Вопрос, что есть в Android и практически нет в iOS? 🤓
На самом деле много чего :) Но самое интересное, на мой взгляд, это межпроцессное взаимодействие (IPC - Inter-process communication). В системе Android кажется бесшовным общение между приложениями через вызовы сервисов, запуск Activity, отправку Intent'ов и широковещательных сообщений. И это безумно удобно!
Но, как мы знаем, Android построен на базе ядра Linux и использует большое количество инструментов безопасности этой платформы. И на самом деле, вызовы из одного процесса в другой запрещены. Так как же тогда работает межпроцессное взаимодействие?
Ответ прост - в Android есть очень интересный механизм под названием Binder IPC, который представляет собой системный процесс для обмена данными между приложениями.
Есть несколько статей и документов, посвященных описанию этого механизма. Одна из этих статей как раз подойдет для тех, кто хочет разобраться, как устроен IPC процесс в Android и на чем в принципе основан Android и как он работает.
#Android #Security #IPC #Linux #binder
Часть 1 (в основном про общее строение безопасности Android и как он работает):
https://blog.hacktivesecurity.com/index.php?controller=post&action=view&id_post=46
Часть 2 (больше информации именно про устройство Binder IPC):
https://blog.hacktivesecurity.com/index.php?controller=post&action=view&id_post=48
На самом деле много чего :) Но самое интересное, на мой взгляд, это межпроцессное взаимодействие (IPC - Inter-process communication). В системе Android кажется бесшовным общение между приложениями через вызовы сервисов, запуск Activity, отправку Intent'ов и широковещательных сообщений. И это безумно удобно!
Но, как мы знаем, Android построен на базе ядра Linux и использует большое количество инструментов безопасности этой платформы. И на самом деле, вызовы из одного процесса в другой запрещены. Так как же тогда работает межпроцессное взаимодействие?
Ответ прост - в Android есть очень интересный механизм под названием Binder IPC, который представляет собой системный процесс для обмена данными между приложениями.
Есть несколько статей и документов, посвященных описанию этого механизма. Одна из этих статей как раз подойдет для тех, кто хочет разобраться, как устроен IPC процесс в Android и на чем в принципе основан Android и как он работает.
#Android #Security #IPC #Linux #binder
Часть 1 (в основном про общее строение безопасности Android и как он работает):
https://blog.hacktivesecurity.com/index.php?controller=post&action=view&id_post=46
Часть 2 (больше информации именно про устройство Binder IPC):
https://blog.hacktivesecurity.com/index.php?controller=post&action=view&id_post=48
Deep Dive into Android Binder IPC.pdf
3.1 MB
Для тех, кому интересно почитать более подробно про Binder, механизм его работы и внутренности, есть замечательный материал, который в подробнейших деталях описывает все нюансы :)
А также подробно описан механизм AIDL (Android Interface Definition Language). В буквальном переводе – язык описания интерфейсов Android. Используется для описания композиции и декомпозиции Java объектов в примитивы ОС для непосредственно передачи между процесами.
Информации много, но это того стоит, поверьте.
#Android #Binder #Security #IPC
А также подробно описан механизм AIDL (Android Interface Definition Language). В буквальном переводе – язык описания интерфейсов Android. Используется для описания композиции и декомпозиции Java объектов в примитивы ОС для непосредственно передачи между процесами.
Информации много, но это того стоит, поверьте.
#Android #Binder #Security #IPC
Сейчас практически все мобильные приложения, которые хоть как-то оперируют важной для пользователя информацией, защищены паролем и, для удобства использования, pin-кодом.
Но вечный вопрос безопасности и удобства, какую длину pin-кода выбрать,чтобы было и удобно и безопасно? И нужно ли запрещать использование простых кодов, вроде 0000?
Наткнулся на интересное исследование, которое пытается эти вопросы разрешить 🤓 Ребята проверили, какой список запрещенных пинов использует Apple, соорудив конструкцию из айфона, лего и распберри с камерой, и как подобные списки влияют на безопасность.
