Mobile AppSec World
5.3K subscribers
142 photos
8 videos
19 files
675 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
Forwarded from Android Guards
Группа LAPSU$ объявила о взломе компании Samsung. В сеть утекло порядка 190Гб данных: исходный код различных продуктов компании, загрузчиков, механизмов аутентификации и идентификации, серверов активации, системы защиты Knox, online-сервисов, API, а также проприетарных компонентов, поставляемых компанией Qualcom.

Кроме этого великолепия, заявляется, что утечка содержит код всех TA-апплетов для TEE, а также код управления ключами модулей DRM и биометрической идентификации. Все это добро можно найти самостоятельно на torrent-ах или взять готовый файлик у бота r0 crew: https://t.me/c/1344358540/91620 (инвайт в канал тоже нужно получать через бота).

Это все грозит нам очень интересными последствиями. Ожидаем волны RCE эксплойтов для смартфонов любимого производителя ;)
Наиболее распространенные уязвимости в мобильных приложениях

Всем привет!

Для начала, простите за длительное молчание, в связи со всеми событиями, да еще и подготовкой самого масштабного релиза, совсем не оставалось времени на то, чтобы что-то публиковать. Но потихоньку дела налаживаются и самое время снова выйти из тени.

И вернуться я хочу с публикации статьи "Наиболее распространенные уязвимости в мобильных приложениях".
Так как мы разрабатываем свой инструмент для динамического анализа, мы постоянно тестируем и анализируем десятки приложений (иногда прям по 10-ку в день получается) и за все время собрали немало статистики и наблюдений. Все эти вещи вылились в статью, в которой я описал наиболее распространенные уязвимости, которые мы находим в приложениях во время анализа.

Как ни странно, но они мало чем отличаются от OWASP, даже не смотря на то, что последняя версия Mobile Top 10 вышла в далеком 2016 году. Я попробовал совместить наши наблюдения и небольшой опыт по способам недопущения этих проблем и как лучше всего было бы сделать те или иные вещи.

Я на самом деле каждый раз переживаю, как будет воспринята та или иная статья и всегда с радостью принимаю замечания, так что пишите, не стесняйтесь, если с чем-то не согласны или где-то есть ошибки и неточности.

Надеюсь эта статья и такой формат зайдут, так как я хочу попробовать выдерживать некоторую регулярность и раз в неделю-две писать новые статьи и материалы на основе нашего опыта и наших данных. На это меня сподвигло понимание того, как на самом деле немного годного материала на русском языке про безопасность мобильных приложений.
Сейчас я составляю некоторую подборку и понимаю, что основным контент-мейкером является @OxFi5t, за что ему огромное спасибо! Ну и я постараюсь внести свой небольшой вклад в это замечательное дело 😁

Всем хорошей недели и приятного чтения!

#Android #iOS #Habr
RCE в Evernote

И снова в главной роли приложение Evernote!

После того, как @bagipro написал пост про обнаружение в нём кучи дырок, я думал, они задумались над безопасностью, но похоже, что не очень.

Исследователь обнаружил возможность перезаписи произвольных файлов через Path Traversal, ну и как следствие, перезапись .so файлов и выполнение произвольного кода.

Интересно на самом деле почитать дискуссию автора и компании на H1, сколько он сделал для того, чтобы они поняли, в чем бага и как её просплойтить :) ну и код можно подрезать))

Такие дисклозы ещё раз подтверждают необходимость тщательно следить за входными данными от пользователя 😄

Ну и конечно, надо отдать должное, функционал, в котором бага была найдена достаточно интересный и специфичный.

Приятного чтения!

#android #h1 #rce #evernote
Что такое SafetyNet и зачем он нужен

Нашел неплохой 40 минутный подкаст на тему SafetyNet, что это такое, зачем нужно, какие плюсы и минусы.

