Переход на 64-битную архитектуру в Android
Как мы знаем, ещё в далеком 2017 (блин, 5 лет прошло уже 😰), Apple полностью отказалась от поддержки 32-битных приложений и этой архитектуры как таковой. Google же, в свою очередь нет-нет, да и посматривал на своего оппонента и вот, долгожданные новости. В ближайшее время компания планирует отказаться от поддержки x86!
Уже сейчас, в новых линейках процессоров из 8 доступных ядер для выполнения 32-битных операций будут доступны только 3 ядра. А к следующему году планируется полностью исключить их выполнение.
Android давно к этому готовился и вот, Android 12 первая версия операционной системы, которая поддерживает выполнение только 64-битных приложений! Небольшая выдержка из статьи:
The latest revision to the CDD explicitly requires device makers to build 32-bit Android for low RAM devices. The goal is to reduce the types of Android builds to two — Android 32-bit only and Android 64-bit only — to reduce fragmentation until 32-bit support can be fully deprecated years from now.
Больше подробностей в статье. За что мне нравится этот ресурс - это огромное количество ссылок в процессе повествования, по которым интересно походить и прочитать интересующую информацию.
#android #fragmentation #x86 #x64
Как мы знаем, ещё в далеком 2017 (блин, 5 лет прошло уже 😰), Apple полностью отказалась от поддержки 32-битных приложений и этой архитектуры как таковой. Google же, в свою очередь нет-нет, да и посматривал на своего оппонента и вот, долгожданные новости. В ближайшее время компания планирует отказаться от поддержки x86!
Уже сейчас, в новых линейках процессоров из 8 доступных ядер для выполнения 32-битных операций будут доступны только 3 ядра. А к следующему году планируется полностью исключить их выполнение.
Android давно к этому готовился и вот, Android 12 первая версия операционной системы, которая поддерживает выполнение только 64-битных приложений! Небольшая выдержка из статьи:
The latest revision to the CDD explicitly requires device makers to build 32-bit Android for low RAM devices. The goal is to reduce the types of Android builds to two — Android 32-bit only and Android 64-bit only — to reduce fragmentation until 32-bit support can be fully deprecated years from now.
Больше подробностей в статье. За что мне нравится этот ресурс - это огромное количество ссылок в процессе повествования, по которым интересно походить и прочитать интересующую информацию.
#android #fragmentation #x86 #x64
www.esper.io
Android 12 ultimate compatibility guide — all the changes for enterprise and device makers
Ready to build Android 12? If you plan to include GMS in your software, you'll need to meet Android 12's compatibility requirements.
Переподпись IPA-файлов для iOS без срока действия!
Спасибо @vadimszzz за отличную новость!
Не так давно был обнаружен интересный баг в iOS, из-за которого CoreTrust система доверяет любому корневому сертификату. И спустя некоторое время появились PoC для эксплуатации этой уязвимости. А теперь, появился специальный инструмент, который полностью автоматизирует переподпись приложения для эксплуатации этой баги
Используя утилиту из репозитория, можно переподписать любое приложение и оно не будет требовать обновления доверию профиля каждые 6 дней.
Но зачем так сложно, спросите вы, ведь на jailed-устройствах есть замечательный AppSync Unified, который как раз убирает проверку подписи и позволяет запускать неподписанные приложения. А вся соль в том, что перепакованное таким образом приложение будет работать всегда, даже если джейл слетел или вы его убрали. То есть, джейлим устройство, переподписываем и устанавливаем приложение, убираем джейл, все работает так же, как и раньше!
В некоторых случаях это работает и с джейлом от unc0ver, для которого нужно запустить специальное приложение (хоть и не всегда). В теории, если скрипт дотюнят до того, чтобы он всегда гарантировано запускал unc0ver, это снимет очень много проблем и боли, когда джейл слетает и его необходимо переставить. Не будет необходимости нести устройство к компу.
На Reddit есть большой тред, посвященный этому репозиторию и возникающим проблемам.
Enjoy!
