Mobile AppSec World
5.3K subscribers
142 photos
8 videos
19 files
675 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
Вопрос, что есть в Android и практически нет в iOS? 🤓

На самом деле много чего :) Но самое интересное, на мой взгляд, это межпроцессное взаимодействие (IPC - Inter-process communication). В системе Android кажется бесшовным общение между приложениями через вызовы сервисов, запуск Activity, отправку Intent'ов и широковещательных сообщений. И это безумно удобно!

Но, как мы знаем, Android построен на базе ядра Linux и использует большое количество инструментов безопасности этой платформы. И на самом деле, вызовы из одного процесса в другой запрещены. Так как же тогда работает межпроцессное взаимодействие?

Ответ прост - в Android есть очень интересный механизм под названием Binder IPC, который представляет собой системный процесс для обмена данными между приложениями.

Есть несколько статей и документов, посвященных описанию этого механизма. Одна из этих статей как раз подойдет для тех, кто хочет разобраться, как устроен IPC процесс в Android и на чем в принципе основан Android и как он работает.

#Android #Security #IPC #Linux #binder

Часть 1 (в основном про общее строение безопасности Android и как он работает):
https://blog.hacktivesecurity.com/index.php?controller=post&action=view&id_post=46

Часть 2 (больше информации именно про устройство Binder IPC):
https://blog.hacktivesecurity.com/index.php?controller=post&action=view&id_post=48
Deep Dive into Android Binder IPC.pdf
3.1 MB
Для тех, кому интересно почитать более подробно про Binder, механизм его работы и внутренности, есть замечательный материал, который в подробнейших деталях описывает все нюансы :)

А также подробно описан механизм AIDL (Android Interface Definition Language). В буквальном переводе – язык описания интерфейсов Android. Используется для описания композиции и декомпозиции Java объектов в примитивы ОС для непосредственно передачи между процесами.

Информации много, но это того стоит, поверьте.

#Android #Binder #Security #IPC
Сейчас практически все мобильные приложения, которые хоть как-то оперируют важной для пользователя информацией, защищены паролем и, для удобства использования, pin-кодом.

Но вечный вопрос безопасности и удобства, какую длину pin-кода выбрать,чтобы было и удобно и безопасно? И нужно ли запрещать использование простых кодов, вроде 0000?

Наткнулся на интересное исследование, которое пытается эти вопросы разрешить 🤓 Ребята проверили, какой список запрещенных пинов использует Apple, соорудив конструкцию из айфона, лего и распберри с камерой, и как подобные списки влияют на безопасность.

Выводы очень неоднозначные, но точно интересные. Согласно результатам исследования, использование 6-значных pin-кодов вместо 4-значных практически не повышает безопасность и более того, может даже снизить ее. В статье можно скачать само исследование, все участвовавшие черные списки, а так же посмотреть выступление.

#Pin #Security #Research

https://this-pin-can-be-easily-guessed.github.io/
​​Чем меня радует Android - он не прекращает развиваться, и с каждой новой версией становится всё интереснее и безопаснее (надеюсь) 😁

Вот, например, небольшое описание нововведений, касающихся разрешений. Особенно интересными, на мой взгляд, являются одноразовые разрешения и автоматический "отзыв", если приложение долго не используется. Более подробно рассказывали в видео.

И ещё, помимо безопасности пользователя, разработчики Android работают и над усилением самой платформы, добавляя различные механизмы защиты.

Хочется верить, что так будет и дальше 😎

#Android #Security #Permissions #Release #Android11
Ответы на вопросы по безопасности Android

Уже в эту пятницу 18 сентября в 19:00 по MSK будет стрим на Youtube по вопросам безопасности как самой системы Android, так и приложений! Отвечать на вопросы, которые также можно задать и в эфире, будет @OxFi5t, очень скиловый и крутой эксперт!

Я точно пойду послушаю )

Была бы ещё расшифровка записи, чтоб потом собрать некоторую wiki, было б вообще бомба. Может кто знает, как это можно автоматизировать? 😁

https://www.youtube.com/watch?v=zeU2wlcj_Bw

#Android #Security #Education
Что нового в безопасности iOS 14

Новая версия iOS уже с нами и выходит все больше статей про новые функции безопасноcти и анализ нововведений, таких как App Clips.
Одна из первых новостей - статья от Elcomsoft про обновления в части Forensic для новой iOS.

