Эксплуатация Deeplink и экспортируемых компонентов в Android
Тут подоспело отличное видео про эксплуатацию deeplink и экспортируемых компонентов в Android приложениях от @B3nac. У него очень качественный контент, интересно смотреть и читать. И это видео не стало исключением.
Основное внимание уделяется тому, как использовать экспортированные компоненты Android и Deeplink с примерами и векторами атак.
Большое спасибо, что к этому видео есть отдельно слайды и все используемые материалы!
Ну и также @B3nac автор интересного CTF, про который я упоминал раньше.
#Android #Video #Deeplink #Exported
Тут подоспело отличное видео про эксплуатацию deeplink и экспортируемых компонентов в Android приложениях от @B3nac. У него очень качественный контент, интересно смотреть и читать. И это видео не стало исключением.
Основное внимание уделяется тому, как использовать экспортированные компоненты Android и Deeplink с примерами и векторами атак.
Большое спасибо, что к этому видео есть отдельно слайды и все используемые материалы!
Ну и также @B3nac автор интересного CTF, про который я упоминал раньше.
#Android #Video #Deeplink #Exported
YouTube
Exploiting Android deep links and exported components - Ekoparty Mobile Hacking Space Talk
This talk will gives a brief introduction about essential tools, the Android ecosystem, and methodology. The main focus is on how to exploit exported Android components and deep links with examples provided to demonstrate exploit concepts and attack vectors.…
Forwarded from Android Guards
Многие из вас уже знают, что Google недавно представил две новые концепции хранения данных в Android в рамках библиотеки DataStore. Библиотека представляет из себя два хранилища: Preferences DataStore и Proto DataStore. Первое это привычные и понятные всем SharedPreferences, но немного поумневшие и типобезопасные. А вот второе уже гораздо интереснее. как следует из названия это хранилище работает со схемами ProtoBuf и обещает нам много интересного. Единственное, чего оно не обещает из коробки это шифрования данных. Это довольно странно в 2020-м году и при условии, что у Google уже есть все нужные компоненты для реализации. Ну нет так нет. Я написал эту интеграцию сам и хочу поделиться ей с вами. Там никакого космоса, просто Tink встроенный в proto-сериализатор данных. Код можно слить с GitHub-а и поиграться с ним.
https://github.com/Fi5t/secured-datastore
#4developers #cryptography
https://github.com/Fi5t/secured-datastore
#4developers #cryptography
GitHub
GitHub - Fi5t/secured-datastore: Example of encryption Jetpack Proto DataStore with Tink
Example of encryption Jetpack Proto DataStore with Tink - Fi5t/secured-datastore
Советы для мобильного BugBounty
Советы для мобильного BugBounty от потрясающего ресерчера @bagipro:
1. Декомпилировать приложение с помощью jadx.
2. Найти все обработчики deeplink из AndroidManifest.xml, они выглядят как
5. Теперь попробуйте использовать свои собственные домены через adb (
6. Можно повторить тоже самое для iOS приложений. Обычно функциональность аналогична, но сама реализация может отличаться.
Отчет на H1, который эксплуатирует эту багу.
Спасибо огромное @bagipro, что он делится своим опытом, это очень полезно!
#BugBounty #H1 #Android #iOS
Советы для мобильного BugBounty от потрясающего ресерчера @bagipro:
1. Декомпилировать приложение с помощью jadx.
2. Найти все обработчики deeplink из AndroidManifest.xml, они выглядят как
<data android:scheme="airbnb" android:host="d"/>
3. Grep'нуть шаблон из обработчика, в данном случае airbnb://d
4. Можно найти множество захардкоженных URL-адресов, например airbnb://d/openurl?url=https:// http://airbnb.com/blabla. Это намного проще, чем изучать исходники5. Теперь попробуйте использовать свои собственные домены через adb (
adb shell am start -a android.intent.action.VIEW airbnb://d/openurl?url=http:// http://evil.com) или вставить ссылку в HTML-страницу (см. отчет H1 ниже)6. Можно повторить тоже самое для iOS приложений. Обычно функциональность аналогична, но сама реализация может отличаться.
Отчет на H1, который эксплуатирует эту багу.
Спасибо огромное @bagipro, что он делится своим опытом, это очень полезно!
#BugBounty #H1 #Android #iOS
Twitter
Sergey Toshin
#bugbounty You must love #Android deeplinks! They are the easiest way to get bounties 1. Decompile an app with jadx 2. Collect all deeplink handlers from AndroidManifest.xml, they look like <data android:scheme="airbnb" android:host="d"/>
But most of all, Samy is my hero!
