Подборка инструментов, кража локации через открытие ссылки, гибернация в Android 12
Как-то не нашел сегодня больших и интересных статей, зато есть несколько относительно небольших и занятных:
- Подборка инструментов для анализа приложений от kitploit. Часть всем широко известна, какие-то устарели, но можно найти что-то новое) ну и как сборник ссылок в одном месте пойдёт)
- Краткий обзор уязвимости в Shazam, которая позволяла отправлять геопозицию пользователя через уязвимость в WebView. Вообще интересный вектор, когда ты обходишь ограничения системы на доступ твоего приложения к геолокации вызывая другое приложение, у которого есть такие права 😄
- Новый режим гибернации приложений в грядущем Android 12. Если ты давно не пользовался приложением, система может очистить его кэш для экономии пространства, а потом и вовсе перевести в состояние "сна". Прикольная функция) но будет ли она в итоге в релизе, непонятно :)
Всем отличных выходных, отдохните перед новой интересной неделей! 🥃
#News #Android #Friday
Как-то не нашел сегодня больших и интересных статей, зато есть несколько относительно небольших и занятных:
- Подборка инструментов для анализа приложений от kitploit. Часть всем широко известна, какие-то устарели, но можно найти что-то новое) ну и как сборник ссылок в одном месте пойдёт)
- Краткий обзор уязвимости в Shazam, которая позволяла отправлять геопозицию пользователя через уязвимость в WebView. Вообще интересный вектор, когда ты обходишь ограничения системы на доступ твоего приложения к геолокации вызывая другое приложение, у которого есть такие права 😄
- Новый режим гибернации приложений в грядущем Android 12. Если ты давно не пользовался приложением, система может очистить его кэш для экономии пространства, а потом и вовсе перевести в состояние "сна". Прикольная функция) но будет ли она в итоге в релизе, непонятно :)
Всем отличных выходных, отдохните перед новой интересной неделей! 🥃
#News #Android #Friday
KitPloit - PenTest & Hacking Tools
MobileHackersWeapons - Mobile Hacker's Weapons / A Collection Of Cool Tools Used By Mobile Hackers
Устаревшие алгоритмы шифрования в Android
В новой версии Android, уже 12-й (!), объявили об удалении устаревших алгоритмов шифрования.
Дословно:
«Android 12 has removed many BouncyCastle implementations of cryptographic algorithms that were previously deprecated, including all AES algorithms.»
Думаю, что это нарушит работу многих приложений, так что, если вы используете алгоритмы, которые удалены, это может стать проблемой. Конечно, можно подключить внешнюю библиотеку и продолжать жить счастливо, но я бы рекомендовал все-таки обновить технологии шифрования. Тем более, учитывая, сколько уязвимостей есть в библиотеке BouncyCastle.
Другое интересное новшество:
"Your app uses 512-bit key sizes. Conscrypt doesn't support this key size. If necessary, update your app's cryptography logic to use different key sizes."
Размер теперь имеет значение 😃
Если я правильно понял, необходимо использовать более длинные ключи в новых версиях Android. И это не может не радовать!
Конечно, это повлияет на разработку и заставит немного подкрутить логику работы с шифрованием, но в дальнейшем может повысить защищенность (очен на это надеюсь, по крайней мере).
Читая всё это задумался и начать писать статью о том, как эволюционировала безопасность системы Android со времён 4-й версии. Так что надеюсь, что в ближайшее время смогу порадовать интересным материалом!
#Android12 #update #news
В новой версии Android, уже 12-й (!), объявили об удалении устаревших алгоритмов шифрования.
Дословно:
«Android 12 has removed many BouncyCastle implementations of cryptographic algorithms that were previously deprecated, including all AES algorithms.»
Думаю, что это нарушит работу многих приложений, так что, если вы используете алгоритмы, которые удалены, это может стать проблемой. Конечно, можно подключить внешнюю библиотеку и продолжать жить счастливо, но я бы рекомендовал все-таки обновить технологии шифрования. Тем более, учитывая, сколько уязвимостей есть в библиотеке BouncyCastle.
Другое интересное новшество:
"Your app uses 512-bit key sizes. Conscrypt doesn't support this key size. If necessary, update your app's cryptography logic to use different key sizes."
Размер теперь имеет значение 😃
Если я правильно понял, необходимо использовать более длинные ключи в новых версиях Android. И это не может не радовать!
