Читаем книги в действительно удобном приложении
Здорово, когда умение анализировать приложения помогает тебе в повседневной жизни и делает твою жизнь чуть удобнее.
Так и в случае с автором статьи про анализ приложений для чтения книг.
Основной посыл простой - автор любит читать и часто покупает электронные книги в разных приложениях, но не все позволяют скачивать и читать в стандартном приложении iBooks в iOS. Вот, он реальный способ сделать свою жизнь немного удобнее и заодно поисследовать приложения.
И есть ещё продолжение истории на эту же тематику, но уже с разбором Amazon Kindle.
Автор хорошо раскладывает базовые понятия, как устроены приложения, где они хранят файлы, на что обращать внимание для достижения своей цели.
#iOS #Research #Vulnerabilities
Здорово, когда умение анализировать приложения помогает тебе в повседневной жизни и делает твою жизнь чуть удобнее.
Так и в случае с автором статьи про анализ приложений для чтения книг.
Основной посыл простой - автор любит читать и часто покупает электронные книги в разных приложениях, но не все позволяют скачивать и читать в стандартном приложении iBooks в iOS. Вот, он реальный способ сделать свою жизнь немного удобнее и заодно поисследовать приложения.
И есть ещё продолжение истории на эту же тематику, но уже с разбором Amazon Kindle.
Автор хорошо раскладывает базовые понятия, как устроены приложения, где они хранят файлы, на что обращать внимание для достижения своей цели.
#iOS #Research #Vulnerabilities
ncity.dickytwister.pub
Alpina.Books: iOS App Forensics for eBooks Smuggling
Заметание следов с использованием Accessibility Services
Обычно я не пишу про новости об очередных троянах и вирусах, обнаруженных в GooglePlay и снова захвативших тысячи устройств. Это скучно, не интересно и я бы лучше сделал обзор, как эти штуки работают и что используют. Как правило, это просто различные модификации нескольких видов троянцев, которые несущественно видоизменены, чтобы их нельзя было обнаружить сигнатурным анализом. Бывают, конечно, уникальные малвари, но их единицы.
Но вот эта статья про то, как некоторые зловреды используют Accessibility Services для сокрытия следов, что затрудняет их обнаружение, мне очень понравилась.
Автор рассказывает, что это за сервис такой, как его использовать и приводит несколько реальных кейсов, как при помощи него уводили деньги с крипто кошельков, в том числе с двухфакторной авторизацией. И описывает, с какими сложностями можно столкнуться при расследовании таких хищений.
Статья большая, но интересная 😁
#android #forensic #research #malware
Обычно я не пишу про новости об очередных троянах и вирусах, обнаруженных в GooglePlay и снова захвативших тысячи устройств. Это скучно, не интересно и я бы лучше сделал обзор, как эти штуки работают и что используют. Как правило, это просто различные модификации нескольких видов троянцев, которые несущественно видоизменены, чтобы их нельзя было обнаружить сигнатурным анализом. Бывают, конечно, уникальные малвари, но их единицы.
Но вот эта статья про то, как некоторые зловреды используют Accessibility Services для сокрытия следов, что затрудняет их обнаружение, мне очень понравилась.
Автор рассказывает, что это за сервис такой, как его использовать и приводит несколько реальных кейсов, как при помощи него уводили деньги с крипто кошельков, в том числе с двухфакторной авторизацией. И описывает, с какими сложностями можно столкнуться при расследовании таких хищений.
Статья большая, но интересная 😁
#android #forensic #research #malware
SpringerLink
Reducing the Forensic Footprint with Android Accessibility Attacks
Android accessibility features include a robust set of tools allowing developers to create apps for assisting people with disabilities. Unfortunately, this useful set of tools can also be abused and turned into an attack vector, providing malware with the…
Crypto CTF
Этот CTF не про мобильные приложения, а более общий, про криптографию и ошибки реализации.
Если вы что-то шифруете в приложении или сталкиваетесь с необходимостью расшифровки, очень советую порешать его!
Спасибо автору за создание и за отсылки к похожим задачам!
Криптографию нужно знать хотя бы на базовом уровне, чтобы более осознанно её использовать и не допускать тех ошибок, что есть в этом ctf 😉
#ctf #crypto
Этот CTF не про мобильные приложения, а более общий, про криптографию и ошибки реализации.
Если вы что-то шифруете в приложении или сталкиваетесь с необходимостью расшифровки, очень советую порешать его!
