Mobile AppSec World
5.3K subscribers
142 photos
8 videos
19 files
675 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
​​Нашёл занятную утилиту, которая позволяет быстро и достаточно просто получать данные об используемом шифровании (алгоритм, его параметры, ключ и т.д.).

Работает через патчинг приложения и только, если используется стандартный SecurityProvider .

В ряде случаев может помочь быстро получить необходимые данные и поискать где-то ключик 🔑

#Android #Tools #Crypto
​​Вторая часть прохождения CTF с защитой от root и frida

Вышла вторая и заключительная статья про прохождение безумно интересного и сложного CTF r2pay.

В этой части автор разбирает функцию JNI для генерации токена, исследует криптографические операции и в итоге вычисляет ключ шифрования.

Некоторые моменты в этой статье заставляют прочитать её более вдумчиво несколько раз и обязательно походить по ссылкам, чтобы понять, что же за магия там происходит.

#CTF #Android #Crypto
Crypto CTF

Этот CTF не про мобильные приложения, а более общий, про криптографию и ошибки реализации.

Если вы что-то шифруете в приложении или сталкиваетесь с необходимостью расшифровки, очень советую порешать его!

Спасибо автору за создание и за отсылки к похожим задачам!

Криптографию нужно знать хотя бы на базовом уровне, чтобы более осознанно её использовать и не допускать тех ошибок, что есть в этом ctf 😉

#ctf #crypto
Перехват зашифрованного трафика «на лету»

Достаточно подробная статья про перехват ключей шифрования при помощи Frida.

Всё было бы вполне обыденно, если бы не дополнительное использование интересного плагина для BurpSuite - AES Killer, который позволяет менять контент в зашифрованных сообщениях.

То есть смысл простой, через фриду получаем ключ шифрования, прописываем его в плагин Burp и дальше видим расшифрованные значения в трафике. При этом на сервер отправляется зашифрованное сообщение (с нашими изменениями).

Всего несколько раз встречал подобное дополнительное шифрования внутри канала связи, но если кто-то вдруг столкнется с этим, вы теперь знаете, как облегчить себе жизнь :)

#frida #crypto #aes
Использование шифрования в мобильных приложениях

Новая статья от Oversecured - "Use cryptography in mobile apps the right way" отвечает наверное на самый частый вопрос, зачем мне шифровать данные, если они и так находятся внутри песочницы приложения? Они же уже защищены!

И конечно, ответ на этот вопрос есть в статье! Я думаю, @bagipro может всех нас научить, как доставать внутренние файлы приложений самыми разными способами:
- через WebView
- через получение доступа к произвольным * контент-провайдерам
- через неявные интенты
- сотни других примеров, не освещенных в статьях в блоге (надеюсь пока не освещенных)

Надеюсь, что вечер пятницы теперь пройдет намного интереснее, учитывая количество отсылок на различные материалы в статье 😄

#oversecured #crypto
Расшифровка зашифрованных фотографий из приложения ‘AVG’ Photo Vault

Прочитал статью про расшифровку файлов из ещё одного приложения от антивируса AVG и подумал, что где-то я видел подобный стиль написания и объяснения шифрования. Пошарившись по сайту увидел, точно! Вот мой пост от того же человека, который фотки из калькулятора расшифровывал!

А если посмотреть на его блог, то это похоже к него такое хобби, искать приложения, которые что-то прячут и шифруют, а потом пытаться их взломать и получить фото без пароля)

Интересное хобби у человека :) может быть иногда очень полезно 😅

Так что, если интересуетесь темой шифрования, расшифровки и анализа алгоритмов, вам точно стоит заглянуть в его блог!

#crypto #vault #research
Найти всё, что скрыто. Поиск чувствительной информации в мобильных приложениях

Одной из самых трудоемких задач в процессе анализа приложения (по времени так точно) - это поиск неправильно хранящихся чувствительных данных в приложении, понимание, откуда они там появились и где дальше используются.

В своей статье я немного рассказал про наши принципы и подходы к такому поиску, поразмышлял на тему того, как найти более сложные кейсы и как это связать воедино.

В секции про правильное хранение получилось добавить немного про шифрование и, думаю, в ближайшее время, я сделаю пост про основы шифрования, что нужно знать, чтобы не допустить простых ошибок во время реализации (по аналогии с SSL Pinning).

Надеюсь, что этот материал покажется вам интересным и вы сможете что-то нужное подчерпнуть для анализа или для защиты)

Всем хорошего понедельника и продуктивной недели!

#habr #sensinfo #blog #crypto
Malware под iOS, мимикрирующая под криптокошельки

Прочитал интересную статью, посвященную разбору и анализу вредоноса под iOS, целью которого являются различные криптокошельки пользователей.

Если говорить про Android, то тут всё достаточно просто, различного вида и модификаций зловредов там огромное количество, чего не скажешь про iOS. Основная проблема тут это сложность установки приложений не из магазина и полная зависимость от Apple в этом плане.

Как же действовали в этом конкретном случае? Насколько я понял, брали оригинальное приложение, модифицировали его, добавляли библиотеку .dylib, паковали, подписывали своим Apple provisioning profile и выкладывали на фейковые домены, которые мимикрировали под оригинальные сайты криптобирж и кошельков.

Ну а далее - заманивали на сайты, люди скачивали приложение, нажимали «доверять» и пошло поехало!

В статье описаны технические подробности всего вышеперечисленного, с детальным описанием, очень рекомендую почитать и посмотреть, нечасто такое встретишь)

#ios #backdoor #crypto
Анализ защищенного мессенджера Threema

Всем любителям криптографии и атакам на различные шифры и протоколы должно быть крайне интересно почитать про исследование защищенного мессенджера Threema.

Исследователи провели очень крутую работу и изложили все как в достаточно простом виде на сайте, так и оформили практически в научную статью (с формулами, описанием использованных алгоритмов и т.д., очень рекомендую, если есть время).

Из интересного - это рассмотрение различных моделей злоумышленника с различным уровнем доступа, чего обычно не встретишь в подобных статьях. Грамотное и правильное описание, какие атаки доступны в каких случаях и при каком доступе/информации у злоумышленника, респект 😄

Все подробности вы прочитаете в статье, но 3 вывода я оставлю тут, как правильное напоминание потомкам:

1. Использование современных безопасных библиотек для криптографических примитивов само по себе не приводит к безопасному дизайну протокола
2. Будьте внимательны к "межпротокольным" взаимодействиям
3. Проактивная, а не реактивная безопасность

Всем хороших выходных!

#friday #crypto #messenger