Еще один интересный и весьма полезный инструмент на базе фреймворка Frida.

Многие исследователи сталкиваются с трудностями во время анализа приложений, написанных на кросс-платформенных фреймворках, например "Xamarin", когда из одного и того же кода можно получить сразу приложение и для Android и для iOS! Очень удобно в разработке, но не очень удобно для анализа.

Специально для таких случаев создан фреймворк Fridax, который существенно упростит жизнь и сэкономит много времени :)

#tools #frida #Android #iOS

https://github.com/NorthwaveNL/fridax

Занимательная статья-гайд по сравнению надежности мессенджеров в части хранения сообщений, файлов и способы выковыривания данных из мессенджеров от шикарной компании "Elcomsoft".

Благодаря их блогу я в своё время узнал очень много полезной информации про анализ iOS приложений и, в целом, об устройстве этой операционной системы.

Статья актуальна как никогда! Признайтесь, вы же тоже отправляете кучу "черновиков и уж точно окончательно финальных версий рабочих документов" в Telegram или WhatsApp? :) Тогда эта статья точно вам понравится 😃

#iOS #Forensic #Messengers

https://blog.elcomsoft.com/2020/04/forensic-guide-to-imessage-whatsapp-telegram-signal-and-skype-data-acquisition/

Опубликовано описание 0day в iOS, основанное на проблемах в парсинге plist файлов (в iOS используются целых 4 разных парсера для этого!). Настолько простого и элегантного выхода из песочницы вы точно не видели (особенно на iOS).

К сожалению, уязвимость закрыли в последней бета-версии, но её ещё можно опробовать на предыдущих версиях ;)

Автор подробно расписывает, в чем заключалась проблема, как её эксплуатировать и какие шаги предприняла компания Apple для фикса (ещё пару парсеров, серьёзно?) 😄

#iOS #0day #Vulnerabilities #SandboxEscape

https://siguza.github.io/psychicpaper/

Достаточно часто, чтобы "спрятать" механизмы защиты приложения, разработчики используют нативный код, то есть библиотеки, написанные на C/C++

Как перехватывать и подменять результат нативных вызовов, подробно и простым языком, описано в блоге erev0s (кстати, остальные его статьи тоже заслуживают прочтения)

#Android #frida #native

https://erev0s.com/blog/how-hook-android-native-methods-frida-noob-friendly/

И дня не прошло, как появился вполне приличный PoC, который сливает базу SMS куда душе угодно :) Если мне не изменяет память, то у WhatsApp база сообщений на устройстве тоже не зашифрованная лежит..

Напомню, что фикс этой уязвимости доступен только в бета версии iOS, так что эта уязвимость всё ещё актуальна.

Конечно, нужно как-то поставить приложение с вредоносной функциональностью на телефон, а это та ещё задачка. Но, вряд-ли Apple проверяет приложения на такие вещи.

#iOS #0day #PoC #Vulnerabilities

https://wojciechregula.blog/post/stealing-your-sms-messages-with-ios-0day/

Вы никогда не задавались вопросом при покупке нового телефона, а что делают предустановленные приложения и почему их в большинстве случаев нельзя удалить?

Ребята из google сделали доклад в прошлом году на Blackhat, посвященный особенностям и сложностям reverse engineering предустановленных приложений и разобрали несколько интересных кейсов с предустановленной малварью и приложением с бэкдором для удаленного выполнения кода. Ну, и, конечно, много советов и практической информации от людей, которые эту систему разрабатывают 😁

Очень интересно и достаточно легко смотрится.

#Android #Revers #Blackhat #malware

https://youtu.be/U6qTcpCfuFc

Как мы знаем, для хранения важной информации в iOS присутствуют механизмы Keychain (сумка ключей). При записи в Keychain можно указать различные классы защиты информации, от которых будет зависеть, в какие моменты времени можно будет получить доступ к данным. Для защиты особенно важных данный есть классы , которые в конце имеют приписку "ThisDeviceOnly".

Очень часто я слышу противоречивые мнения, что означает и как влияет этот параметр на попадание в Backup (зашифрованый бекап содержит в себе и Keychain тоже). Попробуем разобраться, но для начала, ответьте, пожалуйста на простой вопрос 😀

#iOS #Keychain #Forensic

Попробуем разобраться с этим интересным флагом "ThisDeviceOnly".

При создании зашифрованного бэкапа в него попадают также и значения из Keychain. Эти значения зашифрованы на производной от пароля, который задаётся во время создания бэкапа. То есть, если подобрать пароль, можно получить всё содержимое не только файловой системы, но и Keychain (в котором любят хранить всякие пароли и ключи 😍).