Спасибо автору за создание и за отсылки к похожим задачам!
Криптографию нужно знать хотя бы на базовом уровне, чтобы более осознанно её использовать и не допускать тех ошибок, что есть в этом ctf 😉
#ctf #crypto
GitHub
GitHub - DamnVulnerableCryptoApp/DamnVulnerableCryptoApp: An app with really insecure crypto. To be used to see/test/exploit weak…
An app with really insecure crypto. To be used to see/test/exploit weak cryptographic implementations as well as to learn a little bit more about crypto, without the need to dive deep into the math...
Более-менее универсальный способ SSL Unpinning в iOS
Интересная утилита Meduza на основе Frida для SSL Unpinning приложений на платформе iOS.
Её подход немного отличается от стандартных способов. Сначала необходимо запустить утилиту в режиме мониторинга и потыкать в приложении. Запущенный скрипт соберет все домены и их сертификаты, к которым обращалось приложение за время работы. После того, как закончите работу с приложением, медуза сформирует скрипт, который будет спуфить сертификаты и производить Unpinning.
Такой подход будет работать только для приложений, использующих стандартную имплементацию SSL в системе.
Как досконально это работает, я пока не успел изучить, но в ближайшем времени планирую посмотреть. Скорее всего, мы делаем классический MiTM, перехватываем трафик, но в приложение возвращается тот же самый отпечаток сертификата, что и был изначально.
Но больше всего мне нравится честный и правдивый комментарий автора:
MEDUZA doesn't work, what to do?
Try to fix it yourself or create an issue. However, I take a look at this GitHub account from time to time ( ==once a year) and support MEDUZA in my spare time ( ==never), so I can't guarantee any support. Welcome to the opensource world ;(
Удивительно честный мир опенсурса 😁
#iOS #sslunpinning #Tools
Интересная утилита Meduza на основе Frida для SSL Unpinning приложений на платформе iOS.
Её подход немного отличается от стандартных способов. Сначала необходимо запустить утилиту в режиме мониторинга и потыкать в приложении. Запущенный скрипт соберет все домены и их сертификаты, к которым обращалось приложение за время работы. После того, как закончите работу с приложением, медуза сформирует скрипт, который будет спуфить сертификаты и производить Unpinning.
Такой подход будет работать только для приложений, использующих стандартную имплементацию SSL в системе.
Как досконально это работает, я пока не успел изучить, но в ближайшем времени планирую посмотреть. Скорее всего, мы делаем классический MiTM, перехватываем трафик, но в приложение возвращается тот же самый отпечаток сертификата, что и был изначально.
Но больше всего мне нравится честный и правдивый комментарий автора:
MEDUZA doesn't work, what to do?
Try to fix it yourself or create an issue. However, I take a look at this GitHub account from time to time ( ==once a year) and support MEDUZA in my spare time ( ==never), so I can't guarantee any support. Welcome to the opensource world ;(
Удивительно честный мир опенсурса 😁
#iOS #sslunpinning #Tools
Динамический анализ приложений при помощи клонирования
В августе я писал про интересный способ анализа приложений через функциональность клонирования.
Несколько дней назад вышло продолжение статьи, описывающее,что ещё можно сделать при таком подходе.
А сделать можно многое. Например, получить любые файлы из песочницы приложения, сделать возможным перехват трафика (MiTM) или подгрузить свою библиотеку в процесс. При чём всё это на нерутованных устройствах и не пересобирая приложение! А значит подпись приложения останется той же, все доступы в KeyStore и пермишены с защитой по подписи тоже будут работать! 😍
Большой интерес у меня вызвал метод с применением библиотеки Stetho, когда при помощи Chrome можно управлять приложением, смотреть и изменять его файлы и много других интересных вещей. И при этом настолько просто:
1. Подключаем телефон по USB к компу
2. Открываем Chrome на компьютере и переходим на https://inspect/#devices
3. На странице отображается краткая информация об устройстве
4. Запускаем клон приложения
5. Хекаем мышкой в браузере 😁
Очень круто, что на каждый из представленных способов анализа автор приводит или PoC или сразу решение, как это можно провернуть.
А также готовое приложение по клонированию, которое из коробки умеет:
- внедрение Security Provider для получения ключей
- получение данных приложения через Chrome или Conware
- включение дебага в релизной сборке приложения
- замена Network Security Configuration для MiTM
- подключение Frida-gadget
И всё это без рута 💃💃💃
При этом, чтобы попробовать защититься от подобных издевательств над собственными приложениями, автор написал небольшую библиотеку, которая может помочь определить, что в настоящий момент процесс работает из виртуального контейнера, в котором запускаются склонированные приложения.
