Неофициальный клиент club house на Android оказался вирусом

Ну просто Breaking news! Неофициальный клиент ClubHouse под Андроид тырил учетные данные от кучи приложений.

Как только ClubHouse начал адскую пар-компанию и стал безумно популярен, я ждал новостей про новые стилеры, мимикрирующие под него. Ну просто невозможно же пройти мимо такого хайпа)) Я думаю, что если попробовать поискать в PlayStore или просто в гугле, можно еще много подобных вещей найти))

Так что будьте аккуратны и не ставьте что попадя на свой телефон :)

#malware #android

Проблемы с WebView

А тем временем на Android-устройствах наблюдается проблемы с компонентом WebView из-за чего многие приложения крашатся и вылетают.

По словам аналитиков проблема в последнем обновлении компонента, которое и привело к трагическим последствиям. Как мы помним, Google начал выкатывать обновления системных элементов и обновления безопасности через сервисы Play Store, что существенно облегчило их своевременную доставку до устройств пользователей. Но, похоже, не всегда это работает во благо пользователей 😁

У себя я такого не наблюдаю, но это скорее всего из-за того, что обновления на китайские трубки прилетают всё-таки позже. Так что будьте аккуратны)

#Android #Updates

Большое обновление курсов по анализу мобильных приложений

Всем привет!

На драйве из предыдущего поста произошло глобальное обновление курсов, лекций и практических материалов по анализу защищенности и пентесту мобильных приложений.
За весь этот замечательныый контент скажем огромное спасибо @EZ3K1EL!

В общем, welcome, теперь это все в едином месте)

Примерный состав курсов и их описание (некоторые еще в процессе загрузки и будут доступны чуть позже)

SANS Cources
- FOR 518 - Mac and iOS Forensic Analysis and Incident Response
- FOR 585 - Advanced Smartphone Forensics (2017)
- SEC 575 - Mobile Device Security and Ethical Hacking (2017)

The Complete Mobile Ethical Hacking Course (11 Gb)
- Introduction
- Lab Setup
- Mobile Backdoors
- Android Studio Fundamentals
- Java Fundamentals
- iOS Development Fundamentals
- Rooting & Jailbreaking
- Reverse Engineering Android
- Reverse Engineering iOS
- Cloud Hacking Firebase Security
- CTF Banking App Hacking
- In-Network Attacks for Mobile Devices
- Closing

The Complete Android Ethical Hacking Practical Course
- Introduction
- Termux Basics
- Metasploit Framework
- Protect your files with Encryption
- Phishing Attack and hw to prevent unknown threats
- How an attacker access your Front camera
- Access front camera and back camera of your victims android device 100 working
- Optional Section
- Reward Section

Pentester Academy - Android Security and Exploitation for Pentesters
- 26-Cydia-Substrate

Dynamic Mobile Application Analysis and Manipulation
- Intro
- Android Dynamic Anaysis with Drozer
- iOS Dynamic Analysis with Needle
- Modifying Mobile Applications
- Mobile Application Runtime Manipulation
- Automated Runtime Manipulation with Objection
- Application Security Verification


Mobile Penetration Testing
- Mobile Penetration Testing
- Network Activity Analysis
- Network Manipulation Attacks
- Network Traffic Manipulation
- SSLTLS attacks
- Intercepting SSLTLS traffic
- Leveraging Mobile Malware
- Where to go from here

The Stolen Device Threat and Mobile Malware
- The Stolen Device Threat
- Jailbreaking iOS
- Rooting Android
- Data Storage on Android
- Data Storage on iOS
- Mitigating Malware

Static Application Analysis
- Static Application Analysis
- Manual Static Analysis
- Automating App Analysis
- Obfuscated Apps
- Third Party App Platforms

Udemy - Masters in Ethical Hacking with Android
Очень много контента

JSInfoSec Android Hacking
Очень много видео-уроков и лекций

Скачать все это (и не только) - можно тут

#books #education #courses

Скрипт для автоматической установки утилит для анализа мобильных приложений (Android и iOS)

Достаточно интересный проект для автоматической установки множества полезных тулов на Ubuntu Server (в виртуалке или на живом компе). Я думаю, что и для Ubuntu Desktop тоже вполне себе пойдет. Либо её можно использовать, как отличный гайд по всем представленным в списке инструментам, если у вас возникла сложность с их установкой.

Специально для ленивых, кто не хочет заморачиваться сам и получить готовый список тулов или для параноиков, которые могут подергать команды для автоинстала и получить свой собственный скрипт. Ну или в крайнем случае просто убедиться, что все тулы, которые нужны стоят и обновлены.