Новость не про мобильные приложения, но пропустить такое нельзя!
Сегодня 15 лет с момента, наверное, первого (ну или по крайней мере такого масштабного) XSS-червя в социальной сети MySpace.
4 октября 2005 года Samy Kamkar разместил на своей странице пост, содержащий JS-код. Этот код выполнял несколько простых функций:
- копировал себя на страницу к тому, кто зашёл к Samy в профиль (а дальше по цепочке и всем остальным, кто этот пост видел)
- отправлял заявку в друзья
- ставил в статус "but most of all, samy is my hero"
Ничего страшного, но всего за 20 часов этот червь "заразил" более миллиона пользователей! Для того, чтобы убрать последствия и остановить распространение пришлось на несколько часов полностью отключить MySpace 😁
По итогу - Samy получил запрет на доступ в интернет, разрешение пользоваться только одним компьютером и три года условного срока.
Но эта история навсегда вошла в мир информационной безопасности.
Хорошая статья на русском на эту тему есть в журнале Хакер:
https://xakep.ru/2015/10/06/samy-worm/
#SamyIsMyHero
Новость не про мобильные приложения, но пропустить такое нельзя!
Сегодня 15 лет с момента, наверное, первого (ну или по крайней мере такого масштабного) XSS-червя в социальной сети MySpace.
4 октября 2005 года Samy Kamkar разместил на своей странице пост, содержащий JS-код. Этот код выполнял несколько простых функций:
- копировал себя на страницу к тому, кто зашёл к Samy в профиль (а дальше по цепочке и всем остальным, кто этот пост видел)
- отправлял заявку в друзья
- ставил в статус "but most of all, samy is my hero"
Ничего страшного, но всего за 20 часов этот червь "заразил" более миллиона пользователей! Для того, чтобы убрать последствия и остановить распространение пришлось на несколько часов полностью отключить MySpace 😁
По итогу - Samy получил запрет на доступ в интернет, разрешение пользоваться только одним компьютером и три года условного срока.
Но эта история навсегда вошла в мир информационной безопасности.
Хорошая статья на русском на эту тему есть в журнале Хакер:
https://xakep.ru/2015/10/06/samy-worm/
#SamyIsMyHero
XAKEP
Червь MySpace, который изменил интернет навсегда
Сэми не хотел становиться всеобщим героем. Он даже не хотел завести новых друзей. Но благодаря паре строк кода, менее чем за день, он стал героем и другом более чем для миллиона человек, в самой популярной в те времена социальной сети MySpace. Все началось…
Как отследить устройство используя камеру и спрашивая разрешения
На самом деле, достаточно старая бага и доклад, но от этого не менее изящная. Видео с конференции RSA, слайды с blackhat.
Вся соль заключается в том, что можно было вызвать экспортируемую Activity у приложения камеры, сделать фото или видео, поставить геометку и всё это без каких либо пермишенов со стороны приложения! Ни доступа к камере, ни к галерее, в общем ничего подозрительного.
При этом, чтобы дополнительно скрыть своё присутствие и не вызвать подозрения пользователя, что у него камера всегда включается сама, ребята сделали определение, что телефон заблокирован и только тогда записывали видео.
Чтобы убрать звуки камеры нашли способ обойти ограничение системы и программно, опять таки без permission, убирать звук телефона в ноль.
А благодаря геометкам на фото можно получить отличный девайс трекер 😁
Советую посмотреть выступление, хотябы часть с livedemo, выглядит очень здорово.
Пойду и на телефоне камеру заклею, что-ли...
#Android #Spyware #Vulnerability
На самом деле, достаточно старая бага и доклад, но от этого не менее изящная. Видео с конференции RSA, слайды с blackhat.
Вся соль заключается в том, что можно было вызвать экспортируемую Activity у приложения камеры, сделать фото или видео, поставить геометку и всё это без каких либо пермишенов со стороны приложения! Ни доступа к камере, ни к галерее, в общем ничего подозрительного.
При этом, чтобы дополнительно скрыть своё присутствие и не вызвать подозрения пользователя, что у него камера всегда включается сама, ребята сделали определение, что телефон заблокирован и только тогда записывали видео.
Чтобы убрать звуки камеры нашли способ обойти ограничение системы и программно, опять таки без permission, убирать звук телефона в ноль.