Надо однозначно тестировать!
#Android #clone #virtualApp
В августе я писал про интересный способ анализа приложений через функциональность клонирования.
Несколько дней назад вышло продолжение статьи, описывающее,что ещё можно сделать при таком подходе.
А сделать можно многое. Например, получить любые файлы из песочницы приложения, сделать возможным перехват трафика (MiTM) или подгрузить свою библиотеку в процесс. При чём всё это на нерутованных устройствах и не пересобирая приложение! А значит подпись приложения останется той же, все доступы в KeyStore и пермишены с защитой по подписи тоже будут работать! 😍
Большой интерес у меня вызвал метод с применением библиотеки Stetho, когда при помощи Chrome можно управлять приложением, смотреть и изменять его файлы и много других интересных вещей. И при этом настолько просто:
1. Подключаем телефон по USB к компу
2. Открываем Chrome на компьютере и переходим на https://inspect/#devices
3. На странице отображается краткая информация об устройстве
4. Запускаем клон приложения
5. Хекаем мышкой в браузере 😁
Очень круто, что на каждый из представленных способов анализа автор приводит или PoC или сразу решение, как это можно провернуть.
А также готовое приложение по клонированию, которое из коробки умеет:
- внедрение Security Provider для получения ключей
- получение данных приложения через Chrome или Conware
- включение дебага в релизной сборке приложения
- замена Network Security Configuration для MiTM
- подключение Frida-gadget
И всё это без рута 💃💃💃
При этом, чтобы попробовать защититься от подобных издевательств над собственными приложениями, автор написал небольшую библиотеку, которая может помочь определить, что в настоящий момент процесс работает из виртуального контейнера, в котором запускаются склонированные приложения.
Надо однозначно тестировать!
#Android #clone #virtualApp
Workshop по анализу мобильных приложений
От @B3nac подоспел воркшоп по анализу Android приложений с конференции "Hacker's One Community Day".
Ещё не успел посмотреть, но думаю будет интересно послушать об анализе Android от человека, который недавно перешёл в Android Security Team! Тем более предыдущий материал был очень полезным.
Слайды с презентации
#Android #Workshop #Education
От @B3nac подоспел воркшоп по анализу Android приложений с конференции "Hacker's One Community Day".
Ещё не успел посмотреть, но думаю будет интересно послушать об анализе Android от человека, который недавно перешёл в Android Security Team! Тем более предыдущий материал был очень полезным.
Слайды с презентации
#Android #Workshop #Education
YouTube
Mobile Hacking Workshop - Community Day
This is the mobile hacking workshop I created for HackerOne's Community Day. Each ctf exercise is for learning purposes only and I don't condone any unethical buffoonery.
Workshop Slides:
https://docs.google.com/presentation/d/1gK2vYdvwFn8r8dSawIWRRI…
Workshop Slides:
https://docs.google.com/presentation/d/1gK2vYdvwFn8r8dSawIWRRI…
Анализ Android приложений с помощью Frida
В последнее время нахожу всё больше различных видео туториалов по анализу мобилок. И это здорово, когда контент есть и в видео формате и в статьях, каждый найдет для себя наиболее удобный способ воспринимать информацию.
Вот небольшое получасовое видео про первые шаги в анализе Android приложений с использованием Frida. Внимательно не смотрел пока, но по быстрому взгляду решаются некоторые конкретные примеры и задачи (что не может не радовать) 😁
#Android #Frida #Video
В последнее время нахожу всё больше различных видео туториалов по анализу мобилок. И это здорово, когда контент есть и в видео формате и в статьях, каждый найдет для себя наиболее удобный способ воспринимать информацию.
Вот небольшое получасовое видео про первые шаги в анализе Android приложений с использованием Frida. Внимательно не смотрел пока, но по быстрому взгляду решаются некоторые конкретные примеры и задачи (что не может не радовать) 😁
#Android #Frida #Video
YouTube
Hacking Android Apps with Frida
Recording from Meta's security conference 2020 - Enjoy
Как взламывают Android приложения
Продолжая тему видео уроков и семинаров, отличный workshop по анализу Android приложений от @OxFi5t. Суперский материал, по процессу анализа, frida, drozer и ряду других инструментов.