Несколько полезных статей про изменения и новый функционал:
- Анализ новой функциональности App Clips
- Анализ цепочек сообщений в iMessages
- Большая обзорная статья про нововведения в механизмы безопасности

Из интересного:
- Немного изменился формат локального бекапа (для того, чтобы его создать нужна последняя версия iTunes). Так что утилиты для разбора и анализа бекапов могут какое-то время не работать до их обновления под измененный формат. Данные, которые туда попадают, остаются такими же.
- Такая участь постигла и облачные бэкапы
- Минорные изменения в структуре файловой системы
- Появилась возможность разрешать приложениям доступ только к приблизительному местоположению
- В правой верхней части экрана устройства будет отображаться индикатор использования камеры и микрофона

Глобально, по большому счету, мало что изменилось)

#iOS #Update #Security
Обновление курсов и книг по безопасности и анализу мобильных приложений

Очередное обновление библиотеки!

На этот раз были добавлены книги по Android / iOS и два больших курса (спасибо @wusero)!

Книги:
- Android глазами хакера
- Android Security Cookbook
- iOS Application Security
- The Mac Handbook
- Beginner Guide to Exploitation on ARM 1
- Beginner Guide to Exploitation on ARM 2

Курсы:
- Pentester Academy - Pentesting iOS Applications
- GeekBrains - Безопасность мобильных приложений

Приятного чтения и просмотра!

#Books #Security #Android #iOS #Cources
Развитие механизмов безопасности Android

Я наконец-то доделал статью по развитию безопасности в Android от версии к версии, что добавлялось, что улучшалось, а может и ухудшалось в каждой новой версии этой замечательной операционной системы.

Статья получилось достаточно интересного, на мой взгляд, формата. Изначально она планировалась, как техническая с большим количеством различных деталей, но в итоге, по мере написания, я понял, что стоит уделить внимание и более общим вещам.
В этой статье можно найти информацию и про технические вещи и про изменения для пользователей.

Для себя отметил несколько новых и интересных деталей, о которых не подозревал до написания 😁

Необычный формат, посмотрим, насколько это зайдет, но надеюсь, что понравится!

#Habr #Android #Security
Канал про безопасность iOS

Больше каналов Богу каналов! А на самом деле, отлично, что появляются новые классные каналы про безопасность мобильных приложений, особенно тематические, по Android, iOS, Windows Phone (прости господи)!

А этот канал от @EZ3K1EL, человека, который выложил немало ссылок, которые попали к нам в канал и чат.

Так что прошу, канал по безопасности iOS: https://t.me/IOSAppSec

Подписываемся, ставим колокольчик и вот это все 😃
Я уже подписался, буду тоже следить 👀

#iOS #Security #tg
Большой сборник материалов по iOS

На соседнем канале, посвященному iOS опубликована шикарная ссылка на гитхаб репозиторий, который содержит в себе большое количество статей, книг, writeup по уязвимостям, обнаруженным в iOS и в целом по безопасности iOS

#iOS #Security #Books
Библиотека для iOS-приложений для определение Jailbreak, дебагер и много чего еще

Весьма интересный проект "iOS Security Suite", написанный на Swift, который поможет вам определить
- Наличие Jailbreak
- Подключенный дебаггер
- Запуск в эмуляторе (наверное все-таки в симуляторе)
- Наличие различных инструментов для отладки приложений

Ну и выглядит достаточно интересно всякие вещи в стадии Experimental:
- Определение хуков в рантайме
- Определение целостности файла из Bundle
- Определение Breakpoint

Посмотрел на код библиотеки, все здорово и она действительно реализует все OWASP-требования и даже чуть больше. Но есть одна оговорка, название у всего этого хозяйства ну прям слишком вызывающее, например для определения Jailbreak - IOSSecuritySuite.amIJailbroken(). Будет слишком просто найти. Так что я бы посоветовал взять исходники к себе и немного пошаманить, чтобы названия были не такие говорящие о том, что этот модуль делает.

А вообще очень неплохой проект для того, что бы сходу получить пачку детектов. Только не поступайте как я в свое время и не включайте детект и предупреждение/блокировку пользователей сразу, а соберите побольше статистики и посмотрите, какие проверки когда срабатывают. Я свое время неплохо так получил за то, что мы реализовали проверку, которая фалзила и отключили половину пользователей 😂

Пока писал пост, вспомнил, что давно-давно уже писал про этот фреймворк. Но он развивается, всякие фишки появляются новые, так что советую посмотреть (ну и статью по обходу тоже)

#ios #security #defence #library
Любите ли вы играть и геймдев?)

Помните, некоторое время назад я проводил опрос по играм?

Мы готовили материал и он наконец-то вышел!

На мой взгляд, получилась шикарная статья. Когда ее читал, вспомнил, как играли с друзьями когда-то, как карты для Heroes 3 рисовали, по локалке играли на турнирах в CS 1.6

Вот же было время!

В общем, получилась классная смесь из воспоминаний и фактов о безопасности этих самых игр.

Спасибо всем, кто писал этот материал :)

И приятного чтения :)

#gamedev #security