А благодаря геометкам на фото можно получить отличный девайс трекер 😁
Советую посмотреть выступление, хотябы часть с livedemo, выглядит очень здорово.
Пойду и на телефоне камеру заклею, что-ли...
#Android #Spyware #Vulnerability
YouTube
Hey Google, Activate Spyware! When Google Assistant Uses a Vulnerability as a Feature
Erez Yalon, Director of Security Research, Checkmarx
This talk will highlight serious security findings in Android smartphones, enabling attackers to remotely control, take, and retrieve photos, videos, and geolocation from victims’ phones without the victim…
This talk will highlight serious security findings in Android smartphones, enabling attackers to remotely control, take, and retrieve photos, videos, and geolocation from victims’ phones without the victim…
Выполнение произвольного кода в приложении Facebook
Прекрасная бага, позволяющая выполнить произвольный код в контексте приложения Facebook.
Принцип эксплуатации построен на классическом Path Traversal, который стал возможен благодаря использованию самописной функции для загрузки файлов без какой либо фильтрации. То есть, если имя файла "../file", то он будет записан на директорию выше от предполагаемого места сохранения. Ну а дальше можно перезаписать любой нативный файл в песочнице и получить ACE.
Интересно, что в другом месте используется безопасная реализация через DownloadManager. Наверное, функционал писали разные команды 😁
Так что правила санитизации любого контента пришедшего из-вне в мобильных приложениях актуальны как никогда!
Перефразируя известное высказывание пишите код так, как будто кругом враги,не доверяйте никому и проверяйте все данные, что приходят к вам в приложение 😁
#Android #Facebook #ACE
Прекрасная бага, позволяющая выполнить произвольный код в контексте приложения Facebook.
Принцип эксплуатации построен на классическом Path Traversal, который стал возможен благодаря использованию самописной функции для загрузки файлов без какой либо фильтрации. То есть, если имя файла "../file", то он будет записан на директорию выше от предполагаемого места сохранения. Ну а дальше можно перезаписать любой нативный файл в песочнице и получить ACE.
Интересно, что в другом месте используется безопасная реализация через DownloadManager. Наверное, функционал писали разные команды 😁
Так что правила санитизации любого контента пришедшего из-вне в мобильных приложениях актуальны как никогда!
Перефразируя известное высказывание пишите код так, как будто кругом враги,не доверяйте никому и проверяйте все данные, что приходят к вам в приложение 😁
#Android #Facebook #ACE
Medium
Arbitrary code execution on Facebook for Android through download feature
TL;DR
Ищем закладки в приложениях
Постепенно просматриваю доклады из категории Mobile с Blackhat Asia 2020 и выкладываю то, что приглянулось.
Одним из таких докладов стал рассказ про поиск закладок в приложениях под Windows и iOS.
Слайды презентации тут.
Тема действительно достаточно важная, так как кто знает, что там внутри приложений, которыми мы пользуемся каждый день? 🤔
Доклад, на мой взгляд,мог бы быть более интересным, если бы рассказали про методики поиска или способ какой-то автоматизации.
А сейчас это рассказ про несколько разобранных приложений. Но всё равно, полистать, посмотреть интересно 🤓
Мне это напомнило, как один мой друг, пользуясь приложением для учёта финансов от скуки его поковырял и обнаружил, что из Android приложения идёт прямой коннект в базу данных (кому нужно этот API серверный писать). Конечно, все адреса, пароли и явки были зашиты в исходниках. Таким образом, он случайно оказался владельцем финансовых данных пользователей ну и конечно, поставил правильное значение в базе, чтоб больше за это приложение не платить (да, оно было удобным и платным).
Так что бекдоры-бекдорами, но куда большую опасность несут в себе захардкоженные пароли и корявая архитектура...
#iOS #Backdoor #Blackhat
Постепенно просматриваю доклады из категории Mobile с Blackhat Asia 2020 и выкладываю то, что приглянулось.
Одним из таких докладов стал рассказ про поиск закладок в приложениях под Windows и iOS.
Слайды презентации тут.
Тема действительно достаточно важная, так как кто знает, что там внутри приложений, которыми мы пользуемся каждый день? 🤔
Доклад, на мой взгляд,мог бы быть более интересным, если бы рассказали про методики поиска или способ какой-то автоматизации.