Видео с конференции можно посмотреть здесь.
Помимо видео, этот замечательный человек выложил и структурировал материалы, на которых основан тренинг. Тут полноценный Android CTF с серверной частью, который ломать не переломать! Наш ответ @B3nac 😁
А самое главное - это отличный контент на русском языке! То, чего немного не хватает в нашем сообществе)
#Android #Webinar #Workshop #Education
Продолжая тему видео уроков и семинаров, отличный workshop по анализу Android приложений от @OxFi5t. Суперский материал, по процессу анализа, frida, drozer и ряду других инструментов.
Видео с конференции можно посмотреть здесь.
Помимо видео, этот замечательный человек выложил и структурировал материалы, на которых основан тренинг. Тут полноценный Android CTF с серверной частью, который ломать не переломать! Наш ответ @B3nac 😁
А самое главное - это отличный контент на русском языке! То, чего немного не хватает в нашем сообществе)
#Android #Webinar #Workshop #Education
YouTube
Артем Кулаков | Как взламывают android-приложения и что после этого бывает (Workshop)
Расскажу о современных подходах к анализу защищенности android-приложений и покажу актуальные инструменты на примере клиент-серверного приложения. Кроме этого, поговорим о расширении поверхности атаки с мобильного приложения на сервер и разберем, как перейти…
Как раз есть шанс исправить недостаток контента, так как автор этого workshop планирует в ближайшее время провести митап по безопасности мобильных приложений.
Если вы хотите о чем-то рассказать или что-то спросить, обязательно приходите! Формат рассказа может быть произвольной, от воркшопа до условного свободного рассуждения, главное, чтобы это было интересно и полезно слушателям.
Для того, чтобы выступить, напиши мне или @OxFi5t в личку. Или есть ещё формочка Гугл, её тоже можно заполнить :)
https://forms.gle/nNVZBemesFsFmwvSA
Если вы хотите о чем-то рассказать или что-то спросить, обязательно приходите! Формат рассказа может быть произвольной, от воркшопа до условного свободного рассуждения, главное, чтобы это было интересно и полезно слушателям.
Для того, чтобы выступить, напиши мне или @OxFi5t в личку. Или есть ещё формочка Гугл, её тоже можно заполнить :)
https://forms.gle/nNVZBemesFsFmwvSA
Подмена адреса в мобильных браузерах
Достаточно занятные уязвимости, связанные с неверным отображением адреса в адресной строке.
Суть атаки простая - злоумышленник передает вам ссылку, вы открываете её в браузере и видите в адресной строке вполне легитимный URL сайта, например Facebook или Авито 😏
Неплохое подспорье для фишинга, особенно, если учитывать, что все рекомендации по безопасности учат нас смотреть на адрес и на зелёный замочек 🔐
Вспомнил ещё классную атаку на браузеры от @i_bo0om, когда он рисовал замочек прям в адресной строке, используя юникод , получалось очень реалистично!
#Spoofing #Browsers
Достаточно занятные уязвимости, связанные с неверным отображением адреса в адресной строке.
Суть атаки простая - злоумышленник передает вам ссылку, вы открываете её в браузере и видите в адресной строке вполне легитимный URL сайта, например Facebook или Авито 😏
Неплохое подспорье для фишинга, особенно, если учитывать, что все рекомендации по безопасности учат нас смотреть на адрес и на зелёный замочек 🔐
Вспомнил ещё классную атаку на браузеры от @i_bo0om, когда он рисовал замочек прям в адресной строке, используя юникод , получалось очень реалистично!
#Spoofing #Browsers
Miscellaneous Ramblings of a Cyber Security Researcher
Multiple Address Bar Spoofing Vulnerabilities In Mobile Browsers
Explore expert insights on pentesting/bug bounty hunting on this blog, your go-to resource for cutting-edge web security research.
Поиск Arbitary Code Execution в Android приложениях
В продолжении рубрики советы для мобильного BugBounty от одного из лучших багхантеров @bagipro:
1) Пишем hook для xposed или frida для определения вызова методов File.exists() и фильтруем по расширению .so
2) Ищем в декомпилированных исходниках использование методов ZipFile и всех его методов (например entries(), getEntry() и т.д.)
3) Если в найденных методах нет проверки на наличие специальных символов, например zipFile.getName().contains("../"), это означает, что возможно перезаписать произвольные файлы в процессе разархивации файла.