Конечно, это повлияет на разработку и заставит немного подкрутить логику работы с шифрованием, но в дальнейшем может повысить защищенность (очен на это надеюсь, по крайней мере).
Читая всё это задумался и начать писать статью о том, как эволюционировала безопасность системы Android со времён 4-й версии. Так что надеюсь, что в ближайшее время смогу порадовать интересным материалом!
#Android12 #update #news
И ещё немного о приватности в Android 12
Официальная дока по улучшениям в обеспечении приватности пользовательских данных.
По накатанной дорожке, от релиза к релизу, Google ужесточает правила игры и запрещает приложениям собирать больше информации. И Android 12 не стал исключением. Немного наиболее интересных обновлений:
Буфер обмена
Теперь при чтении из буфера обмена, пользователю будет показано сообщение. Ранее гугл отключил доступ к буферу приложениям в фоне, а теперь ещё и нотификацию показывает.
Отчет о приватности
Анонсировали дашборд, в котором можно посмотреть отчет за последние 24 часа, в какое время какие приложения имели доступ к камере, микрофону и локации.
Выключение камеры и микрофона
Появились два новых выключателя в настройках, которые отвечают за камеру и микрофон. Если их выключить, то при попытке доступа к этим сенсорам будет выведено предупреждение, что сначала необходимо включить камеру и микрофон в настройках.
Ещё много занятных вещей появилось. И всё сильнее Google заботится о том, чтобы данные получали только они, а не другие приложения и сервисы 😅
#Android12 #update #news
Официальная дока по улучшениям в обеспечении приватности пользовательских данных.
По накатанной дорожке, от релиза к релизу, Google ужесточает правила игры и запрещает приложениям собирать больше информации. И Android 12 не стал исключением. Немного наиболее интересных обновлений:
Буфер обмена
Теперь при чтении из буфера обмена, пользователю будет показано сообщение. Ранее гугл отключил доступ к буферу приложениям в фоне, а теперь ещё и нотификацию показывает.
Отчет о приватности
Анонсировали дашборд, в котором можно посмотреть отчет за последние 24 часа, в какое время какие приложения имели доступ к камере, микрофону и локации.
Выключение камеры и микрофона
Появились два новых выключателя в настройках, которые отвечают за камеру и микрофон. Если их выключить, то при попытке доступа к этим сенсорам будет выведено предупреждение, что сначала необходимо включить камеру и микрофон в настройках.
Ещё много занятных вещей появилось. И всё сильнее Google заботится о том, чтобы данные получали только они, а не другие приложения и сервисы 😅
#Android12 #update #news
Android Developers Blog
What’s new in Android Privacy
Posted by Sara N-Marandi, Product Manager, Android Platform Product People want an OS and apps that they can trust with the...
Продолжение истории с форматной строкой в iOS
Apple быстро пофиксила баг с форматной строкой в iOS, который позволял отключить WiFi на устройстве. Естественно, Apple не признал это уязвимостью и не присвоил никакого CVE (подумаешь WiFi помирает от названия точки доступа).
Но некоторые исследователи раскрутили эту мелкую багу до удаленного выполнения кода на устройстве. Реализация стала возможной благодаря процессу wifid, который обрабатывает протоколы, связанные с WiFi соединением и запущен от root.
Для реализации атаки понадобилась виртуалка с Linux и WiFi свисток за 10$ 😁
Очень классный кооперативчик получился) Один нашел баг, но не смог его раскерутить,. а другие докрутили его до RCE. Очень похоже на то, как появился Checkra1n.
#iOS #RCE #news
Apple быстро пофиксила баг с форматной строкой в iOS, который позволял отключить WiFi на устройстве. Естественно, Apple не признал это уязвимостью и не присвоил никакого CVE (подумаешь WiFi помирает от названия точки доступа).
Но некоторые исследователи раскрутили эту мелкую багу до удаленного выполнения кода на устройстве. Реализация стала возможной благодаря процессу wifid, который обрабатывает протоколы, связанные с WiFi соединением и запущен от root.
Для реализации атаки понадобилась виртуалка с Linux и WiFi свисток за 10$ 😁
Очень классный кооперативчик получился) Один нашел баг, но не смог его раскерутить,. а другие докрутили его до RCE. Очень похоже на то, как появился Checkra1n.