А сейчас это рассказ про несколько разобранных приложений. Но всё равно, полистать, посмотреть интересно 🤓
Мне это напомнило, как один мой друг, пользуясь приложением для учёта финансов от скуки его поковырял и обнаружил, что из Android приложения идёт прямой коннект в базу данных (кому нужно этот API серверный писать). Конечно, все адреса, пароли и явки были зашиты в исходниках. Таким образом, он случайно оказался владельцем финансовых данных пользователей ну и конечно, поставил правильное значение в базе, чтоб больше за это приложение не платить (да, оно было удобным и платным).
Так что бекдоры-бекдорами, но куда большую опасность несут в себе захардкоженные пароли и корявая архитектура...
#iOS #Backdoor #Blackhat
Взлом Apple за три месяца
Отличнейшая статья про то как группа исследователей в течение трёх месяцев работала над поиском уязвимостей в сервисах и инфраструктуре Apple. В общем итоге, они выявили 55 уязвимостей (11 из них критического, 29 высокого, 13 среднего и 2 низкого уровней критичности). Выявленные уязвимости позволяли скомпрометировать приложения как клиентов, так и сотрудников, запустить XSS-червя, способного угнать учетную запись iCloud жертвы, получить исходный код из внутренних репозиториев.
В статье статье подробно расписаны некоторые наиболее критичные и уязвимости. И что самое главное, её очень легко читать и она может подтолкнуть на поиск новых векторов атак 😁
Тем более, они заработали на этом около 50 тысяч $ 🤑
Хоть и немного не про мобильные приложения, но очень рекомендую к прочтению!
#iOS #Apple #Vulnerabilities
Отличнейшая статья про то как группа исследователей в течение трёх месяцев работала над поиском уязвимостей в сервисах и инфраструктуре Apple. В общем итоге, они выявили 55 уязвимостей (11 из них критического, 29 высокого, 13 среднего и 2 низкого уровней критичности). Выявленные уязвимости позволяли скомпрометировать приложения как клиентов, так и сотрудников, запустить XSS-червя, способного угнать учетную запись iCloud жертвы, получить исходный код из внутренних репозиториев.
В статье статье подробно расписаны некоторые наиболее критичные и уязвимости. И что самое главное, её очень легко читать и она может подтолкнуть на поиск новых векторов атак 😁
Тем более, они заработали на этом около 50 тысяч $ 🤑
Хоть и немного не про мобильные приложения, но очень рекомендую к прочтению!
#iOS #Apple #Vulnerabilities
*Митап по безопасности мобильных приложений*
Всем привет! Если вы давно хотели что-то рассказать про своё исследование, поделиться опытом анализа или защиты приложений, добро пожаловать на митап!
Можно написать мне в личку или заполнить по ссылке ниже :)
Ну а всех, кто заинтересован, но не хочет делится своими секретами, добро пожаловать на митап в качестве слушателей и не стесняйтесь задавать вопросы :)
Всем привет! Если вы давно хотели что-то рассказать про своё исследование, поделиться опытом анализа или защиты приложений, добро пожаловать на митап!
Можно написать мне в личку или заполнить по ссылке ниже :)
Ну а всех, кто заинтересован, но не хочет делится своими секретами, добро пожаловать на митап в качестве слушателей и не стесняйтесь задавать вопросы :)
Forwarded from Android Guards
Вот и настал тот день, чтобы сказать "И вот этот день настал!". Пока нас потихоньку накрывает второй волной сами знаете чего (🦠) и мы опять переходим на удаленную работу, есть идея провести это время с пользой. Хочу провести online митап по безопасности android-приложений, операционной системы и смежным темам. Конечно же без вашего участия ничего не получиться, поэтому с сегодняшнего дня открываю CFP. Если у вас есть интересный релевантный опыт, то буду рад включить вас в программу митапа.
Если вы новичок в вопросах выступлений на коференциях, то я и программный коммитет поможем вам определитья с темой и направлением доклада, а также подготовиться к самому докладу.
Для тех, кто не любит Google формы - пишите мне в личку. Ваша нелюбовь к Google еще не повод не выступать на митапе 😉
https://forms.gle/nNVZBemesFsFmwvSA
Если вы новичок в вопросах выступлений на коференциях, то я и программный коммитет поможем вам определитья с темой и направлением доклада, а также подготовиться к самому докладу.
Для тех, кто не любит Google формы - пишите мне в личку. Ваша нелюбовь к Google еще не повод не выступать на митапе 😉
https://forms.gle/nNVZBemesFsFmwvSA
Подборка интересный багов в Android приложениях
Очень интересная подборка дисклозов с HackerOne и статей, описывающих уязвимости в мобильных приложениях.