#permasigner #ios #jailbreak #CoreTrust #resign
Спасибо @vadimszzz за отличную новость!
Не так давно был обнаружен интересный баг в iOS, из-за которого CoreTrust система доверяет любому корневому сертификату. И спустя некоторое время появились PoC для эксплуатации этой уязвимости. А теперь, появился специальный инструмент, который полностью автоматизирует переподпись приложения для эксплуатации этой баги
Используя утилиту из репозитория, можно переподписать любое приложение и оно не будет требовать обновления доверию профиля каждые 6 дней.
Но зачем так сложно, спросите вы, ведь на jailed-устройствах есть замечательный AppSync Unified, который как раз убирает проверку подписи и позволяет запускать неподписанные приложения. А вся соль в том, что перепакованное таким образом приложение будет работать всегда, даже если джейл слетел или вы его убрали. То есть, джейлим устройство, переподписываем и устанавливаем приложение, убираем джейл, все работает так же, как и раньше!
В некоторых случаях это работает и с джейлом от unc0ver, для которого нужно запустить специальное приложение (хоть и не всегда). В теории, если скрипт дотюнят до того, чтобы он всегда гарантировано запускал unc0ver, это снимет очень много проблем и боли, когда джейл слетает и его необходимо переставить. Не будет необходимости нести устройство к компу.
На Reddit есть большой тред, посвященный этому репозиторию и возникающим проблемам.
Enjoy!
#permasigner #ios #jailbreak #CoreTrust #resign
Worth Doing Badly
Get root on macOS 12.3.1: proof-of-concepts for Linus Henze’s CoreTrust and DriverKit bugs (CVE-2022-26766, CVE-2022-26763)
Here are two proof-of-concepts for CVE-2022-26766 (CoreTrust allows any root certificate) and CVE-2022-26763 (IOPCIDevice::_MemoryAccess not checking bounds at all), two issues discovered by @LinusHenze and patched in macOS 12.4 / iOS 15.5.
Большая энциклопедия Android-malware
Не так давно кто-то спрашивал про сэмплы зловредов под Androd. Тогда я скинул репозиторий, который содержит определенное их количество и периодически обновляется.
Но вот намного более интересный вариант под названием Androscope, поиск по вредоносам, а точнее по их функционалу. То есть, с его помощью можно найти все семплы, которые записывают видео с экрана или используют наложение, отреверсить их и понять, как они это имплементируют.
Очень интересный проект, для аналитиков самое то!
А вот небольшая статья по его функционалу.
#Android #Malware #reverse
Не так давно кто-то спрашивал про сэмплы зловредов под Androd. Тогда я скинул репозиторий, который содержит определенное их количество и периодически обновляется.
Но вот намного более интересный вариант под названием Androscope, поиск по вредоносам, а точнее по их функционалу. То есть, с его помощью можно найти все семплы, которые записывают видео с экрана или используют наложение, отреверсить их и понять, как они это имплементируют.
Очень интересный проект, для аналитиков самое то!
А вот небольшая статья по его функционалу.
#Android #Malware #reverse
Слайды с доклада по рефакторингу MASVS и MSTG
В начале июня прошел OWASP Virual AppSec 2022, на котором в том числе был доклад про текущий статус переработки двух основных документов по мобилам от оваспа.
Ну что сказать, ребята молодцы, как и обещали потихоньку вместе с сообществом лопатят наши основные документы, которые мы так часто используем.
Из интересного, и что в очередной раз хочется отметить:
1. Документы теперь будут связаны между собой намного сильнее
2. В MSTG должны появиться атомарные проверки на каждое требование (то есть будет понятнее что и как проверять)
3. Существенная переработка требований в каждом разделе
4. Отчетики в PDF и способы автоматизации
Так что все идет к тому, что в этом году мы таки увидим долгожданный релиз и новую «более лучшую версию»!
#owasp #mstg #masvs
В начале июня прошел OWASP Virual AppSec 2022, на котором в том числе был доклад про текущий статус переработки двух основных документов по мобилам от оваспа.