#iOS #RCE #news
Telegram
Mobile AppSec World
Отключение WiFi в iOS
В Android 12 сделали программное отключение доступа к камере и микрофону для всех приложений, iOS не мог этого так оставить и допустил функционал по отключению WiFi. Правда, скорее всего случайно и с использованием бага в форматной…
В Android 12 сделали программное отключение доступа к камере и микрофону для всех приложений, iOS не мог этого так оставить и допустил функционал по отключению WiFi. Правда, скорее всего случайно и с использованием бага в форматной…
Первая тысяча
Юхху! Канал пробил 1000 человек! Знаменательная цифра, как никак :)
Спасибо большое вам, что читаете, что общаетесь в чате, скидываете интересные новости и делитесь опытом! Многие статьи или тулы пришли от подписчиков и это здорово!
Начиналось всё год назад, как попытка систематизировать то, что есть и желанием поделиться материалами, которые читаю. Надеюсь, что вам также интересно читать про новости мира безопасности мобилок, как и мне!
Спасибо всем, что вы остаетесь тут и читаете всё это. Без вас канала бы просто не было, я б просто забил, а тут прям ответственность что-ли чувствуешь! 😁
Через некоторое время хочу попробовать еще несколько активностей, надеюсь вам зайдет 😉
Ну а пока, хорошей недели!
#news #1000
Юхху! Канал пробил 1000 человек! Знаменательная цифра, как никак :)
Спасибо большое вам, что читаете, что общаетесь в чате, скидываете интересные новости и делитесь опытом! Многие статьи или тулы пришли от подписчиков и это здорово!
Начиналось всё год назад, как попытка систематизировать то, что есть и желанием поделиться материалами, которые читаю. Надеюсь, что вам также интересно читать про новости мира безопасности мобилок, как и мне!
Спасибо всем, что вы остаетесь тут и читаете всё это. Без вас канала бы просто не было, я б просто забил, а тут прям ответственность что-ли чувствуешь! 😁
Через некоторое время хочу попробовать еще несколько активностей, надеюсь вам зайдет 😉
Ну а пока, хорошей недели!
#news #1000
Telegram
Mobile Appsec Chat
Чат для обсуждения новостей канала Mobile Appsec World. Трем за мобайл, за аппсек, за непростую жизнь безопасника... Присоединяйтесь!
Подборка материалов по мобильной безопасности «Awesome Mobile Security»
Всем привет!
В очередной раз, пока искал в истории канала какую-то ссылку на видео, решил что пора заканчивать с таким неблагородным делом и оформлять все материалы, которые скопились в представительный вид.
Из этого вылилось два репозитория на гитхабе с подборками всех материалов, которые были в канале, разбитые по логическим группам. Еще немного покопался в закромах и выудил ссылки на различные CTF и WriteUp по ним для Android. Получились достаточно интересные подборки. Подробнее посмотреть, что вышло можно в статье на Хабр (ну а куда без него).
Основная проблема всех таких репозиториев, что про них забывают и забивают и через месяц они становятся абсолютно неактуальными) Мне бы хотелось такого избежать, поэтому весь контент, что будет появляться в канале в конце недели я буду переносить в репозитории, а потом делать небольшой "дайджест" на Хабр по новостям текущей недели (посмотрим, зайдет ли такой формат).
Всем хорошей недели и приятного чтения, надеюсь, вы найдете для себя что-то новое в материалах.
#Habr #News #Awesome #Android #iOS
Всем привет!
В очередной раз, пока искал в истории канала какую-то ссылку на видео, решил что пора заканчивать с таким неблагородным делом и оформлять все материалы, которые скопились в представительный вид.
Из этого вылилось два репозитория на гитхабе с подборками всех материалов, которые были в канале, разбитые по логическим группам. Еще немного покопался в закромах и выудил ссылки на различные CTF и WriteUp по ним для Android. Получились достаточно интересные подборки. Подробнее посмотреть, что вышло можно в статье на Хабр (ну а куда без него).
Основная проблема всех таких репозиториев, что про них забывают и забивают и через месяц они становятся абсолютно неактуальными) Мне бы хотелось такого избежать, поэтому весь контент, что будет появляться в канале в конце недели я буду переносить в репозитории, а потом делать небольшой "дайджест" на Хабр по новостям текущей недели (посмотрим, зайдет ли такой формат).
Всем хорошей недели и приятного чтения, надеюсь, вы найдете для себя что-то новое в материалах.