Список инструментов, которые автоматом ставятся:
- APKTOOL (Android)
- ADB (Android)
- JADX (Android)
- ByteCode-Viewer (Android)
- Drozer (Android)
- Hopper (Android and i0S)
- Burp/ZAP (Traffic Inspection)
- Frida and Frida-Tools (Android and i0S)
- Frida Android Tracer (Android)
- Android Backup Extractor (Android)
- PIDCAT (Android)
- MobSF (Android and i0S)
- AndroBugs Framework (Android)
- QARK Framework (Android)
- RMS, Dexcalibur and Passionfruit (Android and i0S)
- Radare2 and R2Frida (Android and i0S)
- MARA Framework (Android)
- APKiD (Android)
- Simplify (Android)
- iProxy and iDeviceInstaller (i0S)
- Frida-IOS-Dump (i0S)
- GrapeFruit (i0S)
- Objection (Android and i0S)
- Tools on iDevice (i0S)
- GuiScrcpy (Android and i0S)

#tools #Android #ios

Несколько видео про техники эксплуатации различных уязвимостей в Android

Для тех, кто лучше воспринимает видео и демо, чем статьи есть два неплохих видео про Android от милой девушки.

Первое - Android App Security Basics, где очень неплохо рассказано про основные компоненты системы и приведены ссылки на более подробные лекции про каждый из них.

Второе видео - Hacking Android WebViews про различные техники эксплуатации уязвимостей в WebView. Рассказано и показано достаточно наглядно :)

Спонсором идей и контентом для данных видео послужили материалы Oversecured, так что скажем большое спасибо за офигенный материал :)

#android #education #videos

Вебинар по динамическому анализу приложений

Всем привет!

Мы долго хотели попробовать новый для себя формат онлайн-мероприятий и наконец-то решились.

25 мая в 15-00 пройдет совместный вебинар по практике динамического анализа приложений. Расскажем про то, как анализировать Web и мобильные приложения, обсудим, как эти практики можно автоматизировать и включить в процесс разработки.

Зарегистрироваться, чтобы не пропустить это событие можно по ссылке.

Приходите, постараемся сделать эти несколько часов интересными и полезными для всех!

Эксплуатация уязвимостей Memory Corruption в Android

Как обычно максимально детальная и крутая статья от Oversecured, посвященная уязвимостям, связанным с Memory corruption.

Для меня всегда оставалось немного непонятным, что именно можно извлечь из подобных уязвимостей, если ты добился своего SIGSEGV 😁

Благодаря этой уязвимости и нескольким условиям, можно попробовать как минимум получить критичные данные пользователя. А в статье как раз описан способ, как это можно сделать.

Всем хорошей пятницы и интересного чтения!

#MemoryCorruption #Oversecured #Education

Перехват зашифрованного трафика «на лету»

Достаточно подробная статья про перехват ключей шифрования при помощи Frida.

Всё было бы вполне обыденно, если бы не дополнительное использование интересного плагина для BurpSuite - AES Killer, который позволяет менять контент в зашифрованных сообщениях.

То есть смысл простой, через фриду получаем ключ шифрования, прописываем его в плагин Burp и дальше видим расшифрованные значения в трафике. При этом на сервер отправляется зашифрованное сообщение (с нашими изменениями).

Всего несколько раз встречал подобное дополнительное шифрования внутри канала связи, но если кто-то вдруг столкнется с этим, вы теперь знаете, как облегчить себе жизнь :)

#frida #crypto #aes

И снова про ключи в исходниках

После выхода вот этой замечательной статьи многие начали проверять, какие FCM ключи лежат у них в приложениях и проверять корректность их скоупа.

Недавно вышла еще одна интересная статья про утечки приватных ключей от AWS. В целом - та же самая история с неправильной конфигурацией прав доступа и их небезопасным хранением. При этом в статье приводится примеры приложений, у которых было найдены ключи, дающие доступ к сервисам ACM (Certificate Manager), ElasticBeanstalk, Kinesis, OpsWorks, S3. Один ключик и ты гуляешь по сервисам Adobe 😃

Ну что же, это еще один повод проверить, какие ключи от каких сервисов и с какими правами вы используете в своих приложениях!

И да, всех с рабочей неделей после праздников, надеюсь вы успели немного отдухнуть 😄

#AWS #Keys

Поиск талантов

Всем привет после долгих праздников, если вы из тех счастливчиков, что отдыхали и не работали 😃

А сегодня я к вам с отличным предложением, если вы задумывались о том, чтобы сменить работу или хотели бы перейти из разработки в безопасность, это ваш шанс попасть в крутую компанию.