Ну что сказать, ребята молодцы, как и обещали потихоньку вместе с сообществом лопатят наши основные документы, которые мы так часто используем.
Из интересного, и что в очередной раз хочется отметить:
1. Документы теперь будут связаны между собой намного сильнее
2. В MSTG должны появиться атомарные проверки на каждое требование (то есть будет понятнее что и как проверять)
3. Существенная переработка требований в каждом разделе
4. Отчетики в PDF и способы автоматизации
Так что все идет к тому, что в этом году мы таки увидим долгожданный релиз и новую «более лучшую версию»!
#owasp #mstg #masvs
Фишинговая компания в Facebook
В целом, в новости про фишинговые рассылки и их компании внутри соц.сетей это достаточно распространенная вещь, особенно учитывая огромное количество последних, ну и способов это провернуть также достаточно много, а некоторые из них еще и продают на курсах (схема серая, время чтения 13 минут) 😄
В данном конкретном случае пользователь жмет на ссылку от своего друга в FB messenger, попадает на страницу псевдо-логина в Facebook, вводит или не вводит креды и его редиректят на страницу с рекламой. Все просто, ты либо получил аккаунт пользователя, либо заработал на рекламе (а может и то и другое). Если верить отчету, то за время работы этой компании злоумышленники только на рекламе могли заработать порядка 59 млн $.
Что интересно, и уже стало стандартом качества для фишинга, это использование сервисов для сокращения ссылок и большой череды редиректов со страницу на страницу таким образом, чтобы система соц.сети не могла запретить отследить использование зловредного домена и заблокировать его. А блокировка легитимных сервисов повлечет за собой потерю работоспособности многих обычных сервисов.
Судя по исследованию, огромное количество пользователей вбивают свои данные на эти страницы, что для меня до сих пор удивительно. Столько информации и столько различных историй и обучений, что не надо вводить свои кровные данные в непонятные формочки, но все равно с завидной регулярность пользователи сами отдают свои логины и пароли в руки злоумышленникам. Вопрос почему и зачем?)
Есть у меня идея по фишингу для версий Android < 11, это использование Task Hijacking для подмены приложения. Пользователю приходит валидный диплинк, он его открывает, запускается "правильное приложение", где мы вводим свои данные и после открывается целевое приложение. Абсолютно прозрачно для пользователя и не вызывает вопросов. На такое может кто и купился бы)) Но вот вбивать свои логины и пароли на левый сайт и потом смотреть рекламу, ну как-то для меня странно.
Но сам факт интересен, конечно, что на протяжении практически года эта компания живет в автоматическом режиме и собирает деньги с рекламы и данные пользователей.
А вы когда-то попадались на фишинг?
#phishsing #facebook #ad
В целом, в новости про фишинговые рассылки и их компании внутри соц.сетей это достаточно распространенная вещь, особенно учитывая огромное количество последних, ну и способов это провернуть также достаточно много, а некоторые из них еще и продают на курсах (схема серая, время чтения 13 минут) 😄
В данном конкретном случае пользователь жмет на ссылку от своего друга в FB messenger, попадает на страницу псевдо-логина в Facebook, вводит или не вводит креды и его редиректят на страницу с рекламой. Все просто, ты либо получил аккаунт пользователя, либо заработал на рекламе (а может и то и другое). Если верить отчету, то за время работы этой компании злоумышленники только на рекламе могли заработать порядка 59 млн $.
Что интересно, и уже стало стандартом качества для фишинга, это использование сервисов для сокращения ссылок и большой череды редиректов со страницу на страницу таким образом, чтобы система соц.сети не могла запретить отследить использование зловредного домена и заблокировать его. А блокировка легитимных сервисов повлечет за собой потерю работоспособности многих обычных сервисов.
Судя по исследованию, огромное количество пользователей вбивают свои данные на эти страницы, что для меня до сих пор удивительно. Столько информации и столько различных историй и обучений, что не надо вводить свои кровные данные в непонятные формочки, но все равно с завидной регулярность пользователи сами отдают свои логины и пароли в руки злоумышленникам. Вопрос почему и зачем?)