Выводы очень неоднозначные, но точно интересные. Согласно результатам исследования, использование 6-значных pin-кодов вместо 4-значных практически не повышает безопасность и более того, может даже снизить ее. В статье можно скачать само исследование, все участвовавшие черные списки, а так же посмотреть выступление.
#Pin #Security #Research
https://this-pin-can-be-easily-guessed.github.io/
Но вечный вопрос безопасности и удобства, какую длину pin-кода выбрать,чтобы было и удобно и безопасно? И нужно ли запрещать использование простых кодов, вроде 0000?
Наткнулся на интересное исследование, которое пытается эти вопросы разрешить 🤓 Ребята проверили, какой список запрещенных пинов использует Apple, соорудив конструкцию из айфона, лего и распберри с камерой, и как подобные списки влияют на безопасность.
Выводы очень неоднозначные, но точно интересные. Согласно результатам исследования, использование 6-значных pin-кодов вместо 4-значных практически не повышает безопасность и более того, может даже снизить ее. В статье можно скачать само исследование, все участвовавшие черные списки, а так же посмотреть выступление.
#Pin #Security #Research
https://this-pin-can-be-easily-guessed.github.io/
this-pin-can-be-easily-guessed.github.io
This PIN Can Be Easily Guessed
A comprehensive study on the security and usability of user-chosen 4- and 6-digit smartphone unlock PINs.
Чем меня радует Android - он не прекращает развиваться, и с каждой новой версией становится всё интереснее и безопаснее (надеюсь) 😁
Вот, например, небольшое описание нововведений, касающихся разрешений. Особенно интересными, на мой взгляд, являются одноразовые разрешения и автоматический "отзыв", если приложение долго не используется. Более подробно рассказывали в видео.
И ещё, помимо безопасности пользователя, разработчики Android работают и над усилением самой платформы, добавляя различные механизмы защиты.
Хочется верить, что так будет и дальше 😎
#Android #Security #Permissions #Release #Android11
Вот, например, небольшое описание нововведений, касающихся разрешений. Особенно интересными, на мой взгляд, являются одноразовые разрешения и автоматический "отзыв", если приложение долго не используется. Более подробно рассказывали в видео.
И ещё, помимо безопасности пользователя, разработчики Android работают и над усилением самой платформы, добавляя различные механизмы защиты.
Хочется верить, что так будет и дальше 😎
#Android #Security #Permissions #Release #Android11
Ответы на вопросы по безопасности Android
Уже в эту пятницу 18 сентября в 19:00 по MSK будет стрим на Youtube по вопросам безопасности как самой системы Android, так и приложений! Отвечать на вопросы, которые также можно задать и в эфире, будет @OxFi5t, очень скиловый и крутой эксперт!
Я точно пойду послушаю )
Была бы ещё расшифровка записи, чтоб потом собрать некоторую wiki, было б вообще бомба. Может кто знает, как это можно автоматизировать? 😁
https://www.youtube.com/watch?v=zeU2wlcj_Bw
#Android #Security #Education
Уже в эту пятницу 18 сентября в 19:00 по MSK будет стрим на Youtube по вопросам безопасности как самой системы Android, так и приложений! Отвечать на вопросы, которые также можно задать и в эфире, будет @OxFi5t, очень скиловый и крутой эксперт!
Я точно пойду послушаю )
Была бы ещё расшифровка записи, чтоб потом собрать некоторую wiki, было б вообще бомба. Может кто знает, как это можно автоматизировать? 😁
https://www.youtube.com/watch?v=zeU2wlcj_Bw
#Android #Security #Education
YouTube
Вопросы новичков
Отвечаю на вопросы, которые волнуют многих начинающих (и не только) разработчиков, которые пытаются разобраться в теме безопасности Android приложений.