Полезная информация, с одной стороны, посмотреть, что искать в приложениях и как их ломать. А с другой стороны, проверить собственные приложения, что таких ошибок в них нет.
Спасибо людям, что делятся своим опытом в статьях или просят открыть репорты, чтобы мы могли на них посмотреть и чему-то научиться 😄
Ну и отдельно приятно, что большинство репортов с h1 от нашего соотечественника @bagipro 👍
#Android #Vulnerabilities #h1
Очень интересная подборка дисклозов с HackerOne и статей, описывающих уязвимости в мобильных приложениях.
Полезная информация, с одной стороны, посмотреть, что искать в приложениях и как их ломать. А с другой стороны, проверить собственные приложения, что таких ошибок в них нет.
Спасибо людям, что делятся своим опытом в статьях или просят открыть репорты, чтобы мы могли на них посмотреть и чему-то научиться 😄
Ну и отдельно приятно, что большинство репортов с h1 от нашего соотечественника @bagipro 👍
#Android #Vulnerabilities #h1
threader.app
Threader - Good threads every day
Get a selection of good threads from Twitter every day
Подслушиваем за пользователями JioChat
Интересная особенность в реализации протокола SDP позволяла получить аудио поток с телефона жертвы до того, как он примет вызов.
Интересно, можно ли после этого было отменить вызов и продолжать слушать, но этого в описании не сказано или я не нашёл 😁
А у приложения более 50 миллионов загрузок! И вообще странно, что серверная часть позволяла клиентам манипулировать параметрами протокола и изменять логику работы. Так что, как бы банально не звучало, но все проверки на клиентской стороне должны быть продублированы на сервере (книга MSTG, категория ARCH, требование 2, MSTG-ARCH-2)😁
#Android #Vulnerabilities #SDP
Интересная особенность в реализации протокола SDP позволяла получить аудио поток с телефона жертвы до того, как он примет вызов.
Интересно, можно ли после этого было отменить вызов и продолжать слушать, но этого в описании не сказано или я не нашёл 😁
А у приложения более 50 миллионов загрузок! И вообще странно, что серверная часть позволяла клиентам манипулировать параметрами протокола и изменять логику работы. Так что, как бы банально не звучало, но все проверки на клиентской стороне должны быть продублированы на сервере (книга MSTG, категория ARCH, требование 2, MSTG-ARCH-2)😁
#Android #Vulnerabilities #SDP
Читаем книги в действительно удобном приложении
Здорово, когда умение анализировать приложения помогает тебе в повседневной жизни и делает твою жизнь чуть удобнее.
Так и в случае с автором статьи про анализ приложений для чтения книг.
Основной посыл простой - автор любит читать и часто покупает электронные книги в разных приложениях, но не все позволяют скачивать и читать в стандартном приложении iBooks в iOS. Вот, он реальный способ сделать свою жизнь немного удобнее и заодно поисследовать приложения.
И есть ещё продолжение истории на эту же тематику, но уже с разбором Amazon Kindle.
Автор хорошо раскладывает базовые понятия, как устроены приложения, где они хранят файлы, на что обращать внимание для достижения своей цели.
#iOS #Research #Vulnerabilities
Здорово, когда умение анализировать приложения помогает тебе в повседневной жизни и делает твою жизнь чуть удобнее.
Так и в случае с автором статьи про анализ приложений для чтения книг.
Основной посыл простой - автор любит читать и часто покупает электронные книги в разных приложениях, но не все позволяют скачивать и читать в стандартном приложении iBooks в iOS. Вот, он реальный способ сделать свою жизнь немного удобнее и заодно поисследовать приложения.
И есть ещё продолжение истории на эту же тематику, но уже с разбором Amazon Kindle.
Автор хорошо раскладывает базовые понятия, как устроены приложения, где они хранят файлы, на что обращать внимание для достижения своей цели.
#iOS #Research #Vulnerabilities
ncity.dickytwister.pub
Alpina.Books: iOS App Forensics for eBooks Smuggling
Заметание следов с использованием Accessibility Services
Обычно я не пишу про новости об очередных троянах и вирусах, обнаруженных в GooglePlay и снова захвативших тысячи устройств. Это скучно, не интересно и я бы лучше сделал обзор, как эти штуки работают и что используют. Как правило, это просто различные модификации нескольких видов троянцев, которые несущественно видоизменены, чтобы их нельзя было обнаружить сигнатурным анализом. Бывают, конечно, уникальные малвари, но их единицы.