Есть у меня идея по фишингу для версий Android < 11, это использование Task Hijacking для подмены приложения. Пользователю приходит валидный диплинк, он его открывает, запускается "правильное приложение", где мы вводим свои данные и после открывается целевое приложение. Абсолютно прозрачно для пользователя и не вызывает вопросов. На такое может кто и купился бы)) Но вот вбивать свои логины и пароли на левый сайт и потом смотреть рекламу, ну как-то для меня странно.
Но сам факт интересен, конечно, что на протяжении практически года эта компания живет в автоматическом режиме и собирает деньги с рекламы и данные пользователей.
А вы когда-то попадались на фишинг?
#phishsing #facebook #ad
Pixm Anti-Phishing
Phishing tactics: how a threat actor stole 1M credentials in 4 months
Free Web tutorials
Выше пример того, как может сработать красивый фишинг в андроид 😎
Открываем из лаунчера / через диплинк Google Play, видим экран аутентификации, вводим креды - открывается наш любимый магазин приложений, ну а злоумышлееник получает наши логин и пароль к себе.
Вот это я понимаю фишинг!
Открываем из лаунчера / через диплинк Google Play, видим экран аутентификации, вводим креды - открывается наш любимый магазин приложений, ну а злоумышлееник получает наши логин и пароль к себе.
Вот это я понимаю фишинг!
Как написать собственный эмулятор
Огненная статья по написанию самого худшего эмулятора Android в мире (да, она именно так и называется).
Статья очень информативная и интересная, покрывает широкий спектр различных тем, ведь чтобы написать эмулятор, нужно абсолютно точно понимать, как работает операционная система, которую мы собираемся эмулировать. В данном случае в статье покрыты темы:
• Базовая архитектура операционной системы Android
• Что такое системные вызовы
• Как обрабатываются системные вызовы в AArch64
• Как работает сопоставление памяти
• Как операционная система загружает ELF в память и запускает его
• Как эмулировать поведение операционной системы для загрузки ELF в память и его запуска
Советую всем неравнодушным к Android!
#android #emulator #rust
Огненная статья по написанию самого худшего эмулятора Android в мире (да, она именно так и называется).
Статья очень информативная и интересная, покрывает широкий спектр различных тем, ведь чтобы написать эмулятор, нужно абсолютно точно понимать, как работает операционная система, которую мы собираемся эмулировать. В данном случае в статье покрыты темы:
• Базовая архитектура операционной системы Android
• Что такое системные вызовы
• Как обрабатываются системные вызовы в AArch64
• Как работает сопоставление памяти
• Как операционная система загружает ELF в память и запускает его
• Как эмулировать поведение операционной системы для загрузки ELF в память и его запуска
Советую всем неравнодушным к Android!
#android #emulator #rust
fuzzing.science
Rudroid - Writing the World's worst Android Emulator in Rust 🦀 | fuzzing.science
Introduction
Розыгрыш билета на OFFZONE 2022
Всем привет! Напомню, что у нас продолжается конкурс, победитель которого получит билет на конференцию OFFZONE!
Участвуем, не забываем, скоро подведение итогов :)
Всем привет! Напомню, что у нас продолжается конкурс, победитель которого получит билет на конференцию OFFZONE!
Участвуем, не забываем, скоро подведение итогов :)
Telegram
Mobile AppSec World
Розыгрыш на конференцию OFFZONE 2022 #2
Всем привет и с пятницей!
Друзья, как обещал, розыгрыш второй проходки на конференцию OFFZONE 2022, которая пройдет 25-26 августа в Москве!
Сегодня все больше и больше приложений пишут на кроссплатформенных фреймворках…
Всем привет и с пятницей!
Друзья, как обещал, розыгрыш второй проходки на конференцию OFFZONE 2022, которая пройдет 25-26 августа в Москве!
