привет, Хабр! Меня зовут Юрий Шабалин, я один из основателей компании "Стингрей Технолоджиз" (входит в группу компаний Swordfish Security), мы разрабатываем платформу анализа защищенности мобильных...
Первый дайджест на Хабр
Всем привет!
Сегодня вышел первый дайджест "Неделя мобильной безопасности (9-15 апреля)" на Хабр.
По факту, это подборка материала с канала за неделю. Возможно, кому-то в таком консолидированном виде будет удобнее читать, что же нового было в мире мобильного ИБ.
Если эксперимент окажется успешным и формат зайдет, то каждую неделю в пятницу или субботу я буду публиковать такую подборку и обновлять ссылки в репозиториях Awesome iOS Security и Awesome Android Security.
Всем хороших выходных!
#habr #news #awesome
Всем привет!
Сегодня вышел первый дайджест "Неделя мобильной безопасности (9-15 апреля)" на Хабр.
По факту, это подборка материала с канала за неделю. Возможно, кому-то в таком консолидированном виде будет удобнее читать, что же нового было в мире мобильного ИБ.
Если эксперимент окажется успешным и формат зайдет, то каждую неделю в пятницу или субботу я буду публиковать такую подборку и обновлять ссылки в репозиториях Awesome iOS Security и Awesome Android Security.
Всем хороших выходных!
#habr #news #awesome
Хабр
Неделя мобильной безопасности (9-15 апреля)
Привет, Хабр! Меня зовут Юрий Шабалин, как вы помните из предыдущих статей, я один из основателей компании Стингрей Технолоджиз, разработчика платформы анализа защищенности мобильных приложений iOS и...
Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом
Очень часто и много вопросов в разных чатах и на тренингах вызывает тема защиты канала связи, а именно SSL Pinning. Попробовать рассказать, что это такое, а также, к чему может привести отстутствие этого механизма я попробовал в статье "Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом".
Но на самом деле, прежде чем говорить о пиннинге, нужно понимать, что вообще происходит при взаимодействии клиента и сервера, как проходит установка безопасного соединения и еще несколько базовых вещей.
Я постарался описать все эти вещи максимально просто, так, как сам их понимаю, и надеюсь, что этот материал будет полезен тем, кто хочет сделать свой продукт более безопасным и разобраться, как работает этот механизм.
Я старался, так что, надеюсь, вам понравится!
Всех с понедельником и хорошей недели!
#Habr #SSL #Pinning
Очень часто и много вопросов в разных чатах и на тренингах вызывает тема защиты канала связи, а именно SSL Pinning. Попробовать рассказать, что это такое, а также, к чему может привести отстутствие этого механизма я попробовал в статье "Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом".
Но на самом деле, прежде чем говорить о пиннинге, нужно понимать, что вообще происходит при взаимодействии клиента и сервера, как проходит установка безопасного соединения и еще несколько базовых вещей.
Я постарался описать все эти вещи максимально просто, так, как сам их понимаю, и надеюсь, что этот материал будет полезен тем, кто хочет сделать свой продукт более безопасным и разобраться, как работает этот механизм.
Я старался, так что, надеюсь, вам понравится!
Всех с понедельником и хорошей недели!
#Habr #SSL #Pinning
Хабр
Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом
Привет, Хабр! Меня зовут Юрий Шабалин, как вы, наверное, уже знаете, я один из основателей компании Стингрей Технолоджиз, разработчика платформы анализа защищенности мобильных приложений iOS и...
Mobile AppSec World
Первый дайджест на Хабр Всем привет! Сегодня вышел первый дайджест "Неделя мобильной безопасности (9-15 апреля)" на Хабр. По факту, это подборка материала с канала за неделю. Возможно, кому-то в таком консолидированном виде будет удобнее читать, что же…
Вторая серия подборки
Всем хорошего вечера пятницы, выпустил, как обещал вторую версию дайджеста с подборкой материалов за неделю.
Эксперимент оказался вполне успешным, по крайнере мере негатива не было =)
И у меня возник вопрос, а стоит ли это публиковать на канале и добавилось в репозитории, раз уж это все равно по факту сборник того, что уже было на неделе, просто на другой площадке?
Если не сложно, отметьте, нужно такое или нет =)
#quiz #habr #news #awesome
Всем хорошего вечера пятницы, выпустил, как обещал вторую версию дайджеста с подборкой материалов за неделю.
Эксперимент оказался вполне успешным, по крайнере мере негатива не было =)
И у меня возник вопрос, а стоит ли это публиковать на канале и добавилось в репозитории, раз уж это все равно по факту сборник того, что уже было на неделе, просто на другой площадке?
Если не сложно, отметьте, нужно такое или нет =)
#quiz #habr #news #awesome
Хабр
Swordfish Security, Санкт-Петербург - Информационная безопасность, DevSecOps, SSDL / Статьи
25 статей от авторов компании Swordfish Security
И снова про App Transport Security: что это и зачем
Всем привет!
Очень часто при анализе iOS-приложений мы встречаем выключенный
Сначала я был с ними согласен, потому что действительно, штука не однозначная. Но разобравшись, я подумал, что благодаря этой настройке можно не только контролировать сетевое взаимодействие приложения но и частично тестировать корректную настройку backend, потому что с неправильной конфигурацией на стороне сервера клиент к нему просто не подключится.
А если к этому добавить возможность прикрепления сертификатов по аналогии с Андроидовским
Исходя из всех этих соображений я написал статью, посвященную теме App Transport Security, как его настраивать, что означают ключи, как сделать прикрепление сертификатов, как проверить настройку backend и многое другое!
Надеюсь, что вам пригодится это в работе!
Ну или тем, кто когда-то начнет работать с iOS и будет искать материалы по этой теме 😄
Всем хорошей недели!