#Habr #News #Awesome #Android #iOS
Хабр
Подборка материалов по мобильной безопасности «Awesome Mobile Security»
Привет, Хабр! Меня зовут Юрий Шабалин, я один из основателей компании "Стингрей Технолоджиз" (входит в группу компаний Swordfish Security), мы разрабатываем платформу анализа защищенности мобильных...
Первый дайджест на Хабр
Всем привет!
Сегодня вышел первый дайджест "Неделя мобильной безопасности (9-15 апреля)" на Хабр.
По факту, это подборка материала с канала за неделю. Возможно, кому-то в таком консолидированном виде будет удобнее читать, что же нового было в мире мобильного ИБ.
Если эксперимент окажется успешным и формат зайдет, то каждую неделю в пятницу или субботу я буду публиковать такую подборку и обновлять ссылки в репозиториях Awesome iOS Security и Awesome Android Security.
Всем хороших выходных!
#habr #news #awesome
Всем привет!
Сегодня вышел первый дайджест "Неделя мобильной безопасности (9-15 апреля)" на Хабр.
По факту, это подборка материала с канала за неделю. Возможно, кому-то в таком консолидированном виде будет удобнее читать, что же нового было в мире мобильного ИБ.
Если эксперимент окажется успешным и формат зайдет, то каждую неделю в пятницу или субботу я буду публиковать такую подборку и обновлять ссылки в репозиториях Awesome iOS Security и Awesome Android Security.
Всем хороших выходных!
#habr #news #awesome
Хабр
Неделя мобильной безопасности (9-15 апреля)
Привет, Хабр! Меня зовут Юрий Шабалин, как вы помните из предыдущих статей, я один из основателей компании Стингрей Технолоджиз, разработчика платформы анализа защищенности мобильных приложений iOS и...
Mobile AppSec World
Первый дайджест на Хабр Всем привет! Сегодня вышел первый дайджест "Неделя мобильной безопасности (9-15 апреля)" на Хабр. По факту, это подборка материала с канала за неделю. Возможно, кому-то в таком консолидированном виде будет удобнее читать, что же…
Вторая серия подборки
Всем хорошего вечера пятницы, выпустил, как обещал вторую версию дайджеста с подборкой материалов за неделю.
Эксперимент оказался вполне успешным, по крайнере мере негатива не было =)
И у меня возник вопрос, а стоит ли это публиковать на канале и добавилось в репозитории, раз уж это все равно по факту сборник того, что уже было на неделе, просто на другой площадке?
Если не сложно, отметьте, нужно такое или нет =)
#quiz #habr #news #awesome
Всем хорошего вечера пятницы, выпустил, как обещал вторую версию дайджеста с подборкой материалов за неделю.
Эксперимент оказался вполне успешным, по крайнере мере негатива не было =)
И у меня возник вопрос, а стоит ли это публиковать на канале и добавилось в репозитории, раз уж это все равно по факту сборник того, что уже было на неделе, просто на другой площадке?
Если не сложно, отметьте, нужно такое или нет =)
#quiz #habr #news #awesome
Хабр
Swordfish Security, Санкт-Петербург - Информационная безопасность, DevSecOps, SSDL / Статьи
25 статей от авторов компании Swordfish Security
Mobile AppSec World
Публиковать ли ссылки на "Неделю новостей мобильной безопасности в канале?"
Новости мобильной безопасности. Эпизод 3.
Так как большинство проголосовало "за", а часть не знает про существование канала, то вот третий выпуск подборки на Хабр по новостям из мира мобильной (прости господи), безопасности!
Ну и напомню, что все эти ссылки переходят из канала на Хабр, а оттуда в репозитории Awesome iOS Security и Awesome Android Security, присоединяйтесь)
Всем хорошей пятницы и хорошо отдохнуть на выходных!
#habr #news #awesome
Так как большинство проголосовало "за", а часть не знает про существование канала, то вот третий выпуск подборки на Хабр по новостям из мира мобильной (прости господи), безопасности!
Ну и напомню, что все эти ссылки переходят из канала на Хабр, а оттуда в репозитории Awesome iOS Security и Awesome Android Security, присоединяйтесь)
Всем хорошей пятницы и хорошо отдохнуть на выходных!
#habr #news #awesome
Хабр
Неделя мобильной безопасности (23-29 апреля)
Привет, Хабр! Продолжая серию мини-дайджестов по мобильной безопасности, посмотрим, что интересного появилось с 23 по 29 апреля. Новости URI Spoofing в клиенте мессенджера Signal для iOS Достаточно...