Сегодня все больше и больше приложений пишут на кроссплатформенных фреймворках…
Обновление Mitre - добавлена матрица угроз по мобилкам
Не так давно произошло очередное обновление матрицы MITRE ATT&CK и главным для нас нововведением стала матрица по мобилкам. Причем включает она в себя как атаки на устройство, так и атаки на приложения. Очень интересные данные, на которые можно теперь ссылаться при составлении модели угроз и в целом посмотреть, каким актуальным проблемам подвержены мобильные приложения и устройства.
Для тех, кто не в курсе, что это такое и почему это очень ценная информация, рекомендую прочитать пост и перевод этой модели от компании Positive Technolodgies от конца прошлого года. Ну а тем, кому лень, приведу небольшую выдержку про что это.
Если коротко, матрица MITRE ATT&CK — это база знаний, разработанная и поддерживаемая корпорацией MITRE на основе анализа реальных APT-атак. Представляет собой список тактик[1]. Для каждой из них указаны возможные техники, которые помогают злоумышленникам в достижении цели на текущем этапе атаки.
Впервые презентовали матрицу в 2013 году как способ описания и составления паттернов поведения злоумышленников на основе реальных наблюдений. С тех пор ATT&CK значительно эволюционировала благодаря вкладу сообщества по кибербезопасности: эксперты со всего мира регулярно отправляют в MITRE данные о новых, ранее неизвестных приемах.
Можно сказать, что по большому счету матрица — это историческая справка о том, какие техники и методы пользовались популярностью у киберпреступников ранее, а также свежий взгляд на модель киберугроз через призму техник, которые хакеры активно применяют сейчас.
#mitre #attack #ck #mobilematrix #mobilematrix
Не так давно произошло очередное обновление матрицы MITRE ATT&CK и главным для нас нововведением стала матрица по мобилкам. Причем включает она в себя как атаки на устройство, так и атаки на приложения. Очень интересные данные, на которые можно теперь ссылаться при составлении модели угроз и в целом посмотреть, каким актуальным проблемам подвержены мобильные приложения и устройства.
Для тех, кто не в курсе, что это такое и почему это очень ценная информация, рекомендую прочитать пост и перевод этой модели от компании Positive Technolodgies от конца прошлого года. Ну а тем, кому лень, приведу небольшую выдержку про что это.
Если коротко, матрица MITRE ATT&CK — это база знаний, разработанная и поддерживаемая корпорацией MITRE на основе анализа реальных APT-атак. Представляет собой список тактик[1]. Для каждой из них указаны возможные техники, которые помогают злоумышленникам в достижении цели на текущем этапе атаки.
Впервые презентовали матрицу в 2013 году как способ описания и составления паттернов поведения злоумышленников на основе реальных наблюдений. С тех пор ATT&CK значительно эволюционировала благодаря вкладу сообщества по кибербезопасности: эксперты со всего мира регулярно отправляют в MITRE данные о новых, ранее неизвестных приемах.
Можно сказать, что по большому счету матрица — это историческая справка о том, какие техники и методы пользовались популярностью у киберпреступников ранее, а также свежий взгляд на модель киберугроз через призму техник, которые хакеры активно применяют сейчас.
#mitre #attack #ck #mobilematrix #mobilematrix
Хабр
А можно по-русски? Можно: делимся интерактивной и user-friendly матрицей MITRE ATT&CK на русском языке…
…а также способами обнаружения вредоносных техник в сетевом трафике Чтобы специалистам по кибербезопасности было проще раскладывать по полочкам действия атакующих и расследовать атаки, мы решили...
Анализ Flutter-приложений
Компания Guardsquare, производитель DexGuard, выпустила занятную статью про внутренности Flutter и подходу к его анализу.
Так как эта первая статья из обещанного цикла, она не очень сильно раскрывает все нюансы и способы реверса приложений, но как обзорная статья с примерами, отсылками на другие работы и некоторыми подсказками доя упрощения работы самое то!
Во второй статье уже намного больше примеров, объяснений и внутренней кухне Flutter. Много отсылок на различные инструменты доя анализа, скрипты и репозитории (в том числе написанные самими исследователями). Весь свой тулинг для демо выложен в открытый доступ. Так что можно не просто прочитать, а попробовать повторить все шаги в статье, что, наверно является наиболее ценным.