Краткий тайминг, что внутри:
• 02:09 - What is SafetyNet and what does it do?
• 06:41 - How do modders get around SafetyNet?
• 11:22 - What advantages does each side of this battle have?
• 15:33 - What is hardware attestation? What makes it hard to break? Can it be bypassed?
• 24:50 - What options do developers have in ensuring their apps are operating in safe envrionments?
• 32:26 - What's the overall outlook as Google begins to replace SafetyNet with its new Play Integrity API?

Должно быть интересно тем, кто задумывается над его использованием.

#google #safetynet #android
Что нового в Android 13?

Очень подробное описание практически всех нововведений и изменений в новой версии Android 13 было опубликовано некоторое время назад.

Конечно, эта статья не очень из мира ИБ, но почитать все равно очень интересно, что и как улучшают в своей системе Google, где и что пришло к ним от Apple (и можно еще попробовать угадать, что появится в следующей версии iOS из этого списка).

Интереснее всего почитать про Platform Changes и API Updates, а так же про изменения в Privacy Dashboard

Приятного чтения!

#Android13 #changes #updates
Google начнет скрывать приложения, собранные с устаревшей версией TargetSDK

Компания Google предупредила разработчиков, что будут усилены требования к уровню Target API (Android API), для которого собираются приложения.

На практике это означает, что с 1 ноября 2022 года приложения в магазине Google Play не будут доступны для поиска и установки, если при их создании использовался устаревший TargetSDK (срок давности которого превышает два года). По мере выхода новых релизов Android, окно версий, в рамках которого можно указывать целевой уровень, будет меняться соответствующим образом.

Говорят, это только одно из нововведений в политике, так что ожидаем и других новостей. Но, как мне кажется, следующим логичным шагом будет аналогичное “окно“ для установки минимальной версии SDK, которое позволит отсечь совсем уж старые устройства.

#google #android #targetsdk #privacy
Обход RASP (Runtime Application Security Protection)

Совсем недавно, на одной из конференций был сделан доклад под названием «Forging golden hammer against Android app protections».

Этот доклад посвящен проверкам различных инструментов защиты в рантайме, таким как шифрование кода приложения, поиск отладчика, Frida и многое-многое другое.

Доклад очень крутой! Есть видеозапись выступления и репозиторий со слайдами и скриптами (активно наполняется). Сейчас там скрипты для Ghidra, но предполагается что все остальное тож добавит, что есть в видео).

Я пока пролистал слайды и оставил видео на более подробный разбор, так как чувствую, там придется ещё по ходу пьесы гуглить :) но выглядит очень круто, особенно часть про Frida и способ хуков с многопоточностью и хуками на ещё не загруженные классы.

Всем хороших выходных!

#rasp #frida #ghidra #android
CVE-2021-30737 (Memory corruption in ASN.1 decoder) - Writeup по writeup’у

Довольно интересную статью нашел, можно считать её описанием на описание уязвимости или writeup на writeup 😄

Оригинальный баг был найден в 2021 году и по нему написан достаточно увлекательное описание, как он был найден и в чем заключалась проблема.

Новый пост это скорее заметки, дополнения и размышления, как мог произойти баг в парсинге и обработке ASN.1 в iOS и где ещё можно поискать подобные уязвимости.

На самом деле читать такие статьи очень полезно, даже безотносительно самой уязвимости в iOS. Например, чтобы побольше узнать об ASN.1 и способах работы, учитывая что я с ним почти не сталкивался.

Приятного чтения и хорошей недели!

#iOS #vulnerability #writeup
Подборка материалов по мобильной безопасности «Awesome Mobile Security»

Всем привет!

В очередной раз, пока искал в истории канала какую-то ссылку на видео, решил что пора заканчивать с таким неблагородным делом и оформлять все материалы, которые скопились в представительный вид.

Из этого вылилось два репозитория на гитхабе с подборками всех материалов, которые были в канале, разбитые по логическим группам. Еще немного покопался в закромах и выудил ссылки на различные CTF и WriteUp по ним для Android. Получились достаточно интересные подборки. Подробнее посмотреть, что вышло можно в статье на Хабр (ну а куда без него).