Но вот эта статья про то, как некоторые зловреды используют Accessibility Services для сокрытия следов, что затрудняет их обнаружение, мне очень понравилась.
Автор рассказывает, что это за сервис такой, как его использовать и приводит несколько реальных кейсов, как при помощи него уводили деньги с крипто кошельков, в том числе с двухфакторной авторизацией. И описывает, с какими сложностями можно столкнуться при расследовании таких хищений.
Статья большая, но интересная 😁
#android #forensic #research #malware
Обычно я не пишу про новости об очередных троянах и вирусах, обнаруженных в GooglePlay и снова захвативших тысячи устройств. Это скучно, не интересно и я бы лучше сделал обзор, как эти штуки работают и что используют. Как правило, это просто различные модификации нескольких видов троянцев, которые несущественно видоизменены, чтобы их нельзя было обнаружить сигнатурным анализом. Бывают, конечно, уникальные малвари, но их единицы.
Но вот эта статья про то, как некоторые зловреды используют Accessibility Services для сокрытия следов, что затрудняет их обнаружение, мне очень понравилась.
Автор рассказывает, что это за сервис такой, как его использовать и приводит несколько реальных кейсов, как при помощи него уводили деньги с крипто кошельков, в том числе с двухфакторной авторизацией. И описывает, с какими сложностями можно столкнуться при расследовании таких хищений.
Статья большая, но интересная 😁
#android #forensic #research #malware
SpringerLink
Reducing the Forensic Footprint with Android Accessibility Attacks
Android accessibility features include a robust set of tools allowing developers to create apps for assisting people with disabilities. Unfortunately, this useful set of tools can also be abused and turned into an attack vector, providing malware with the…
Crypto CTF
Этот CTF не про мобильные приложения, а более общий, про криптографию и ошибки реализации.
Если вы что-то шифруете в приложении или сталкиваетесь с необходимостью расшифровки, очень советую порешать его!
Спасибо автору за создание и за отсылки к похожим задачам!
Криптографию нужно знать хотя бы на базовом уровне, чтобы более осознанно её использовать и не допускать тех ошибок, что есть в этом ctf 😉
#ctf #crypto
Этот CTF не про мобильные приложения, а более общий, про криптографию и ошибки реализации.
Если вы что-то шифруете в приложении или сталкиваетесь с необходимостью расшифровки, очень советую порешать его!
Спасибо автору за создание и за отсылки к похожим задачам!
Криптографию нужно знать хотя бы на базовом уровне, чтобы более осознанно её использовать и не допускать тех ошибок, что есть в этом ctf 😉
#ctf #crypto
GitHub
GitHub - DamnVulnerableCryptoApp/DamnVulnerableCryptoApp: An app with really insecure crypto. To be used to see/test/exploit weak…
An app with really insecure crypto. To be used to see/test/exploit weak cryptographic implementations as well as to learn a little bit more about crypto, without the need to dive deep into the math...
Более-менее универсальный способ SSL Unpinning в iOS
Интересная утилита Meduza на основе Frida для SSL Unpinning приложений на платформе iOS.
Её подход немного отличается от стандартных способов. Сначала необходимо запустить утилиту в режиме мониторинга и потыкать в приложении. Запущенный скрипт соберет все домены и их сертификаты, к которым обращалось приложение за время работы. После того, как закончите работу с приложением, медуза сформирует скрипт, который будет спуфить сертификаты и производить Unpinning.
Такой подход будет работать только для приложений, использующих стандартную имплементацию SSL в системе.
Как досконально это работает, я пока не успел изучить, но в ближайшем времени планирую посмотреть. Скорее всего, мы делаем классический MiTM, перехватываем трафик, но в приложение возвращается тот же самый отпечаток сертификата, что и был изначально.
Но больше всего мне нравится честный и правдивый комментарий автора:
MEDUZA doesn't work, what to do?
Try to fix it yourself or create an issue. However, I take a look at this GitHub account from time to time ( ==once a year) and support MEDUZA in my spare time ( ==never), so I can't guarantee any support. Welcome to the opensource world ;(
Удивительно честный мир опенсурса 😁
#iOS #sslunpinning #Tools
Интересная утилита Meduza на основе Frida для SSL Unpinning приложений на платформе iOS.
Её подход немного отличается от стандартных способов. Сначала необходимо запустить утилиту в режиме мониторинга и потыкать в приложении. Запущенный скрипт соберет все домены и их сертификаты, к которым обращалось приложение за время работы. После того, как закончите работу с приложением, медуза сформирует скрипт, который будет спуфить сертификаты и производить Unpinning.