Ну и я уверен, что в следующих статьях мы ещё услышим о reFlutter ;)
#flutter #reverse #dexguard
Компания Guardsquare, производитель DexGuard, выпустила занятную статью про внутренности Flutter и подходу к его анализу.
Так как эта первая статья из обещанного цикла, она не очень сильно раскрывает все нюансы и способы реверса приложений, но как обзорная статья с примерами, отсылками на другие работы и некоторыми подсказками доя упрощения работы самое то!
Во второй статье уже намного больше примеров, объяснений и внутренней кухне Flutter. Много отсылок на различные инструменты доя анализа, скрипты и репозитории (в том числе написанные самими исследователями). Весь свой тулинг для демо выложен в открытый доступ. Так что можно не просто прочитать, а попробовать повторить все шаги в статье, что, наверно является наиболее ценным.
Ну и я уверен, что в следующих статьях мы ещё услышим о reFlutter ;)
#flutter #reverse #dexguard
Guardsquare
Reverse Engineering Flutter Apps | Guardsquare
Doing Flutter reverse engineering can be hard without proper tooling. Learn about the current state and future of reverse engineering flutter apps.
Mobile AppSec World
Демо нашего инструмента для динамического анализа мобильных приложений - Stingray Всем привет! Как многие из вас знают, я занимаюсь разработкой инструмента по динамическому анализу мобильных приложений под названием Стингрей. Недавно мы выпустили большое…
Демо нашего инструмента - Stingray
Всем привет!
Как-то я немного затянул с проведением демо, но на всё есть причины :)
Но наконец-то руки дошли и в среду (20-го июля) в 14:00 мы наконец-то соберемся и я расскажу, чем мы занимаемся и что умеем. Думаю, будет более чем интересно!
Присоединяйтесь, ближе к делу я скину ссылку-приглашение и линк для подключения!
Пообщаемся :)
#stingray #demo
Всем привет!
Как-то я немного затянул с проведением демо, но на всё есть причины :)
Но наконец-то руки дошли и в среду (20-го июля) в 14:00 мы наконец-то соберемся и я расскажу, чем мы занимаемся и что умеем. Думаю, будет более чем интересно!
Присоединяйтесь, ближе к делу я скину ссылку-приглашение и линк для подключения!
Пообщаемся :)
#stingray #demo
Запись общения по теме Как влиться в мир мобильной безопасности
В соседнем канале недавно провели отличный ликбез, как влиться в мир мобильной безопасности и начатьзарабатывать деньги анализировать мобильные приложения.
Очень советую послушать всем, кто хотел бы попробовать себя в этой сфере!
В соседнем канале недавно провели отличный ликбез, как влиться в мир мобильной безопасности и начать
Очень советую послушать всем, кто хотел бы попробовать себя в этой сфере!
Audio
Запись недавнего стрима про то как вкатиться в мобильный инфобез в 2022-м году. Можно слушать на ваших любимых подкаст-площадках или прямо в Telegram. Видео решил не выкладывать, т.к. оно не несет никакой дополнительной ценности.
Сайт подкаста
Show notes:
- Большая подборка полезных ресурсов от экспертов Positive Technologies: от лаб и подкастов до блогеров и сообществ
- Охота за багами: как прокачаться этичному хакеру, чтобы больше зарабатывать на поиске уязвимостей
- Mobile Security Testing Guide
- Открытая лекция: Основы информационной безопасности для мобильных разработчиков
- Блог Oversecured (нужен VPN)
- Блог компании Snyk
Сайт подкаста
Show notes:
- Большая подборка полезных ресурсов от экспертов Positive Technologies: от лаб и подкастов до блогеров и сообществ
- Охота за багами: как прокачаться этичному хакеру, чтобы больше зарабатывать на поиске уязвимостей
- Mobile Security Testing Guide
- Открытая лекция: Основы информационной безопасности для мобильных разработчиков
- Блог Oversecured (нужен VPN)
- Блог компании Snyk
Frida-boot, небольшая презентация по использованию frida
Небольшой 4-х часовой воркшоп по особенностям использования и работы с frida.
