Mobile AppSec World
5.3K subscribers
142 photos
8 videos
19 files
675 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
URI Spoofing в клиенте мессенджера Signal для iOS

Достаточно необычная уязвимость в мессенджере Signal опубликовали исследователи.

В клиенте нашли инъекцию RTLO (RightToLeftOverride), которые позволяли отправлять пользователям ссылки, которые выглядели как нормальные, но вели на совершенно другой домен (тот, который читался справа налево). К примеру, можно отправить ссылку:
example.com/#files/ten.jpeg

Вставить перед ней специальный символ «обратного чтения» и клиент загрузит на самом деле адрес:
gepj.net/selif#/moc.elpmaxe


Гениально)) Регистрируем нужные домены и вперёд!

Интересная техника, раньше о ней не слышал, надо будет как-нибудь проверить при анализе приложений, как они обрабатывают подобные символы

#ios #signal #vulnerability
Статья от OverSecured - Android security checklist: theft of arbitrary files

Сегодня прекрасный день на контент, несмотря на то, что выходной. Вышла новая статья от OverSecured, на этот раз про типичные уязвимости при работе с файлами.

В статье разобраны основные недостатки приложений, которые позволяют получить доступ к внутренним файлам приложения, которые по моему опыту нередко хранят в себе много интересной информации в открытом виде.

Ну и в дополнении, одна из предыдущих статей про уязвимости в WebView дополнилась еще одним пунктом, на который точно стоит обратить внимание.

Как обычно (спасибо автору @bagipro за это), статья содержит детальные описания, примеры кода, реальные срабатывания и даже несколько PoC для эксплуатации. Люблю такие статейки.

Всем приятного чтения и хороших выходных!

#Oversecured #android #files #vulnerability #filestheft