4) Найдите способ подменить файл, который распаковывается (достаточно часто эти файлы хранятся на SD-карте или путь к таким файлам передается через незащищенные компоненты приложения)
5) Скомпилируйте нативную библиотеку, которая выполняет произвольный код (например, записывает идентификатор пользователя в файл или выполняет команду chmod 777), создайте zip-файл, содержащий Path Traversal в имени и заставьте приложение его обработать.
Офигенный подход, простой и изящный. Я иногда не понимаю, как он это делает 😄 Еще раз спасибо, что делишься опытом!
Кстати, кто-то уже написал готовый скрипт для Frida, так что можно его прям брать и проверять "свои" приложения!
А есть ли у вас похожие наработки и уязвимости, на которые вы проверяете приложения?
#BugBounty #bagipro #Vulnerability #ACE
В продолжении рубрики советы для мобильного BugBounty от одного из лучших багхантеров @bagipro:
1) Пишем hook для xposed или frida для определения вызова методов File.exists() и фильтруем по расширению .so
2) Ищем в декомпилированных исходниках использование методов ZipFile и всех его методов (например entries(), getEntry() и т.д.)
3) Если в найденных методах нет проверки на наличие специальных символов, например zipFile.getName().contains("../"), это означает, что возможно перезаписать произвольные файлы в процессе разархивации файла.
4) Найдите способ подменить файл, который распаковывается (достаточно часто эти файлы хранятся на SD-карте или путь к таким файлам передается через незащищенные компоненты приложения)
5) Скомпилируйте нативную библиотеку, которая выполняет произвольный код (например, записывает идентификатор пользователя в файл или выполняет команду chmod 777), создайте zip-файл, содержащий Path Traversal в имени и заставьте приложение его обработать.
Офигенный подход, простой и изящный. Я иногда не понимаю, как он это делает 😄 Еще раз спасибо, что делишься опытом!
Кстати, кто-то уже написал готовый скрипт для Frida, так что можно его прям брать и проверять "свои" приложения!
А есть ли у вас похожие наработки и уязвимости, на которые вы проверяете приложения?
#BugBounty #bagipro #Vulnerability #ACE
Telegram
Mobile AppSec World
Советы для мобильного BugBounty
Советы для мобильного BugBounty от потрясающего ресерчера @bagipro:
1. Декомпилировать приложение с помощью jadx.
2. Найти все обработчики deeplink из AndroidManifest.xml, они выглядят как <data android:scheme="airbnb" a…
Советы для мобильного BugBounty от потрясающего ресерчера @bagipro:
1. Декомпилировать приложение с помощью jadx.
2. Найти все обработчики deeplink из AndroidManifest.xml, они выглядят как <data android:scheme="airbnb" a…
И немного пятничного креатива) Замечательный человек @cdirector нарисовал классную заставку про канал =)
Что вы хотели узнать об интентах, но боялись спросить
Подробная статья про атаки на неявные интенты в Android от компании Oversecured.
Статья подробно расписывает, почему такие интенты бывают опасны и как атаковать приложения, их использующие.
Какие бывают нюансы и как определить уязвимое приложение.
Очень круто, что автор и описывает уязвимые сценарии и тут же приводит PoC код для эксплуатации.
#Android #Intents #Research
Подробная статья про атаки на неявные интенты в Android от компании Oversecured.
Статья подробно расписывает, почему такие интенты бывают опасны и как атаковать приложения, их использующие.
Какие бывают нюансы и как определить уязвимое приложение.
Очень круто, что автор и описывает уязвимые сценарии и тут же приводит PoC код для эксплуатации.
#Android #Intents #Research
News, Techniques & Guides
Interception of Android implicit intents
Explicit intents have a set receiver (the name of an app package and the class name of a handler component) and can be delivered only to a predetermined component (activity, receiver, service). With implicit intents, only certain
Forwarded from Android Guards
Всем привет!