Основная проблема всех таких репозиториев, что про них забывают и забивают и через месяц они становятся абсолютно неактуальными) Мне бы хотелось такого избежать, поэтому весь контент, что будет появляться в канале в конце недели я буду переносить в репозитории, а потом делать небольшой "дайджест" на Хабр по новостям текущей недели (посмотрим, зайдет ли такой формат).

Всем хорошей недели и приятного чтения, надеюсь, вы найдете для себя что-то новое в материалах.

#Habr #News #Awesome #Android #iOS
Ещё немного про WebView и ошибки при проверке URL

Если вы по какой-то причине пропустили шикарную статью от OverSecured про уязвимости в WebView и способы эксплуатации, то очень рекомендую прочитать!

Ну а для тех, кто хочет начать с чего-то попроще и в принципе понять, почему конструкции вида url.startsWith и url.endsWith иногда бывает недостаточно для валидации ссылок, которые вы открываете в вашем приложении, вышла вот такая статья от автора фреймворка Medusa на базе Frida (кстати, довольно неплохой инструмент).

В статье описан механизм работы deeplink на простейшем примере и рассмотрены базовые ошибки в механизме валидации передаваемых параметров. Написано хорошо, простыми словами, с живыми примерами и очень доступно.

#Android #WebView
Биржа, ценные бумаги, аналитика и маркетинг

Немного не в тему канала пост, но тем не менее, не могу не поделиться.

Если вы увлекаетесь торговлей на бирже, если вам интересно, как это устроено внутри, какие механизмы используют маркетологи и аналитики для привлечения и удержания клиентов, а также интересны разные аналитические и маркетинговые исследования - добро пожаловать на канал «Чайка-маркетинг»!

За контент этого канала могу ручаться головой, руками и всеми частями тела, так как автор - моя жена @Shabaloid (привет тебе) 😄
Обход SSL Pinning для Flutter-приложений с использованием Ghidra

На волне участившихся вопросов про Flutter-приложения (привет, Stepn) и большого количества людей, кто начинает их реверсить и смотреть в трафик, не могу не поделиться статьёй про снятие пиннинга при помощи Ghidra.

Статья представляет из себя последовательность действий, что делал автор, как искал и что заменял в libflutter.so. Интересно почитать, как он прошел этот путь, чем руководствовался и что в итоге получилось. Как обычно бывает, достаточно много референсов на другие не менее интересные статьи.

Можно попробовать это повторить или попробовать скачать уже модифицированный файл и его заменить в анализируемом приложении.

#Flutter #Android #Ghidra #pinning
Обход проверок на jailbreak, решение CTF от r2con2020

На прошедшей в прошлом году конференции r2con было множество крутых докладов и конечно, интересных CTF.

Небольшая статья о прохождении одного из CTF, а именно о втором задании в iOS, где необходимо было обойти проверку на jailbreak и как минимум запустить приложение.

Само собой, обычные решения, вроде objection не работают, поэтому приходится реверсить и смотреть, как это работает и какие проверки есть. Именно об этом и пишет автор статьи, как он прошел этот квест используя только radare2 и Frida.

Интересно почитать, особенно прикольная штука небольшой снипет-хак для SpringBoard, который предотвращает убийство процесса, если он не запустился воворемя (чтобы успеть отловить или захукать frid’ой нужные вещи).

#frida #ios #radare2 #ctf
Собираем пропавшие инструменты!

Друзья, если у вас есть аналогичные проекты, которые мы потеряли, но у вас есть форк или копия, поделитесь ими и соберем список актуальных репозиториев.
Forwarded from Android Guards
По непонятным, на текущий момент, причинам - с github-а пропал репозиторий reFlutter-а. Пропал не только он, но это уже совсем другая история... Автор сутки не спал, ползал по дискетам и по частям собирал останки погибших программ. Теперь у reFlutter-а новый дом: https://github.com/Impact-I/reFlutter. Поддержите звездочками и обязательно заведите полезный issue, а то и отправьте PR.
Хуки для Frida напрямую из Jeb

Недавно, после очередного релиза jadx, я писал про возможность создать Frida-скрипт напрямую из инструмента.