Но что же, всё-таки, означает этот флаг? Значит ли он, что при создании бекапа данные в него не попадут? Он же так интересно называется - "Только для этого устройства" 🤔

На самом деле, это работает немного не так. Значения с этим флагом также попадают в бекап! Но есть одно существенное отличие - помимо производной от пароля, они также защищены уникальным ключём данного устройства (UID) и могут быть восстановлены из бекапа только на том же устройстве, откуда были скопированы. То есть, просто так их не вытащить, но шансы есть всегда :)

Именно поэтому мы рекомендуем дополнительно шифровать данные, которые вы храните на устройстве, даже если они находятся в Keychain.

Об этих и других особенностях защиты данных на устройстве буду периодически писать :)

#iOS #Keychain #Backup #Forensic

Все, кто занимается безопасностью мобильных приложений, знают о существовании отличного гайда по тестированию - OWASP Mobile Security Testing Guide (MSTG). А также об одном из немногих стандартов для мобил - Mobile Application Security Verification Standard (MASVS). Они даже переведены на русский 😱

Сейчас создатели этих документов хотят узнать, какие компании используют их в своей работе.

Давайте поддержим их и поможем! Если в своей работе вы как-то используете материалы из проекта OWASP Mobile, напишите им :)

#OWASP #MSTG #MASVS #Guides

https://github.com/OWASP/owasp-mstg/blob/master/Users.md

Практически все приложения на сегодняшний день используют системы аналитики для сбора метрик. Но задумывались ли вы, какие данные передаются вместе с этой аналитикой?

Исследователи выпустили прекрасный отчет, проанализировав порядка 500 тысяч приложений из Play Market! По итогам, больше 4000 приложений содержали утечки конфиденциальной информации, начиная от email и заканчивая реальными паролями пользователей! 😱

А какую информацию вы собираете о работе своего приложения? :)

#Android #Firebase #DataLeak #Vulnerabilities

https://www.comparitech.com/blog/information-security/firebase-misconfiguration-report/

Очень часто при анализе приложений под Android приходится их декомпилировать и дизасемблировать, чтобы получить исходный код или набор smali файлов. С java все более-менее понятно, но вот нативный код иногда вызывает проблемы.

Специально для тех, кто хочет научиться разбирать приложения или подтянуть свои знания, есть шикарное, на мой взгляд обучение в виде репозитория на Github с детальным описанием. И, более того, еще цикл воркшопов идет! 😱

Так что можно выбрать, в зависимости от того, какой тип информации вы лучше усваиваете 😄

#Android #Revers #Forensic

https://maddiestone.github.io/AndroidAppRE/index.html

https://www.youtube.com/playlist?list=PL3jdfxUyXxoyG6qEkaTMq0iWaaVps2SLa

Многие компании используют системы MDM (mobile device management) для контроля корпоративных телефонов. Но мало кто задумывается о безопасности самих этих систем.

Наглядный пример хорошо расписан в исследовании компании Check Point, когда вирус установили на 75% устройств компании, получив доступ к системе MDM. 😱

Детальный разбор этого трояна с описанием всей функциональности и модулей также в статье :)

#MDM #malware #Android #Vulnerabilities

https://research.checkpoint.com/2020/mobile-as-attack-vector-using-mdm/

Сегодня завершается Skolkovo Cyber Security Challenge и наша система Stingray для анализа безопасности мобильных приложений снова в финале, второй год подряд!

Очень волнуюсь, конечно, но уверен, что выступим достойно 😁

К сожалению, мероприятие закрытое, но все записи выступлений будут доступны 21 мая.

#Skolkovo #Challenge #Stingray #StartupVillage

https://stingray.appsec.global/

К сожалению, нам не удалось выиграть в этом году.. Но ничего, жизнь не стоит на месте, нужно двигаться дальше.

Как, например, это делают разработчики malware под Android 😁
Опубликован интересный разбор малвари, которая представляет собой модифицированную и улучшенную версию, которую обнаруживали ранее, аж в 2014-2015 годах.

Вообще, злоумышленники почему-то не любят использовать новые механизмы или новые уязвимости, а постоянно модифицируют и обновляют старые версии. Так и всплывают десятки модификаций, произрастающих из одного источника. Наверное, так проще 🤔

#Android #malware #research

https://blog.talosintelligence.com/2020/05/the-wolf-is-back.html?m=1