Внимание! В ответе на вопрос про keystore есть ошибка! Я говорю, что сохранение симметричных ключей добавили…
Внимание! В ответе на вопрос про keystore есть ошибка! Я говорю, что сохранение симметричных ключей добавили…
Что нового в безопасности iOS 14
Новая версия iOS уже с нами и выходит все больше статей про новые функции безопасноcти и анализ нововведений, таких как App Clips.
Одна из первых новостей - статья от Elcomsoft про обновления в части Forensic для новой iOS.
Несколько полезных статей про изменения и новый функционал:
- Анализ новой функциональности App Clips
- Анализ цепочек сообщений в iMessages
- Большая обзорная статья про нововведения в механизмы безопасности
Из интересного:
- Немного изменился формат локального бекапа (для того, чтобы его создать нужна последняя версия iTunes). Так что утилиты для разбора и анализа бекапов могут какое-то время не работать до их обновления под измененный формат. Данные, которые туда попадают, остаются такими же.
- Такая участь постигла и облачные бэкапы
- Минорные изменения в структуре файловой системы
- Появилась возможность разрешать приложениям доступ только к приблизительному местоположению
- В правой верхней части экрана устройства будет отображаться индикатор использования камеры и микрофона
Глобально, по большому счету, мало что изменилось)
#iOS #Update #Security
Новая версия iOS уже с нами и выходит все больше статей про новые функции безопасноcти и анализ нововведений, таких как App Clips.
Одна из первых новостей - статья от Elcomsoft про обновления в части Forensic для новой iOS.
Несколько полезных статей про изменения и новый функционал:
- Анализ новой функциональности App Clips
- Анализ цепочек сообщений в iMessages
- Большая обзорная статья про нововведения в механизмы безопасности
Из интересного:
- Немного изменился формат локального бекапа (для того, чтобы его создать нужна последняя версия iTunes). Так что утилиты для разбора и анализа бекапов могут какое-то время не работать до их обновления под измененный формат. Данные, которые туда попадают, остаются такими же.
- Такая участь постигла и облачные бэкапы
- Минорные изменения в структуре файловой системы
- Появилась возможность разрешать приложениям доступ только к приблизительному местоположению
- В правой верхней части экрана устройства будет отображаться индикатор использования камеры и микрофона
Глобально, по большому счету, мало что изменилось)
#iOS #Update #Security
ElcomSoft blog
iOS 14 Forensics: What Has Changed Since iOS 13.7?
iOS 14 is officially out. It’s a big release from the privacy protection standpoint, but little had changed for the forensic expert. In this article, we’ll review what has changed in iOS 14 in the ways relevant for the forensic crowd.
iOS 14: supported devices…
iOS 14: supported devices…
Обновление курсов и книг по безопасности и анализу мобильных приложений
Очередное обновление библиотеки!
На этот раз были добавлены книги по Android / iOS и два больших курса (спасибо @wusero)!
Книги:
- Android глазами хакера
- Android Security Cookbook
- iOS Application Security
- The Mac Handbook
- Beginner Guide to Exploitation on ARM 1
- Beginner Guide to Exploitation on ARM 2
Курсы:
- Pentester Academy - Pentesting iOS Applications
- GeekBrains - Безопасность мобильных приложений
Приятного чтения и просмотра!
#Books #Security #Android #iOS #Cources
Очередное обновление библиотеки!
На этот раз были добавлены книги по Android / iOS и два больших курса (спасибо @wusero)!
Книги:
- Android глазами хакера
- Android Security Cookbook
- iOS Application Security
- The Mac Handbook
- Beginner Guide to Exploitation on ARM 1
- Beginner Guide to Exploitation on ARM 2
Курсы:
- Pentester Academy - Pentesting iOS Applications
- GeekBrains - Безопасность мобильных приложений
Приятного чтения и просмотра!
#Books #Security #Android #iOS #Cources
Telegram
Mobile AppSec World
Большое обновление курсов по анализу мобильных приложений
Всем привет!
На драйве из предыдущего поста произошло глобальное обновление курсов, лекций и практических материалов по анализу защищенности и пентесту мобильных приложений.