29.10.2020 буду записываться в подкасте @android_broadcast, где планируем поговорить о безопасности Android приложений (о чем же еще…). В рамках выпуска попробуем составить “руководство по безопасности” для android-разработчиков. Упор сделаем на “бесплатную реализацию”, т.е. своими силами. Но также затронем вопросы постороннего вмешательства в построение безопасной разработки =)
Примерный список тем для обсуждения выглядит так:
- Основные ошибки, которые допускают разработчики
- SAST
- Как убедиться в безопасности своего приложения
- Практики безопасной разработки
- Как защитить приложение если первый этаж опять затопило деньгами и надо куда-то их деть
https://www.youtube.com/watch?v=x_COvmEIyko
29.10.2020 буду записываться в подкасте @android_broadcast, где планируем поговорить о безопасности Android приложений (о чем же еще…). В рамках выпуска попробуем составить “руководство по безопасности” для android-разработчиков. Упор сделаем на “бесплатную реализацию”, т.е. своими силами. Но также затронем вопросы постороннего вмешательства в построение безопасной разработки =)
Примерный список тем для обсуждения выглядит так:
- Основные ошибки, которые допускают разработчики
- SAST
- Как убедиться в безопасности своего приложения
- Практики безопасной разработки
- Как защитить приложение если первый этаж опять затопило деньгами и надо куда-то их деть
https://www.youtube.com/watch?v=x_COvmEIyko
YouTube
Безопасность Android приложений, Артем Кулаков из Redmadrobot
#AndroidBroadcast #Безопасность #Android
Продолжаем защищать наши приложения от злоумышленников. Готовим марафон вопросов, чтобы составить четкий гайд как обеспечить защиту наших продуктов.
Гость выпуска - Артем Кулаков, Android TeamLead в Redmadrobot.…
Продолжаем защищать наши приложения от злоумышленников. Готовим марафон вопросов, чтобы составить четкий гайд как обеспечить защиту наших продуктов.
Гость выпуска - Артем Кулаков, Android TeamLead в Redmadrobot.…
Если что, это тот самый человек, который записал отличный воркшоп по анализу приложений и теперь расскажет, как эти самые приложения защищать.
Я обязательно схожу послушать, уверен, будет очень интересно!
#Android #Video #Education
Я обязательно схожу послушать, уверен, будет очень интересно!
#Android #Video #Education
Telegram
Mobile AppSec World
Как взламывают Android приложения
Продолжая тему видео уроков и семинаров, отличный workshop по анализу Android приложений от @OxFi5t. Суперский материал, по процессу анализа, frida, drozer и ряду других инструментов.
Видео с конференции можно посмотреть…
Продолжая тему видео уроков и семинаров, отличный workshop по анализу Android приложений от @OxFi5t. Суперский материал, по процессу анализа, frida, drozer и ряду других инструментов.
Видео с конференции можно посмотреть…
Установка приложений без ведома пользователей на Samsung S20
Прочитал тут занятную статью про возможность установки приложений без ведома пользователей на телефонах Samsung, использующую уязвимую версию приложения Galaxy Store.
Интересно, что уязвимость опять заключалась в механизме WebView, который некорректно валидировал передаваемый ему URL приложения и давал возможность указания протокола http 🤦♂️ Ссылку можно было передать через чтение NFC тэга. Соответственно, осуществив MiTM атаку и дописав небольшой JS код в ответ сервера можно было заставить установить любое приложение из Samsung Store.
Что меня сильно смущает в таких уязвимостях, это процесс успешной атаки:
- Злоумышленник загружает вредоносное приложение в Galaxy Store
- Злоумышленник должен быть в одной Wi-Fi сети с жертвой.
- Телефон должен просканировать подготовленную метку NFC.
- Злоумышленник должен перехватить HTTP-трафик и внедрить вредоносный JavaScript в ответ сервера.
- Телефон пользователя должен быть Samsung'ом с уязвимой версией приложения
Интересно, какие звезды должны сойтись, чтобы все пункты из этого перечня совпали? Ну разве только на конференции какой-то налепить меток с текстом "Срочно скачай меня и выиграй айпад" 😂
Ну и фикс от Samsung был божественный - они запретили URL с http))
#Android #Samsung #Vulnerability
Прочитал тут занятную статью про возможность установки приложений без ведома пользователей на телефонах Samsung, использующую уязвимую версию приложения Galaxy Store.
Интересно, что уязвимость опять заключалась в механизме WebView, который некорректно валидировал передаваемый ему URL приложения и давал возможность указания протокола http 🤦♂️ Ссылку можно было передать через чтение NFC тэга. Соответственно, осуществив MiTM атаку и дописав небольшой JS код в ответ сервера можно было заставить установить любое приложение из Samsung Store.
Что меня сильно смущает в таких уязвимостях, это процесс успешной атаки:
- Злоумышленник загружает вредоносное приложение в Galaxy Store
- Злоумышленник должен быть в одной Wi-Fi сети с жертвой.