Такой подход будет работать только для приложений, использующих стандартную имплементацию SSL в системе.
Как досконально это работает, я пока не успел изучить, но в ближайшем времени планирую посмотреть. Скорее всего, мы делаем классический MiTM, перехватываем трафик, но в приложение возвращается тот же самый отпечаток сертификата, что и был изначально.
Но больше всего мне нравится честный и правдивый комментарий автора:
MEDUZA doesn't work, what to do?
Try to fix it yourself or create an issue. However, I take a look at this GitHub account from time to time ( ==once a year) and support MEDUZA in my spare time ( ==never), so I can't guarantee any support. Welcome to the opensource world ;(
Удивительно честный мир опенсурса 😁
#iOS #sslunpinning #Tools
Динамический анализ приложений при помощи клонирования
В августе я писал про интересный способ анализа приложений через функциональность клонирования.
Несколько дней назад вышло продолжение статьи, описывающее,что ещё можно сделать при таком подходе.
А сделать можно многое. Например, получить любые файлы из песочницы приложения, сделать возможным перехват трафика (MiTM) или подгрузить свою библиотеку в процесс. При чём всё это на нерутованных устройствах и не пересобирая приложение! А значит подпись приложения останется той же, все доступы в KeyStore и пермишены с защитой по подписи тоже будут работать! 😍
Большой интерес у меня вызвал метод с применением библиотеки Stetho, когда при помощи Chrome можно управлять приложением, смотреть и изменять его файлы и много других интересных вещей. И при этом настолько просто:
1. Подключаем телефон по USB к компу
2. Открываем Chrome на компьютере и переходим на https://inspect/#devices
3. На странице отображается краткая информация об устройстве
4. Запускаем клон приложения
5. Хекаем мышкой в браузере 😁
Очень круто, что на каждый из представленных способов анализа автор приводит или PoC или сразу решение, как это можно провернуть.
А также готовое приложение по клонированию, которое из коробки умеет:
- внедрение Security Provider для получения ключей
- получение данных приложения через Chrome или Conware
- включение дебага в релизной сборке приложения
- замена Network Security Configuration для MiTM
- подключение Frida-gadget
И всё это без рута 💃💃💃
При этом, чтобы попробовать защититься от подобных издевательств над собственными приложениями, автор написал небольшую библиотеку, которая может помочь определить, что в настоящий момент процесс работает из виртуального контейнера, в котором запускаются склонированные приложения.
Надо однозначно тестировать!
#Android #clone #virtualApp
В августе я писал про интересный способ анализа приложений через функциональность клонирования.
Несколько дней назад вышло продолжение статьи, описывающее,что ещё можно сделать при таком подходе.
А сделать можно многое. Например, получить любые файлы из песочницы приложения, сделать возможным перехват трафика (MiTM) или подгрузить свою библиотеку в процесс. При чём всё это на нерутованных устройствах и не пересобирая приложение! А значит подпись приложения останется той же, все доступы в KeyStore и пермишены с защитой по подписи тоже будут работать! 😍
Большой интерес у меня вызвал метод с применением библиотеки Stetho, когда при помощи Chrome можно управлять приложением, смотреть и изменять его файлы и много других интересных вещей. И при этом настолько просто:
1. Подключаем телефон по USB к компу
2. Открываем Chrome на компьютере и переходим на https://inspect/#devices
3. На странице отображается краткая информация об устройстве
4. Запускаем клон приложения
5. Хекаем мышкой в браузере 😁
Очень круто, что на каждый из представленных способов анализа автор приводит или PoC или сразу решение, как это можно провернуть.
А также готовое приложение по клонированию, которое из коробки умеет:
- внедрение Security Provider для получения ключей
- получение данных приложения через Chrome или Conware
- включение дебага в релизной сборке приложения
- замена Network Security Configuration для MiTM
- подключение Frida-gadget
И всё это без рута 💃💃💃
При этом, чтобы попробовать защититься от подобных издевательств над собственными приложениями, автор написал небольшую библиотеку, которая может помочь определить, что в настоящий момент процесс работает из виртуального контейнера, в котором запускаются склонированные приложения.
Надо однозначно тестировать!
#Android #clone #virtualApp
Workshop по анализу мобильных приложений
От @B3nac подоспел воркшоп по анализу Android приложений с конференции "Hacker's One Community Day".
Ещё не успел посмотреть, но думаю будет интересно послушать об анализе Android от человека, который недавно перешёл в Android Security Team! Тем более предыдущий материал был очень полезным.