За весь этот замечательныый…
Всем привет!
На драйве из предыдущего поста произошло глобальное обновление курсов, лекций и практических материалов по анализу защищенности и пентесту мобильных приложений.
За весь этот замечательныый…
Развитие механизмов безопасности Android
Я наконец-то доделал статью по развитию безопасности в Android от версии к версии, что добавлялось, что улучшалось, а может и ухудшалось в каждой новой версии этой замечательной операционной системы.
Статья получилось достаточно интересного, на мой взгляд, формата. Изначально она планировалась, как техническая с большим количеством различных деталей, но в итоге, по мере написания, я понял, что стоит уделить внимание и более общим вещам.
В этой статье можно найти информацию и про технические вещи и про изменения для пользователей.
Для себя отметил несколько новых и интересных деталей, о которых не подозревал до написания 😁
Необычный формат, посмотрим, насколько это зайдет, но надеюсь, что понравится!
#Habr #Android #Security
Я наконец-то доделал статью по развитию безопасности в Android от версии к версии, что добавлялось, что улучшалось, а может и ухудшалось в каждой новой версии этой замечательной операционной системы.
Статья получилось достаточно интересного, на мой взгляд, формата. Изначально она планировалась, как техническая с большим количеством различных деталей, но в итоге, по мере написания, я понял, что стоит уделить внимание и более общим вещам.
В этой статье можно найти информацию и про технические вещи и про изменения для пользователей.
Для себя отметил несколько новых и интересных деталей, о которых не подозревал до написания 😁
Необычный формат, посмотрим, насколько это зайдет, но надеюсь, что понравится!
#Habr #Android #Security
Хабр
Развитие механизмов безопасности Android (от версии к версии)
Привет, Хабр!Я занимаюсь безопасностью мобильных приложений и с удовольствием слежу за развитием платформ Android и iOS, которые с каждым новым релизом становятс...
Канал про безопасность iOS
Больше каналов Богу каналов! А на самом деле, отлично, что появляются новые классные каналы про безопасность мобильных приложений, особенно тематические, по Android, iOS, Windows Phone (прости господи)!
А этот канал от @EZ3K1EL, человека, который выложил немало ссылок, которые попали к нам в канал и чат.
Так что прошу, канал по безопасности iOS: https://t.me/IOSAppSec
Подписываемся, ставим колокольчик и вот это все 😃
Я уже подписался, буду тоже следить 👀
#iOS #Security #tg
Больше каналов Богу каналов! А на самом деле, отлично, что появляются новые классные каналы про безопасность мобильных приложений, особенно тематические, по Android, iOS, Windows Phone (прости господи)!
А этот канал от @EZ3K1EL, человека, который выложил немало ссылок, которые попали к нам в канал и чат.
Так что прошу, канал по безопасности iOS: https://t.me/IOSAppSec
Подписываемся, ставим колокольчик и вот это все 😃
Я уже подписался, буду тоже следить 👀
#iOS #Security #tg
Telegram
IOS App Sec
IOS App Sec - все о безопасности IOS.Техники, мануалы, курсы и многое другое🍏
IOS App Sec - Everything about IOS security. Techniques, manuals, courses and more.🍏
😎 Root Admin - @EZ3K1EL 😎
Channel @IOSAppSec
Chat @IOSAppSec_Chat
IOS App Sec - Everything about IOS security. Techniques, manuals, courses and more.🍏
😎 Root Admin - @EZ3K1EL 😎
Channel @IOSAppSec
Chat @IOSAppSec_Chat
Библиотека для iOS-приложений для определение Jailbreak, дебагер и много чего еще
Весьма интересный проект "iOS Security Suite", написанный на Swift, который поможет вам определить
- Наличие Jailbreak
- Подключенный дебаггер
- Запуск в эмуляторе (наверное все-таки в симуляторе)
- Наличие различных инструментов для отладки приложений
Ну и выглядит достаточно интересно всякие вещи в стадии Experimental:
- Определение хуков в рантайме