Мои хорошие друзья, очень крутая команда AppSec из Тинькофф Банк ищет себе в команду человека, который бы помог выстроить процесс безопасной разработки для мобильных приложений. Тут все радости жизни, и использование инструментальных средств, статический, динамический анализ, ручная проверка, интеграция в процесс, автоматизация всего и вся и возможность повлиять на продукты компании и сделать их еще более безопасными!

Немного из официального объявления:
Формат работы: офис, удаленная работа.
ЗП: до 250 000 руб. net.
Обязателен опыт разработки под Android или iOS.

За подробностями к @olyazlg.

#offer #job

Chain of Trust в iOS. Часть первая - Boot ROM

Очень неплохая статья недавно вышла на Хабр про процесс доверенной загрузки в iOS, которая не позволяет запускать неподписанный код на устройствах APlle и гарантирует, что программная часть iPhone будет запущена только на выпущенном Apple железе. В статье описан первый этап из этой цепочки - BootRom.

Что в этой статье мне понравилось - это не просто копипаста с официальной документаци, как обычно это бывает, а полноценная статья с достаточным количеством интересной информации по внутреннему устройству этого процесса. Не сильно детальная, но от этого не менее интересная!

#iOS #ChainOfTrust

Вебинар по динамическому анализу приложений

Друзья, через десять минут начинается наш первый вебинар - "Динамический анализ приложений". Очень волнительный первый опыт проведения подобных мероприятий 😁 Поговорим про динамику для мобильных и веб-приложений, посмотрим инструменты для анализа.

Если вы по каким-то причинам не зарегистрировались, то еще не поздно это сделать по ссылке: https://stingray-mobile.ru/vebinar-devsecops-dinamicheskij-analiz-prilozhenij.html

Если по ходу вебинара возникают вопросы, пишите их в чатик. Отвечу на вебинаре или, если не успею, в чате.

Всем до встречи!

Новый стандарт межпроцессного взаимодействия на Mac

Недавно стало известно о новом формате межпроцессного взаимодействия на Mac, выпущенных с новым процессором М1.

Новый формат получил название M1racless и позволяет двум любым приложениям скрытно обмениваться между собой данными без использования памяти, сокетов, файлов и любых других стандартных функций операционной системы. При этом это возможно осуществить для процессов, запущенных от разных пользователей и с разными привилегиями 🔥

Ну а если серьезно, то это новая крутая уязвимость в самом чипе М1 и ее нельзя исправить программно, то есть - нужна новая аппаратная ревизия чипа) Уязвимость получила идентификатор CVE-2021-30747 и большую статью с ответами на большинство вопросов, которые возникают, когда слышишь про такую уязвимость.

По большому счету, чего-то безумно страшного не случилось, просто некоторые приложения смогут без ведома пользователя и операционной системой общаться между собой =) И в статье автор очень хорошо расписывает ответы на самые частые вопросы с неплохим юмором в ответах)

#Mac #CVE #Vulnerability

Давненько ничего не выкладывал на YouTube и на то были причины. Но о них как-нибудь потом. По ссылке найдете лекцию по основам информационной безопасности, которую я читал в рамках "Робопрактики", которую компания red_mad_robot каждый год проводит для мобильных разработчиков. В лекции можно найти:

- Основные понятия из мира ИБ
- Моделирование злоумышленников и угроз
- Основы криптографии (симметричная, асимметричная, цифовые подписи, сертификаты, хэш-функции, KDF-функции)
- HTTP vs HTTPS, MITM и SSL Pinning
- Основные угрозы мобильных приложений

Материал подойдет для всех грейдов разработчиков, которые желают разобраться в вопросах информационной безопасности или как-то систематизировать свои знания. Видео вышло довольно длинным, поэтому я добавил туда максимально гранулярные таймкоды. Короч я старался, похвалите меня 😄

https://youtu.be/oZEFUA-unDo

Видео от замечательного @OxFi5t

Всё как обычно по делу!

​​Мы теряем таланты!

Новость уже немного поросла мхом, но тем не менее 😄

Создатель и, что логично, основной разработчик magisk (утилита или набор скриптов для модификации Android, а так же сокрытия этого факта от системы и остальных приложений), перешел в команду безопасности Android, о чем сообщил в своем твиттере.

Очень неплохая статья на русском на Хабре, с обсуждением, к чему это может привести и чего дальше ждать. Как мне кажется, особо ничего хорошего для проекта Magisk :(

И это не первый и, думаю, не последний ход Google по найму людей, которые умеют качественно ломать Android в свою команду безопасности. Сначала @B3nac, потом автор magisk, интересно, кто будет следующим? Есть у меня один знакомый на примете 😅😅😅

Но, поживём, увидим!