Слайды с презентации
#Android #Workshop #Education
От @B3nac подоспел воркшоп по анализу Android приложений с конференции "Hacker's One Community Day".
Ещё не успел посмотреть, но думаю будет интересно послушать об анализе Android от человека, который недавно перешёл в Android Security Team! Тем более предыдущий материал был очень полезным.
Слайды с презентации
#Android #Workshop #Education
YouTube
Mobile Hacking Workshop - Community Day
This is the mobile hacking workshop I created for HackerOne's Community Day. Each ctf exercise is for learning purposes only and I don't condone any unethical buffoonery.
Workshop Slides:
https://docs.google.com/presentation/d/1gK2vYdvwFn8r8dSawIWRRI…
Workshop Slides:
https://docs.google.com/presentation/d/1gK2vYdvwFn8r8dSawIWRRI…
Анализ Android приложений с помощью Frida
В последнее время нахожу всё больше различных видео туториалов по анализу мобилок. И это здорово, когда контент есть и в видео формате и в статьях, каждый найдет для себя наиболее удобный способ воспринимать информацию.
Вот небольшое получасовое видео про первые шаги в анализе Android приложений с использованием Frida. Внимательно не смотрел пока, но по быстрому взгляду решаются некоторые конкретные примеры и задачи (что не может не радовать) 😁
#Android #Frida #Video
В последнее время нахожу всё больше различных видео туториалов по анализу мобилок. И это здорово, когда контент есть и в видео формате и в статьях, каждый найдет для себя наиболее удобный способ воспринимать информацию.
Вот небольшое получасовое видео про первые шаги в анализе Android приложений с использованием Frida. Внимательно не смотрел пока, но по быстрому взгляду решаются некоторые конкретные примеры и задачи (что не может не радовать) 😁
#Android #Frida #Video
YouTube
Hacking Android Apps with Frida
Recording from Meta's security conference 2020 - Enjoy
Как взламывают Android приложения
Продолжая тему видео уроков и семинаров, отличный workshop по анализу Android приложений от @OxFi5t. Суперский материал, по процессу анализа, frida, drozer и ряду других инструментов.
Видео с конференции можно посмотреть здесь.
Помимо видео, этот замечательный человек выложил и структурировал материалы, на которых основан тренинг. Тут полноценный Android CTF с серверной частью, который ломать не переломать! Наш ответ @B3nac 😁
А самое главное - это отличный контент на русском языке! То, чего немного не хватает в нашем сообществе)
#Android #Webinar #Workshop #Education
Продолжая тему видео уроков и семинаров, отличный workshop по анализу Android приложений от @OxFi5t. Суперский материал, по процессу анализа, frida, drozer и ряду других инструментов.
Видео с конференции можно посмотреть здесь.
Помимо видео, этот замечательный человек выложил и структурировал материалы, на которых основан тренинг. Тут полноценный Android CTF с серверной частью, который ломать не переломать! Наш ответ @B3nac 😁
А самое главное - это отличный контент на русском языке! То, чего немного не хватает в нашем сообществе)
#Android #Webinar #Workshop #Education
YouTube
Артем Кулаков | Как взламывают android-приложения и что после этого бывает (Workshop)
Расскажу о современных подходах к анализу защищенности android-приложений и покажу актуальные инструменты на примере клиент-серверного приложения. Кроме этого, поговорим о расширении поверхности атаки с мобильного приложения на сервер и разберем, как перейти…
Как раз есть шанс исправить недостаток контента, так как автор этого workshop планирует в ближайшее время провести митап по безопасности мобильных приложений.
Если вы хотите о чем-то рассказать или что-то спросить, обязательно приходите! Формат рассказа может быть произвольной, от воркшопа до условного свободного рассуждения, главное, чтобы это было интересно и полезно слушателям.
Для того, чтобы выступить, напиши мне или @OxFi5t в личку. Или есть ещё формочка Гугл, её тоже можно заполнить :)
https://forms.gle/nNVZBemesFsFmwvSA
Если вы хотите о чем-то рассказать или что-то спросить, обязательно приходите! Формат рассказа может быть произвольной, от воркшопа до условного свободного рассуждения, главное, чтобы это было интересно и полезно слушателям.
Для того, чтобы выступить, напиши мне или @OxFi5t в личку. Или есть ещё формочка Гугл, её тоже можно заполнить :)
https://forms.gle/nNVZBemesFsFmwvSA