Хороший и грамотный материал с практическими примерами и рассказом об особенностях работы фриды, о способах подмен функций и т.д. Примеры не только и не столько для мобильных систем, а применительно и для других языков и ОС тоже.
Очень рекомендую всем, кто хочет больше узнать о динамической инструментации приложений и понять, как она работает.
Доступен в виде видео или слайдов.
#fridaboot #frida #workshop
Небольшой 4-х часовой воркшоп по особенностям использования и работы с frida.
Хороший и грамотный материал с практическими примерами и рассказом об особенностях работы фриды, о способах подмен функций и т.д. Примеры не только и не столько для мобильных систем, а применительно и для других языков и ОС тоже.
Очень рекомендую всем, кто хочет больше узнать о динамической инструментации приложений и понять, как она работает.
Доступен в виде видео или слайдов.
#fridaboot #frida #workshop
Бесплатные курсы по Android и iOS разработке от ГПБ
Всем привет, тут коллеги из ГПБ будут проводить бесплатное обучение)
Если есть время и желание, то можно поучиться чему-то новому)
Всем привет, тут коллеги из ГПБ будут проводить бесплатное обучение)
Если есть время и желание, то можно поучиться чему-то новому)
Газпромбанк приглашает тебя на бесплатные курсы Android/iOS-разработки с оффером для лучших участников!
IT-индустрия остро нуждается в квалифицированных разработчиках. GPB IT Factory готовит именно таких – с нуля, на безвозмездной основе и возможностью трудоустройства для лучших студентов. Подробнее: https://vk.cc/cf6exT
Что тебя ждет:
• 16 недель теории и практики (онлайн-лекции, домашние задания и работа над финальным проектом),
• общение с преподавателями, наставниками и личным ментором,
• сертификат и шанс получить оффер в Газпромбанк по итогам курса.
Подавай заявку: https://vk.cc/cf6exT
IT-индустрия остро нуждается в квалифицированных разработчиках. GPB IT Factory готовит именно таких – с нуля, на безвозмездной основе и возможностью трудоустройства для лучших студентов. Подробнее: https://vk.cc/cf6exT
Что тебя ждет:
• 16 недель теории и практики (онлайн-лекции, домашние задания и работа над финальным проектом),
• общение с преподавателями, наставниками и личным ментором,
• сертификат и шанс получить оффер в Газпромбанк по итогам курса.
Подавай заявку: https://vk.cc/cf6exT
Исследование 0-day в «дикой природе»
У Google Project Zero есть интересная серия исследований, в которой они исследуют и описывают 0-day уязвимости, которые встречались в реальной жизни, с реальными примерами эксплуатации и описанием, как именно их применяли.
Данная статья является обзорной по состоянию за первое полугодие 2022 года. Хоть она и является обзорной, на её основе можно найти несколько более интересных докладов, которые более предметно раскрывают аспекты каждой из уязвимостей.
Хоть это и не всегда относится к мобильным приложениям, почитать и послушать про такое всегда интересно.
#0day #ios #google
У Google Project Zero есть интересная серия исследований, в которой они исследуют и описывают 0-day уязвимости, которые встречались в реальной жизни, с реальными примерами эксплуатации и описанием, как именно их применяли.
Данная статья является обзорной по состоянию за первое полугодие 2022 года. Хоть она и является обзорной, на её основе можно найти несколько более интересных докладов, которые более предметно раскрывают аспекты каждой из уязвимостей.
Хоть это и не всегда относится к мобильным приложениям, почитать и послушать про такое всегда интересно.
#0day #ios #google
Blogspot
2022 0-day In-the-Wild Exploitation…so far
Posted by Maddie Stone, Google Project Zero This blog post is an overview of a talk, “ 0-day In-the-Wild Exploitation in 2022…so far”,...
