Mobile AppSec World
5.3K subscribers
142 photos
8 videos
19 files
675 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
Опубликовано описание 0day в iOS, основанное на проблемах в парсинге plist файлов (в iOS используются целых 4 разных парсера для этого!). Настолько простого и элегантного выхода из песочницы вы точно не видели (особенно на iOS).

К сожалению, уязвимость закрыли в последней бета-версии, но её ещё можно опробовать на предыдущих версиях ;)

Автор подробно расписывает, в чем заключалась проблема, как её эксплуатировать и какие шаги предприняла компания Apple для фикса (ещё пару парсеров, серьёзно?) 😄

#iOS #0day #Vulnerabilities #SandboxEscape

https://siguza.github.io/psychicpaper/
Mobile AppSec World
Опубликовано описание 0day в iOS, основанное на проблемах в парсинге plist файлов (в iOS используются целых 4 разных парсера для этого!). Настолько простого и элегантного выхода из песочницы вы точно не видели (особенно на iOS). К сожалению, уязвимость закрыли…
И дня не прошло, как появился вполне приличный PoC, который сливает базу SMS куда душе угодно :) Если мне не изменяет память, то у WhatsApp база сообщений на устройстве тоже не зашифрованная лежит..

Напомню, что фикс этой уязвимости доступен только в бета версии iOS, так что эта уязвимость всё ещё актуальна.

Конечно, нужно как-то поставить приложение с вредоносной функциональностью на телефон, а это та ещё задачка. Но, вряд-ли Apple проверяет приложения на такие вещи.

#iOS #0day #PoC #Vulnerabilities

https://wojciechregula.blog/post/stealing-your-sms-messages-with-ios-0day/
Exploits in the wild

Всем привет, особенно любителям видео контента :)

Нашел интересный вебинар про эксплуатацию уязвимостей в Android. И это эксплуатация именно уязвимостей в самом Андроид, не в приложениях. Интересный формат, посмотреть, как на самом деле обстоят дела с Android и каким атакам подвергались пользователи 😈

Сам ещё не успел посмотреть, но чувствую, будет очень интересно. Добавил в закладки на выходные :)

Ну и дополнительно к видео - слайды.

#exploit #Android #0day
Исследование 0-day в «дикой природе»

У Google Project Zero есть интересная серия исследований, в которой они исследуют и описывают 0-day уязвимости, которые встречались в реальной жизни, с реальными примерами эксплуатации и описанием, как именно их применяли.

Данная статья является обзорной по состоянию за первое полугодие 2022 года. Хоть она и является обзорной, на её основе можно найти несколько более интересных докладов, которые более предметно раскрывают аспекты каждой из уязвимостей.

Хоть это и не всегда относится к мобильным приложениям, почитать и послушать про такое всегда интересно.

#0day #ios #google