Всем хороших выходных!

#magisk #google #hiring

Устаревшие алгоритмы шифрования в Android

В новой версии Android, уже 12-й (!), объявили об удалении устаревших алгоритмов шифрования.

Дословно:
«Android 12 has removed many BouncyCastle implementations of cryptographic algorithms that were previously deprecated, including all AES algorithms.»

Думаю, что это нарушит работу многих приложений, так что, если вы используете алгоритмы, которые удалены, это может стать проблемой. Конечно, можно подключить внешнюю библиотеку и продолжать жить счастливо, но я бы рекомендовал все-таки обновить технологии шифрования. Тем более, учитывая, сколько уязвимостей есть в библиотеке BouncyCastle.

Другое интересное новшество:
"Your app uses 512-bit key sizes. Conscrypt doesn't support this key size. If necessary, update your app's cryptography logic to use different key sizes."

Размер теперь имеет значение 😃
Если я правильно понял, необходимо использовать более длинные ключи в новых версиях Android. И это не может не радовать!

Конечно, это повлияет на разработку и заставит немного подкрутить логику работы с шифрованием, но в дальнейшем может повысить защищенность (очен на это надеюсь, по крайней мере).

Читая всё это задумался и начать писать статью о том, как эволюционировала безопасность системы Android со времён 4-й версии. Так что надеюсь, что в ближайшее время смогу порадовать интересным материалом!

#Android12 #update #news

Поправка к предыдущему посту

Прошу прощения, немного не верно понял информацию, удаляются не старые версии алгоритмов из поддержки, а именно их реализация в библиотеке BoucyCastle.

Через такой хитрый ход Google продвигает собственную библиотеку ConsCrypt.

Так что можно жить дальше :))

Спасибо большое @AndroidDevSec за поправку :)

И ещё немного о приватности в Android 12

Официальная дока по улучшениям в обеспечении приватности пользовательских данных.

По накатанной дорожке, от релиза к релизу, Google ужесточает правила игры и запрещает приложениям собирать больше информации. И Android 12 не стал исключением. Немного наиболее интересных обновлений:

Буфер обмена
Теперь при чтении из буфера обмена, пользователю будет показано сообщение. Ранее гугл отключил доступ к буферу приложениям в фоне, а теперь ещё и нотификацию показывает.

Отчет о приватности
Анонсировали дашборд, в котором можно посмотреть отчет за последние 24 часа, в какое время какие приложения имели доступ к камере, микрофону и локации.

Выключение камеры и микрофона
Появились два новых выключателя в настройках, которые отвечают за камеру и микрофон. Если их выключить, то при попытке доступа к этим сенсорам будет выведено предупреждение, что сначала необходимо включить камеру и микрофон в настройках.

Ещё много занятных вещей появилось. И всё сильнее Google заботится о том, чтобы данные получали только они, а не другие приложения и сервисы 😅

#Android12 #update #news

Нужна помощь специалистов

Всем привет, пользуясь тем, что могу сюда писать обращаюсь к вам за помощью 😃

Если вы разрабатываете или анализируете приложения, накидайте, пожалуйста в комментарии популярные библиотеки, которые часто используются при разработке Android или iOS приложений.

Сейчас прорабатываем интересную концепцию по поиску уязвимостей, хотелось бы побольше живых данных для старта набрать.

У меня пока что получился такой минимальный список:
https://github.com/google/guava
https://github.com/ReactiveX/RxJava
https://github.com/opencv/opencv
https://github.com/square/okhttp
https://github.com/alibaba/fastjson
https://github.com/google/gson
https://github.com/JetBrains/kotlin
https://github.com/square/retrofit

Накидайте названий или ссылок, чего угодно, буду очень благодарен, а после нашего эксперимента расскажу о результатах, какие бы они не были ))

Запись с вебинара

Всем привет! Выложили запись с вебинара, кто не успел поприсутствовать лично, можно посмотреть в комфортное время.

Вроде получился достаточно неплохой обзор практик, которые можно применять при анализе мобильных приложений и немного рассказал про то, как динамику проводим мы. Может быть немного по капитански, но я правда старался) Первое подобное мероприятие, которое относится непосредственно к тому, что я делаю, так что было немного волнительно 😀

Формат достаточно неплохо зашел, так что подумаем над тем, чтобы его продолжить в виде нескольких видео по нашему продукту и как мы реализовали поиск интересных дефектов.

Stayu tuned, как говорится 😃

#Webinar #record #stingray