- Телефон должен просканировать подготовленную метку NFC.
- Злоумышленник должен перехватить HTTP-трафик и внедрить вредоносный JavaScript в ответ сервера.
- Телефон пользователя должен быть Samsung'ом с уязвимой версией приложения
Интересно, какие звезды должны сойтись, чтобы все пункты из этого перечня совпали? Ну разве только на конференции какой-то налепить меток с текстом "Срочно скачай меня и выиграй айпад" 😂
Ну и фикс от Samsung был божественный - они запретили URL с http))
#Android #Samsung #Vulnerability
Сколько «живет» iOS до Jailbreak
Не так давно появился Jailbreak для iOS 14, причем практически на следующий день после выхода beta-версии. Тогда мне стало интересно, а какая статистика по времени "взлома" каждой из версий iOS?
Благо, на помощь пришла статья из Википедии 😄 Ну и на этой почве решили сделать небольшую инфографику, спасибо коллегам за идею и оформление :)
Ну и на Хабр постанули в качестве эксперимента)
Не так давно появился Jailbreak для iOS 14, причем практически на следующий день после выхода beta-версии. Тогда мне стало интересно, а какая статистика по времени "взлома" каждой из версий iOS?
Благо, на помощь пришла статья из Википедии 😄 Ну и на этой почве решили сделать небольшую инфографику, спасибо коллегам за идею и оформление :)
Ну и на Хабр постанули в качестве эксперимента)
CVE-2020-0267: длинная история одной уязвимости
Я наконец-то этого дождался, уязвимость (пока единственную критическую в Android 11), получившую идентификатор CVE-2020-0267, которую мы с коллегой @jd7drw нашли в операционной системе Android, наконец-то пофиксили.
На мой взгляд, это очень интересная бага, о которой мы писали в том числе в Хакер и рассказывали на PHDays. Суть в том, что используя вполне легитимные механизмы, предоставляемые Android, без root-доступа, без специальных разрешений, абсолютно прозрачно для пользователя, можно было подменить любое приложение.
Механизм идеальный, создаем приложение, которое может нести какую-то полезную нагрузку, например, показывать курс криптовалюты или сделать тиндер для котиков. 😻
Но помимо основного приложения в бэкграунде создается
После этих нехитрых манипуляций при нажатии на иконку приложения, имя которого мы указали в
А если подменить приложение настроек, то можно попробовать защититься и от удаления 👹
Эту уязвимость мы зарепортили еще в 2017 году, и какого было моё удивление, когда ее "переоткрыли" спустя два года, назвали звучным именем StrandHogg и дико распиарили. Суть абсолютно такая же, но CVE они не получили (вроде бы).
Чуть позже выложу код PoC, чтобы можно было потестить самим 😉
Это наша первая CVE и упоминание на странице благодарностей Android и я думаю, что эта пятница явно удалась!
#Android #CVE #TaskHijacking #Research
Я наконец-то этого дождался, уязвимость (пока единственную критическую в Android 11), получившую идентификатор CVE-2020-0267, которую мы с коллегой @jd7drw нашли в операционной системе Android, наконец-то пофиксили.
На мой взгляд, это очень интересная бага, о которой мы писали в том числе в Хакер и рассказывали на PHDays. Суть в том, что используя вполне легитимные механизмы, предоставляемые Android, без root-доступа, без специальных разрешений, абсолютно прозрачно для пользователя, можно было подменить любое приложение.
Механизм идеальный, создаем приложение, которое может нести какую-то полезную нагрузку, например, показывать курс криптовалюты или сделать тиндер для котиков. 😻
Но помимо основного приложения в бэкграунде создается
Activity
с указанным параметром taskAffinity. В этом параметре необходимо указать имя пакета приложения, которое мы хотим подменить. Собственно всё, наш зловред готов.После этих нехитрых манипуляций при нажатии на иконку приложения, имя которого мы указали в
taskAffinity
, вместо запуска нормального приложения будет выведена на передний план Activity
злоумышленника. Эта Activity
может полностью копировать интерфейс подменяемого приложения и отправлять вводимые учетные данные на сторонний сервер. При этом, если есть двух-факторная аутентификация, никто не мешает по аналогичной схеме отправить смс-код на сервер. После кражи учетных данных можно свернуть свою активность и запустить/показать пользователю реальное приложение, которое он хотел запустить.А если подменить приложение настроек, то можно попробовать защититься и от удаления 👹
Эту уязвимость мы зарепортили еще в 2017 году, и какого было моё удивление, когда ее "переоткрыли" спустя два года, назвали звучным именем StrandHogg и дико распиарили. Суть абсолютно такая же, но CVE они не получили (вроде бы).