#iOS #AppTransportSecurity #network #habr
Всем привет!
Очень часто при анализе iOS-приложений мы встречаем выключенный
App Transport Security для всего приложения. И на вопросы, почему его выключили, обычно отвечают, что его не хочется настраивать и слишком много доменов, для которых нужно делать исключение. Сначала я был с ними согласен, потому что действительно, штука не однозначная. Но разобравшись, я подумал, что благодаря этой настройке можно не только контролировать сетевое взаимодействие приложения но и частично тестировать корректную настройку backend, потому что с неправильной конфигурацией на стороне сервера клиент к нему просто не подключится.
А если к этому добавить возможность прикрепления сертификатов по аналогии с Андроидовским
Network Security Config, и посмотреть более внимательно, как его настраивать, то можно получить очень даже удобный инструмент для настройки сетевого взаимодействия. Исходя из всех этих соображений я написал статью, посвященную теме App Transport Security, как его настраивать, что означают ключи, как сделать прикрепление сертификатов, как проверить настройку backend и многое другое!
Надеюсь, что вам пригодится это в работе!
Ну или тем, кто когда-то начнет работать с iOS и будет искать материалы по этой теме 😄
Всем хорошей недели!
#iOS #AppTransportSecurity #network #habr
Хабр
И снова про App Transport Security: что это и зачем
Привет, Хабр! Меня зовут Юрий Шабалин, и, как я пишу в начале каждой своей статьи, мы разрабатываем платформу анализа защищенности мобильных приложений iOS и Android. В этой статье мне бы хотелось...
Mobile AppSec World
Публиковать ли ссылки на "Неделю новостей мобильной безопасности в канале?"
Новости мобильной безопасности. Эпизод 3.
Так как большинство проголосовало "за", а часть не знает про существование канала, то вот третий выпуск подборки на Хабр по новостям из мира мобильной (прости господи), безопасности!
Ну и напомню, что все эти ссылки переходят из канала на Хабр, а оттуда в репозитории Awesome iOS Security и Awesome Android Security, присоединяйтесь)
Всем хорошей пятницы и хорошо отдохнуть на выходных!
#habr #news #awesome
Так как большинство проголосовало "за", а часть не знает про существование канала, то вот третий выпуск подборки на Хабр по новостям из мира мобильной (прости господи), безопасности!
Ну и напомню, что все эти ссылки переходят из канала на Хабр, а оттуда в репозитории Awesome iOS Security и Awesome Android Security, присоединяйтесь)
Всем хорошей пятницы и хорошо отдохнуть на выходных!
#habr #news #awesome
Хабр
Неделя мобильной безопасности (23-29 апреля)
Привет, Хабр! Продолжая серию мини-дайджестов по мобильной безопасности, посмотрим, что интересного появилось с 23 по 29 апреля. Новости URI Spoofing в клиенте мессенджера Signal для iOS Достаточно...
Знай свои секреты. Поиск и автоматическая проверка секретов сторонних сервисов
Что-то в последнее время много постов на канале про моё творчество, но, наверное, это и неплохо :)
И вот вам занятное на почитать между праздниками, статья о хранении секретов в мобильных приложениях.
А именно о том, что происходит с аутентификационными данными от сторонних сервисов, которые мы так любим использовать, о том, как их искать и автоматически проверять на валидность, какие инструменты есть для решения подобных задач и как это всё автоматизировать.
Надеюсь, что для кого-то эта статья окажется полезной и он сможет применить некоторые подходы в своей работе!
Спасибо и хороших вторых выходных 😄
#habr #secrets #stingray
Что-то в последнее время много постов на канале про моё творчество, но, наверное, это и неплохо :)
И вот вам занятное на почитать между праздниками, статья о хранении секретов в мобильных приложениях.
А именно о том, что происходит с аутентификационными данными от сторонних сервисов, которые мы так любим использовать, о том, как их искать и автоматически проверять на валидность, какие инструменты есть для решения подобных задач и как это всё автоматизировать.
Надеюсь, что для кого-то эта статья окажется полезной и он сможет применить некоторые подходы в своей работе!
Спасибо и хороших вторых выходных 😄
#habr #secrets #stingray
Хабр
Знай свои секреты. Поиск и автоматическая проверка секретов сторонних сервисов
Привет, Хабр! По традиции, представлюсь, меня зовут Юрий Шабалин, и вместе с командой Стингрей мы разрабатываем платформу анализа защищенности мобильных приложений. Сегодня я хотел бы рассказать о...
Новости мобильной безопасности. Эпизод 4.
Продолжаем рубрику новостей из мира безопасности мобильных приложений (с 30 апреля по 6 мая). Несмотря на праздники, новостей и материалов было достаточно много, - давайте посмотрим, что интересного произошло.
Ну и напомню, что все эти ссылки переходят из канала на Хабр, а оттуда в репозитории Awesome iOS Security и Awesome Android Security, присоединяйтесь)
Всем хорошей пятницы и хорошо отдохнуть на выходных!
#habr #news #awesome
Продолжаем рубрику новостей из мира безопасности мобильных приложений (с 30 апреля по 6 мая). Несмотря на праздники, новостей и материалов было достаточно много, - давайте посмотрим, что интересного произошло.
Ну и напомню, что все эти ссылки переходят из канала на Хабр, а оттуда в репозитории Awesome iOS Security и Awesome Android Security, присоединяйтесь)
Всем хорошей пятницы и хорошо отдохнуть на выходных!
#habr #news #awesome
Хабр
Неделя мобильной безопасности (30 апреля — 6 мая)
Привет, Хабр! И снова представляю вам, как и обещал в статье про подборку материалов по мобильной безопасности , самые главные новости из мира безопасности мобильных приложений (с 30 апреля по 6...