Mobile AppSec World
5.3K subscribers
142 photos
8 videos
19 files
675 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
Forwarded from Android Guards
Google сделал удобную страничку с security best practices по разным разделам:

- шифрование
- определение небезопасной среды выполнения
- аутентификация и биометрия
- обмен данными

плюс есть разделы по смежным темам. Выглядит неплохо.

#4developers #google

https://developer.android.com/security?linkId=97069982
Улучшения экрана блокировки и аутентификации в Android 11

Вышла ещё в сентябре интересная статья, которая в подробностях описывает механизмы разблокировки экрана и ограничения, связанные со способом разблокировки.

То есть, если вы разблокировали экран наименее безопасным, с точки зрения Android способом, например через Bluetooth девайс, вам будет доступно намного меньше возможностей, чем когда вы разблокируете телефон вводом пароля.

Достаточно логичная предосторожность :)

#Android #Google #Auth
Улучшение механизмов безопасности на основе данных

Неплохая статья от Google по механизмам защиты в Android и как они выбираются и внедряются.

Увлекательный рассказ о том, как именно определяется области а Android, которые требуют усиления безопасности. Google анализируют данные от внешней программы багбаунти, от внутренних пентестов (их команда Red Team), а так же данные с фаззеров на эмуляторах и реальных устройствах.

Интересно почитать, про то, что делает такой гигант для безопасности своей платформы 😁

#Android #Google #Data
​​Мы теряем таланты!

Новость уже немного поросла мхом, но тем не менее 😄

Создатель и, что логично, основной разработчик magisk (утилита или набор скриптов для модификации Android, а так же сокрытия этого факта от системы и остальных приложений), перешел в команду безопасности Android, о чем сообщил в своем твиттере.

Очень неплохая статья на русском на Хабре, с обсуждением, к чему это может привести и чего дальше ждать. Как мне кажется, особо ничего хорошего для проекта Magisk :(

И это не первый и, думаю, не последний ход Google по найму людей, которые умеют качественно ломать Android в свою команду безопасности. Сначала @B3nac, потом автор magisk, интересно, кто будет следующим? Есть у меня один знакомый на примете 😅😅😅

Но, поживём, увидим!

Всем хороших выходных!

#magisk #google #hiring
Выполнение произвольного кода в приложении Google

Отличная пятничная статья (хоть она и вышла несколько дней назад, но для меня она пятничная) про очень крутую уязвимость в приложении Google от уникальной компании Oversecured!

Уязвимость persistent local code execution. позволяет выполнить произвольный код в контексте приложения Google, а это значит получить очень и очень широкие возможности в системе. При этом достаточно всего одного запуска вредоносного приложения, для того, чтобы зловредный модуль остался в системе и делал свои темные дела.

Что мне нравится в этой статье, так это реально крутая связка уязвимостей, которая привела к возможности проведения подобной атаки. И более того, про каждый элемент этой цепочки можно прочитать в соответствующей статье от Oversecured. И это действительно круто. Если вы еще не читали про различные техники эксплуатации - советую начать с этой статьи и прочитать все кросс-ссылки, это безумно интересно.

Всем приятного чтения и хороших выходных!

#Google #Vulnerability #Oversecured
Что такое SafetyNet и зачем он нужен

Нашел неплохой 40 минутный подкаст на тему SafetyNet, что это такое, зачем нужно, какие плюсы и минусы.

Краткий тайминг, что внутри:
• 02:09 - What is SafetyNet and what does it do?
• 06:41 - How do modders get around SafetyNet?
• 11:22 - What advantages does each side of this battle have?
• 15:33 - What is hardware attestation? What makes it hard to break? Can it be bypassed?
• 24:50 - What options do developers have in ensuring their apps are operating in safe envrionments?
• 32:26 - What's the overall outlook as Google begins to replace SafetyNet with its new Play Integrity API?

Должно быть интересно тем, кто задумывается над его использованием.

#google #safetynet #android
Google начнет скрывать приложения, собранные с устаревшей версией TargetSDK

Компания Google предупредила разработчиков, что будут усилены требования к уровню Target API (Android API), для которого собираются приложения.

На практике это означает, что с 1 ноября 2022 года приложения в магазине Google Play не будут доступны для поиска и установки, если при их создании использовался устаревший TargetSDK (срок давности которого превышает два года). По мере выхода новых релизов Android, окно версий, в рамках которого можно указывать целевой уровень, будет меняться соответствующим образом.

Говорят, это только одно из нововведений в политике, так что ожидаем и других новостей. Но, как мне кажется, следующим логичным шагом будет аналогичное “окно“ для установки минимальной версии SDK, которое позволит отсечь совсем уж старые устройства.

#google #android #targetsdk #privacy
Исследование 0-day в «дикой природе»

У Google Project Zero есть интересная серия исследований, в которой они исследуют и описывают 0-day уязвимости, которые встречались в реальной жизни, с реальными примерами эксплуатации и описанием, как именно их применяли.

Данная статья является обзорной по состоянию за первое полугодие 2022 года. Хоть она и является обзорной, на её основе можно найти несколько более интересных докладов, которые более предметно раскрывают аспекты каждой из уязвимостей.

Хоть это и не всегда относится к мобильным приложениям, почитать и послушать про такое всегда интересно.

#0day #ios #google