Чуть позже выложу код PoC, чтобы можно было потестить самим 😉
Это наша первая CVE и упоминание на странице благодарностей Android и я думаю, что эта пятница явно удалась!
#Android #CVE #TaskHijacking #Research
Занимательный CTF от TrendMicro
Вышел обзор занимательного CTF от компании TrendMicro.
Он примечателен тем, что для его решения не потребуется root-прав, Frida или подмены чего-либо в runtime. Всё что понадобится - jadx и adb 😁
CTF основан на понимании механизма интентов и различных компонентов Android. И некоторые из задач в том числе на сообразительность)
Попробовать стоит, ну или прочитать прохождение, хотябы ради этой фразы, да простят меня джава разработчики:
"It creates ContextFactoryFactory (yeah, Java developers love factories)"
😁😁
#Android #CTF #Writeup
Вышел обзор занимательного CTF от компании TrendMicro.
Он примечателен тем, что для его решения не потребуется root-прав, Frida или подмены чего-либо в runtime. Всё что понадобится - jadx и adb 😁
CTF основан на понимании механизма интентов и различных компонентов Android. И некоторые из задач в том числе на сообразительность)
Попробовать стоит, ну или прочитать прохождение, хотябы ради этой фразы, да простят меня джава разработчики:
"It creates ContextFactoryFactory (yeah, Java developers love factories)"
😁😁
#Android #CTF #Writeup
Medium
Trend Micro CTF 2020 — Keybox writeup
Given Android app is called Keybox. it is a container for the flag and all the hints to it. The flag is encrypted
Сканер уязвимостей в Android приложениях GJoy Dex Analysizer
Нашёл достаточно необычный сканер, который включает в себя собственный декомпилятор, умение выявлять вредоносное поведение, утечку чувствительных данных, выявление уязвимостей и ещё очень-очень много всего, судя по описанию.
Написан на С++, не использует Java и не требует установки. Имеет собственный язык описания правил и развивается с 2015 года.
Приложение только под винду 😭
К сожалению, руки пока не дошли его посмотреть, выглядит интересно, но насколько хорошо работает, пока непонятно 😁
#Android #Tools
Нашёл достаточно необычный сканер, который включает в себя собственный декомпилятор, умение выявлять вредоносное поведение, утечку чувствительных данных, выявление уязвимостей и ещё очень-очень много всего, судя по описанию.
Написан на С++, не использует Java и не требует установки. Имеет собственный язык описания правил и развивается с 2015 года.
Приложение только под винду 😭
К сожалению, руки пока не дошли его посмотреть, выглядит интересно, но насколько хорошо работает, пока непонятно 😁
#Android #Tools
GitHub
GitHub - charles2gan/GDA-android-reversing-Tool: the fastest and most powerful android decompiler(native tool working without Java…
the fastest and most powerful android decompiler(native tool working without Java VM) for the APK, DEX, ODEX, OAT, JAR, AAR, and CLASS file. which supports malicious behavior detection, privacy lea...
Улучшения экрана блокировки и аутентификации в Android 11
Вышла ещё в сентябре интересная статья, которая в подробностях описывает механизмы разблокировки экрана и ограничения, связанные со способом разблокировки.
То есть, если вы разблокировали экран наименее безопасным, с точки зрения Android способом, например через Bluetooth девайс, вам будет доступно намного меньше возможностей, чем когда вы разблокируете телефон вводом пароля.
Достаточно логичная предосторожность :)
#Android #Google #Auth
Вышла ещё в сентябре интересная статья, которая в подробностях описывает механизмы разблокировки экрана и ограничения, связанные со способом разблокировки.
То есть, если вы разблокировали экран наименее безопасным, с точки зрения Android способом, например через Bluetooth девайс, вам будет доступно намного меньше возможностей, чем когда вы разблокируете телефон вводом пароля.
Достаточно логичная предосторожность :)
#Android #Google #Auth
Googleblog
Lockscreen and Authentication Improvements in Android 11
Posted by Haining Chen, Vishwath Mohan, Kevin Chyn and Liz Louis, Android Security Team [Cross-posted from the Android Developers Blog ] ...