Новости мобильной безопасности. Эпизод 4.
Продолжаем рубрику новостей из мира безопасности мобильных приложений (с 30 апреля по 6 мая). Несмотря на праздники, новостей и материалов было достаточно много, - давайте посмотрим, что интересного произошло.
Ну и напомню, что все эти ссылки переходят из канала на Хабр, а оттуда в репозитории Awesome iOS Security и Awesome Android Security, присоединяйтесь)
Всем хорошей пятницы и хорошо отдохнуть на выходных!
#habr #news #awesome
Продолжаем рубрику новостей из мира безопасности мобильных приложений (с 30 апреля по 6 мая). Несмотря на праздники, новостей и материалов было достаточно много, - давайте посмотрим, что интересного произошло.
Ну и напомню, что все эти ссылки переходят из канала на Хабр, а оттуда в репозитории Awesome iOS Security и Awesome Android Security, присоединяйтесь)
Всем хорошей пятницы и хорошо отдохнуть на выходных!
#habr #news #awesome
Хабр
Неделя мобильной безопасности (30 апреля — 6 мая)
Привет, Хабр! И снова представляю вам, как и обещал в статье про подборку материалов по мобильной безопасности , самые главные новости из мира безопасности мобильных приложений (с 30 апреля по 6...
Пятничные новости
Продолжая рубрику "Новости мобильной безопасности" за прошедшие недели - новая подборка!
Несмотря на праздники и весьма напряженные дни, контента для выпусков и новостей хватает, так что надеюсь каждый найдет для себя что-то полезное, если не успели прочитать все это в канале.
Всем хороших выходных и хорошей пятницы!
#habr #news #mobileappsec
Продолжая рубрику "Новости мобильной безопасности" за прошедшие недели - новая подборка!
Несмотря на праздники и весьма напряженные дни, контента для выпусков и новостей хватает, так что надеюсь каждый найдет для себя что-то полезное, если не успели прочитать все это в канале.
Всем хороших выходных и хорошей пятницы!
#habr #news #mobileappsec
Хабр
Неделя мобильной безопасности (14 — 20 мая)
Привет, Хабр! И снова представляю вам самые главные новости из мира безопасности мобильных приложений (с 14 по 20 мая). Несмотря на прошедшую вторую волну праздников, новостей и материалов хватает, -...
Jailbreak для iOS 15
Интересные новости приехали, а именно про открытый и доступный Jail для iOS 15 - Palera1n Jailbreak. По контенту статьи доступные устройства для джейла:
iPhone X, iPhone 8, iPhone 8 Plus, iPhone 7, iPhone 7 Plus, iPhone 6s, iPhone 6s Plus, iPhone 6, iPhone 6 Plus, iPhone SE
А так же версии:
- iOS 15.1.1, 15.1, 15.0.2 , 15.0.1, 15
- iOS 15.4, iOS 15.3, iOS 15.2
- iOS 15.7, iOS 15.6, iOS 15.5
Не уверен, что это чистая правда и что всё работает, но очень надеюсь в скором времени проверить лично)
Если это действительно так, то нужно подождать ещё пару месяцев до того времени, как наиболее популярные твики допишут под новую версию и можно будет полноценно использовать устройство длявсяких непотребств анализа приложений 😄
Но в любом случае, даже если частично правда (так как в репо авторов немного другая информация), это в любом случае хороший такой лучик надежды на долгожданный джейл на 15 iOS!
Если кто уже попробовал или знает подробности - отпишитесь, пожалуйста :)
#iOS #jailbreak #news
Интересные новости приехали, а именно про открытый и доступный Jail для iOS 15 - Palera1n Jailbreak. По контенту статьи доступные устройства для джейла:
iPhone X, iPhone 8, iPhone 8 Plus, iPhone 7, iPhone 7 Plus, iPhone 6s, iPhone 6s Plus, iPhone 6, iPhone 6 Plus, iPhone SE
А так же версии:
- iOS 15.1.1, 15.1, 15.0.2 , 15.0.1, 15
- iOS 15.4, iOS 15.3, iOS 15.2
- iOS 15.7, iOS 15.6, iOS 15.5
Не уверен, что это чистая правда и что всё работает, но очень надеюсь в скором времени проверить лично)
Если это действительно так, то нужно подождать ещё пару месяцев до того времени, как наиболее популярные твики допишут под новую версию и можно будет полноценно использовать устройство для
Но в любом случае, даже если частично правда (так как в репо авторов немного другая информация), это в любом случае хороший такой лучик надежды на долгожданный джейл на 15 iOS!