- Определение целостности файла из Bundle
- Определение Breakpoint
Посмотрел на код библиотеки, все здорово и она действительно реализует все OWASP-требования и даже чуть больше. Но есть одна оговорка, название у всего этого хозяйства ну прям слишком вызывающее, например для определения Jailbreak -
А вообще очень неплохой проект для того, что бы сходу получить пачку детектов. Только не поступайте как я в свое время и не включайте детект и предупреждение/блокировку пользователей сразу, а соберите побольше статистики и посмотрите, какие проверки когда срабатывают. Я свое время неплохо так получил за то, что мы реализовали проверку, которая фалзила и отключили половину пользователей 😂
Пока писал пост, вспомнил, что давно-давно уже писал про этот фреймворк. Но он развивается, всякие фишки появляются новые, так что советую посмотреть (ну и статью по обходу тоже)
#ios #security #defence #library
Весьма интересный проект "iOS Security Suite", написанный на Swift, который поможет вам определить
- Наличие Jailbreak
- Подключенный дебаггер
- Запуск в эмуляторе (наверное все-таки в симуляторе)
- Наличие различных инструментов для отладки приложений
Ну и выглядит достаточно интересно всякие вещи в стадии Experimental:
- Определение хуков в рантайме
- Определение целостности файла из Bundle
- Определение Breakpoint
Посмотрел на код библиотеки, все здорово и она действительно реализует все OWASP-требования и даже чуть больше. Но есть одна оговорка, название у всего этого хозяйства ну прям слишком вызывающее, например для определения Jailbreak -
IOSSecuritySuite.amIJailbroken()
. Будет слишком просто найти. Так что я бы посоветовал взять исходники к себе и немного пошаманить, чтобы названия были не такие говорящие о том, что этот модуль делает. А вообще очень неплохой проект для того, что бы сходу получить пачку детектов. Только не поступайте как я в свое время и не включайте детект и предупреждение/блокировку пользователей сразу, а соберите побольше статистики и посмотрите, какие проверки когда срабатывают. Я свое время неплохо так получил за то, что мы реализовали проверку, которая фалзила и отключили половину пользователей 😂
Пока писал пост, вспомнил, что давно-давно уже писал про этот фреймворк. Но он развивается, всякие фишки появляются новые, так что советую посмотреть (ну и статью по обходу тоже)
#ios #security #defence #library
GitHub
GitHub - securing/IOSSecuritySuite: iOS platform security & anti-tampering Swift library
iOS platform security & anti-tampering Swift library - securing/IOSSecuritySuite
Любите ли вы играть и геймдев?)
Помните, некоторое время назад я проводил опрос по играм?
Мы готовили материал и он наконец-то вышел!
На мой взгляд, получилась шикарная статья. Когда ее читал, вспомнил, как играли с друзьями когда-то, как карты для Heroes 3 рисовали, по локалке играли на турнирах в CS 1.6
Вот же было время!
В общем, получилась классная смесь из воспоминаний и фактов о безопасности этих самых игр.
Спасибо всем, кто писал этот материал :)
И приятного чтения :)
#gamedev #security
Помните, некоторое время назад я проводил опрос по играм?
Мы готовили материал и он наконец-то вышел!
На мой взгляд, получилась шикарная статья. Когда ее читал, вспомнил, как играли с друзьями когда-то, как карты для Heroes 3 рисовали, по локалке играли на турнирах в CS 1.6
Вот же было время!
В общем, получилась классная смесь из воспоминаний и фактов о безопасности этих самых игр.
Спасибо всем, кто писал этот материал :)
И приятного чтения :)
#gamedev #security
Компьютерра
Во что играют специалисты по кибербезопасности: топ-5 видеоигр и разбор багов в них | Компьютерра
Компания «Стингрей Технолоджиз» провела опрос среди участников ИБ-комьюнити о любимых играх. В статье рассмотрим, какие стали самые популярными, а также узнаем, какие в них есть уязвимости.