Вот и Jeb тоже недалеко ушел. Ну, вернее, не совсем он, а написанный для этого плагин, но, тем не менее, интеграция давно напрашивалась и здорово, что такие крутые инструменты начинают взаимодействовать друг с другом!

Я не использую Jeb, но если кто-то уже пробовал или попробовал, как эта штука работает, дайте знать!)

#jeb #frida #integration #android
iOS Hacking - гайд для новичков

Автор не обманул, гайд и действительно для новичков. Хорошо структурированный, описывающий основные концепции что и где можно поискать, но не сильно подробный. Мне намного больше понравился гайд на русском, от нашего соотечественника, куда более тщательно и основательно подготовленный.

Что полезного, можно дернуть некоторые регекспы и команды для поиска нужной информации, как например строка для поиска IBAN, который до недавнего времени как-то проходил мимо меня:

IBAN: [a-zA-Z]{2}[0-9]{2}[a-zA-Z0-9]{4}[0-9]{7}([a-zA-Z0-9]?){0,16}

Так что вывод простой, даже в кажущихся на первый взгляд простых статьях, из которых не ожидаешь получить чего-то интересного, всегда можно получить что-то полезное (ну или освежить знания и понять, что в целом всё не так и плохо).

#ios #guide
Первый дайджест на Хабр

Всем привет!
Сегодня вышел первый дайджест "Неделя мобильной безопасности (9-15 апреля)" на Хабр.

По факту, это подборка материала с канала за неделю. Возможно, кому-то в таком консолидированном виде будет удобнее читать, что же нового было в мире мобильного ИБ.

Если эксперимент окажется успешным и формат зайдет, то каждую неделю в пятницу или субботу я буду публиковать такую подборку и обновлять ссылки в репозиториях Awesome iOS Security и Awesome Android Security.

Всем хороших выходных!

#habr #news #awesome
Обход биометрической аутентификации в WhatsUp

Достаточно интересный баг нашел один из исследователей в приложении WhatsUp.

В WhatsUp можно настроить экран блокировки, чтобы после определенного периода неактивности пользователя нельзя было прочитать чаты, позвонить и т.д. Суть обхода заключалась в том, что достаточно было позвонить на этот номер и счетчик времени сбрасывался и считал, что пользователь ещё активен.

Стандартная ошибка логики в приложении, от которой никто не защищен, даже у Apple была бага, связанная с неправильным инкрементом счетчика пинкода от устройства, что позволяло перебрать полностью все 4-х значные коды за 48 часов.

Статья достаточно небольшая и легкая, но кейс прикольный)

#whatsup #android #bugbounty
Получение трафика с Android Emulator

Наверное, самая подробная и простая статья, которую я видел по процессу заворачивания трафика с эмулятора в бурп.

Начиная от того, как собственно поставить и настроить эмулятор, как получить на нем нужные права, поставить magisk, добавить нужные плагины и наконец, добавить сертификат в системные и пустить весь трафик через burp suite.

В статье прям на каждый пункт по одному-два скрина, так что если это ваш первый раз, то этот материал будет отличным подспорьем в разворачивании рабочего пространства

#Android #network #emulator
Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом

Очень часто и много вопросов в разных чатах и на тренингах вызывает тема защиты канала связи, а именно SSL Pinning. Попробовать рассказать, что это такое, а также, к чему может привести отстутствие этого механизма я попробовал в статье "Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом".

Но на самом деле, прежде чем говорить о пиннинге, нужно понимать, что вообще происходит при взаимодействии клиента и сервера, как проходит установка безопасного соединения и еще несколько базовых вещей.
Я постарался описать все эти вещи максимально просто, так, как сам их понимаю, и надеюсь, что этот материал будет полезен тем, кто хочет сделать свой продукт более безопасным и разобраться, как работает этот механизм.

Я старался, так что, надеюсь, вам понравится!

Всех с понедельником и хорошей недели!

#Habr #SSL #Pinning