Если кто уже попробовал или знает подробности - отпишитесь, пожалуйста :)
#iOS #jailbreak #news
ZEEJB Online
Palera1n Jailbreak v2.0.1 Download - iPadOS18.1, iOS 15 to iOS 17.1: Full Review 2024.
Palera1n Jailbreak v2.0.1 Download - iPadOS18.1, iOS 15 to iOS 17.1: Full Review 2024. % ZEEJB Online iOS downgrade iOS and Android News Updates, 1.2M+ Subscribers on YouTube / Content Creator.
Исследование защищенности мобильных приложений
Всем привет!
Долго не было ничего слышно и не зря)) Мы с командой делали довольно интересную вещь - проводили исследование защищенности мобильных приложений, выпущенных Российскими компаниями.
Суть исследования достаточно простая - мы взяли 800 Android-приложений, прогнали их через наш инструмент "Стингрей", разобрали ложные срабатывания, выбрали 20 категорий уязвимостей, наиболее интересных и часто встречающихся. Посчитали циферки, оформили, и вот результат:
По полученным цифрам более 83% приложений содержат уязвимости высокого или критичного уровня.
С подробными данными и самим отчетом можно ознакомиться на нашем сайте:
https://stingray-mobile.ru/oczenka-zashhishhennosti
Если говорить серьезно, то на безопасность мобильных приложений любят забивать или смотрят на них в самую последнюю очередь. Почему это до сих пор так?
Наверное, потому что бизнес или разработка не понимают актуальных угроз для мобильных приложений и какие именно риски несет в себе уязвимое мобильное приложение. Я рассказывал об этом недавно на митапе в Сколково, и скоро попробую еще раз это рассказать.
Потому что сейчас мобильные приложения это не просто "витрина данных", это полноценные системы, со своей архитектурой, базами данных, удаленными хранилищами, огромным функционалом и разнообразными техническими решениями. И к ним следует относится, как к полноценному звену всей системы, а иногда и более пристально, так как эксплуатируются они во "враждебной" среде, на устройстве пользователя, на котором может быть все, что угодно.
Так что посмотрите внимательно на отчет, мы постарались дать максимум ценной информации, включая описание выявленных проблем и способов их устранения и недопущения в дальнейшем. Очень надеюсь, что в следующем году безопасных и защищенных мобильных приложений станет больше!
Дальше больше, мы планируем сделать этот отчет ежегодным и отслеживать тренды в защищенности мобильных приложений и радовать всех интересным контентом!
С наступающим и приятного чтения!
#stingray #report #news #android
Всем привет!
Долго не было ничего слышно и не зря)) Мы с командой делали довольно интересную вещь - проводили исследование защищенности мобильных приложений, выпущенных Российскими компаниями.
Суть исследования достаточно простая - мы взяли 800 Android-приложений, прогнали их через наш инструмент "Стингрей", разобрали ложные срабатывания, выбрали 20 категорий уязвимостей, наиболее интересных и часто встречающихся. Посчитали циферки, оформили, и вот результат:
По полученным цифрам более 83% приложений содержат уязвимости высокого или критичного уровня.
С подробными данными и самим отчетом можно ознакомиться на нашем сайте:
https://stingray-mobile.ru/oczenka-zashhishhennosti
Если говорить серьезно, то на безопасность мобильных приложений любят забивать или смотрят на них в самую последнюю очередь. Почему это до сих пор так?
Наверное, потому что бизнес или разработка не понимают актуальных угроз для мобильных приложений и какие именно риски несет в себе уязвимое мобильное приложение. Я рассказывал об этом недавно на митапе в Сколково, и скоро попробую еще раз это рассказать.
Потому что сейчас мобильные приложения это не просто "витрина данных", это полноценные системы, со своей архитектурой, базами данных, удаленными хранилищами, огромным функционалом и разнообразными техническими решениями. И к ним следует относится, как к полноценному звену всей системы, а иногда и более пристально, так как эксплуатируются они во "враждебной" среде, на устройстве пользователя, на котором может быть все, что угодно.