Как установить более старую версию приложения поверх нового и не потерять данные в Android
По умолчанию, Android-система не позволяет устанавливать более старую версию поверх новой для одного приложения. В целом, это правильный подход, так и должно быть, потому что внутренние базы и структуры данных уже могут быть изменены под новую версию и старая может работать некорректно.
Но, иногда такая необходимость возникает. И тут на помощь нам придет статья, в которой описано несколько способов как это совершенно легально провернуть и оставить данные на месте.
Это может быть крайне полезно!
#android #downgrade
По умолчанию, Android-система не позволяет устанавливать более старую версию поверх новой для одного приложения. В целом, это правильный подход, так и должно быть, потому что внутренние базы и структуры данных уже могут быть изменены под новую версию и старая может работать некорректно.
Но, иногда такая необходимость возникает. И тут на помощь нам придет статья, в которой описано несколько способов как это совершенно легально провернуть и оставить данные на месте.
Это может быть крайне полезно!
#android #downgrade
www.esper.io
How to Downgrade an App using Android’s Hidden Rollback Feature
Android doesn't normally let users install an older version of an app (downgrade), but there's a hidden mechanism to rollback app updates.
Приглашаем выступить на AppSec.Zone на конференции Offzone 2022!
Приглашаем всех фанатов безопасности приложений, которые готовы поделиться своими находками на сцене одной из лучших практических конференций по ИБ в России, подать заявку на доклад!
Если вы любите искать необычные баги, участвуете в баг-баунти и жить не можете без кавычек, вы не пропустите AppSec.Zone! Нам нужны доклады длительностью 15 / 30 или 45 минут, не представленные ранее, посвященные безопасности приложений. Заявки принимаем до 1 августа.
Как сформулировать тему? В рамках AppSec.Zone мы говорим о самых разных аспектах процесса безопасной разработки, включая разбор и способ поиска интересных уязвимостей, освещение инструментов, помогающих их найти или автоматизирующий различные процессы, опыт в построении DevSecOps и многое другое. Так что при подаче заявки просто задумайтесь, что могло бы вам самим пригодиться, когда вы только начали путь в безопасной разработке или при исследовании какой-то уязвимости, что облегчило бы жизнь и сократило время? Именно это и нужно, бесценный опыт, который может помочь кому-то еще стать безопаснее!
Чтобы подать заявку, заполните форму здесь: https://appsec.zone/cfp
Или напишите по этому адресу: appsec@offzone.moscow
Напоминаем, что конференция Offzone состоится 25 и 26 августа 2022 года в Москве. Как и прежде, в центре внимания будет практика, результаты свежих исследований и ответы на самые актуальные вопросы кибербезопасности.
Приглашаем всех фанатов безопасности приложений, которые готовы поделиться своими находками на сцене одной из лучших практических конференций по ИБ в России, подать заявку на доклад!
Если вы любите искать необычные баги, участвуете в баг-баунти и жить не можете без кавычек, вы не пропустите AppSec.Zone! Нам нужны доклады длительностью 15 / 30 или 45 минут, не представленные ранее, посвященные безопасности приложений. Заявки принимаем до 1 августа.
Как сформулировать тему? В рамках AppSec.Zone мы говорим о самых разных аспектах процесса безопасной разработки, включая разбор и способ поиска интересных уязвимостей, освещение инструментов, помогающих их найти или автоматизирующий различные процессы, опыт в построении DevSecOps и многое другое. Так что при подаче заявки просто задумайтесь, что могло бы вам самим пригодиться, когда вы только начали путь в безопасной разработке или при исследовании какой-то уязвимости, что облегчило бы жизнь и сократило время? Именно это и нужно, бесценный опыт, который может помочь кому-то еще стать безопаснее!
Чтобы подать заявку, заполните форму здесь: https://appsec.zone/cfp
Или напишите по этому адресу: appsec@offzone.moscow
Напоминаем, что конференция Offzone состоится 25 и 26 августа 2022 года в Москве. Как и прежде, в центре внимания будет практика, результаты свежих исследований и ответы на самые актуальные вопросы кибербезопасности.