Так что посмотрите внимательно на отчет, мы постарались дать максимум ценной информации, включая описание выявленных проблем и способов их устранения и недопущения в дальнейшем. Очень надеюсь, что в следующем году безопасных и защищенных мобильных приложений станет больше!
Дальше больше, мы планируем сделать этот отчет ежегодным и отслеживать тренды в защищенности мобильных приложений и радовать всех интересным контентом!
С наступающим и приятного чтения!
#stingray #report #news #android
mobile-stingray.ru
Стингрей — платформа автоматизированного анализа защищённости мобильных приложений
Платформа Стингрей Стингрей – платформа автоматизированного анализа защищенности мобильных приложений. Помогаем найти уязвимости, которые не способен обнаружить ни один другой инструмент. Комбинируем и корректируем практики DAST, SAST / BCA, IAST, API ST…
Легальное клонирование приложений в Android 14
Вот это интересные новости, начиная с Android 14 появляется системная возможность клонирования приложений. То есть, можно поставить рядом, например, две копии мессенджера, который позволяет работать только с одного аккаунта или игр или чего угодно.
Чтобы включить эту возможность, надо зайти в Настройки -> Приложения -> Склонированные приложения (Settings > Apps > Cloned Apps)
Для нас это значит, что может быть сильно проще тестировать разные баги, связанные с некорректной авторизацией, иметь несколько приложений с разными аккаунтами или просто не бояться совсем «убить» один из клонов.
А на самом деле, это сильно напоминает историю с твиками для Jailbreak. Apple долгое время (и по сей день), борется с джейлом, но самые популярные твики со временем были перенесены в сам iOS. Раз люди этим активно пользуется, значит это может быть удобно и полезно.
И этом случае все аналогично, огромное количество приложений, которые помогают клонировать приложения на Android и вот эта фича уже в релизе :) Удобно!
#android #clone #news
Вот это интересные новости, начиная с Android 14 появляется системная возможность клонирования приложений. То есть, можно поставить рядом, например, две копии мессенджера, который позволяет работать только с одного аккаунта или игр или чего угодно.
Чтобы включить эту возможность, надо зайти в Настройки -> Приложения -> Склонированные приложения (Settings > Apps > Cloned Apps)
Для нас это значит, что может быть сильно проще тестировать разные баги, связанные с некорректной авторизацией, иметь несколько приложений с разными аккаунтами или просто не бояться совсем «убить» один из клонов.
А на самом деле, это сильно напоминает историю с твиками для Jailbreak. Apple долгое время (и по сей день), борется с джейлом, но самые популярные твики со временем были перенесены в сам iOS. Раз люди этим активно пользуется, значит это может быть удобно и полезно.
И этом случае все аналогично, огромное количество приложений, которые помогают клонировать приложения на Android и вот эта фича уже в релизе :) Удобно!
#android #clone #news
XDA
Android 14 could let you clone apps so you can use two accounts at the same time
Android 14 is preparing to add an app cloning feature that will let you clone an app so you can use two accounts at the same time.
Подборка историй о взломах мобильных приложений
Всем привет!
Недавно пришла в голову идея составить небольшую подборку из громких в свое время историй про взлом мобильных приложений. То есть о тех историях, которые получили публичную известность благодаря СМИ и немного пошумели.
Мне кажется, что получилось достаточно неплохо, по крайней мере мне самому было интересно ее перечитать после публикации.
Так что приятного и легкого чтения =)
#news #vulns
Всем привет!
Недавно пришла в голову идея составить небольшую подборку из громких в свое время историй про взлом мобильных приложений. То есть о тех историях, которые получили публичную известность благодаря СМИ и немного пошумели.
Мне кажется, что получилось достаточно неплохо, по крайней мере мне самому было интересно ее перечитать после публикации.
Так что приятного и легкого чтения =)
#news #vulns
securitymedia.org
ТОП компаний, чьи уязвимые мобильные приложения нанесли реальный вред бизнесу
Юрий ШабалинГенеральный директор СтингрейТехнолоджиз
Отсутствие проблем безопасностив мобильных приложениях не менее важно,чем защищенность серверной части.Этозаявление должно быть аксиомой, но в немпродолжают сомневаться - многим кажется,что мобильные приложения…
Отсутствие проблем безопасностив мобильных приложениях не менее важно,чем защищенность серверной части.Этозаявление должно быть аксиомой, но в немпродолжают сомневаться - многим кажется,что мобильные приложения…