И ещё немного о приватности в Android 12
Официальная дока по улучшениям в обеспечении приватности пользовательских данных.
По накатанной дорожке, от релиза к релизу, Google ужесточает правила игры и запрещает приложениям собирать больше информации. И Android 12 не стал исключением. Немного наиболее интересных обновлений:
Буфер обмена
Теперь при чтении из буфера обмена, пользователю будет показано сообщение. Ранее гугл отключил доступ к буферу приложениям в фоне, а теперь ещё и нотификацию показывает.
Отчет о приватности
Анонсировали дашборд, в котором можно посмотреть отчет за последние 24 часа, в какое время какие приложения имели доступ к камере, микрофону и локации.
Выключение камеры и микрофона
Появились два новых выключателя в настройках, которые отвечают за камеру и микрофон. Если их выключить, то при попытке доступа к этим сенсорам будет выведено предупреждение, что сначала необходимо включить камеру и микрофон в настройках.
Ещё много занятных вещей появилось. И всё сильнее Google заботится о том, чтобы данные получали только они, а не другие приложения и сервисы 😅
#Android12 #update #news
Официальная дока по улучшениям в обеспечении приватности пользовательских данных.
По накатанной дорожке, от релиза к релизу, Google ужесточает правила игры и запрещает приложениям собирать больше информации. И Android 12 не стал исключением. Немного наиболее интересных обновлений:
Буфер обмена
Теперь при чтении из буфера обмена, пользователю будет показано сообщение. Ранее гугл отключил доступ к буферу приложениям в фоне, а теперь ещё и нотификацию показывает.
Отчет о приватности
Анонсировали дашборд, в котором можно посмотреть отчет за последние 24 часа, в какое время какие приложения имели доступ к камере, микрофону и локации.
Выключение камеры и микрофона
Появились два новых выключателя в настройках, которые отвечают за камеру и микрофон. Если их выключить, то при попытке доступа к этим сенсорам будет выведено предупреждение, что сначала необходимо включить камеру и микрофон в настройках.
Ещё много занятных вещей появилось. И всё сильнее Google заботится о том, чтобы данные получали только они, а не другие приложения и сервисы 😅
#Android12 #update #news
Android Developers Blog
What’s new in Android Privacy
Posted by Sara N-Marandi, Product Manager, Android Platform Product People want an OS and apps that they can trust with the...
Продолжение истории с форматной строкой в iOS
Apple быстро пофиксила баг с форматной строкой в iOS, который позволял отключить WiFi на устройстве. Естественно, Apple не признал это уязвимостью и не присвоил никакого CVE (подумаешь WiFi помирает от названия точки доступа).
Но некоторые исследователи раскрутили эту мелкую багу до удаленного выполнения кода на устройстве. Реализация стала возможной благодаря процессу wifid, который обрабатывает протоколы, связанные с WiFi соединением и запущен от root.
Для реализации атаки понадобилась виртуалка с Linux и WiFi свисток за 10$ 😁
Очень классный кооперативчик получился) Один нашел баг, но не смог его раскерутить,. а другие докрутили его до RCE. Очень похоже на то, как появился Checkra1n.
#iOS #RCE #news
Apple быстро пофиксила баг с форматной строкой в iOS, который позволял отключить WiFi на устройстве. Естественно, Apple не признал это уязвимостью и не присвоил никакого CVE (подумаешь WiFi помирает от названия точки доступа).
Но некоторые исследователи раскрутили эту мелкую багу до удаленного выполнения кода на устройстве. Реализация стала возможной благодаря процессу wifid, который обрабатывает протоколы, связанные с WiFi соединением и запущен от root.
Для реализации атаки понадобилась виртуалка с Linux и WiFi свисток за 10$ 😁
Очень классный кооперативчик получился) Один нашел баг, но не смог его раскерутить,. а другие докрутили его до RCE. Очень похоже на то, как появился Checkra1n.
#iOS #RCE #news
Telegram
Mobile AppSec World
Отключение WiFi в iOS
В Android 12 сделали программное отключение доступа к камере и микрофону для всех приложений, iOS не мог этого так оставить и допустил функционал по отключению WiFi. Правда, скорее всего случайно и с использованием бага в форматной…
В Android 12 сделали программное отключение доступа к камере и микрофону для всех приложений, iOS не мог этого так оставить и допустил функционал по отключению WiFi. Правда, скорее всего случайно и с использованием бага в форматной…
Первая тысяча
Юхху! Канал пробил 1000 человек! Знаменательная цифра, как никак :)
Спасибо большое вам, что читаете, что общаетесь в чате, скидываете интересные новости и делитесь опытом! Многие статьи или тулы пришли от подписчиков и это здорово!
Начиналось всё год назад, как попытка систематизировать то, что есть и желанием поделиться материалами, которые читаю. Надеюсь, что вам также интересно читать про новости мира безопасности мобилок, как и мне!
Спасибо всем, что вы остаетесь тут и читаете всё это. Без вас канала бы просто не было, я б просто забил, а тут прям ответственность что-ли чувствуешь! 😁
Через некоторое время хочу попробовать еще несколько активностей, надеюсь вам зайдет 😉
Ну а пока, хорошей недели!
#news #1000
Юхху! Канал пробил 1000 человек! Знаменательная цифра, как никак :)
Спасибо большое вам, что читаете, что общаетесь в чате, скидываете интересные новости и делитесь опытом! Многие статьи или тулы пришли от подписчиков и это здорово!
Начиналось всё год назад, как попытка систематизировать то, что есть и желанием поделиться материалами, которые читаю. Надеюсь, что вам также интересно читать про новости мира безопасности мобилок, как и мне!
Спасибо всем, что вы остаетесь тут и читаете всё это. Без вас канала бы просто не было, я б просто забил, а тут прям ответственность что-ли чувствуешь! 😁
Через некоторое время хочу попробовать еще несколько активностей, надеюсь вам зайдет 😉
Ну а пока, хорошей недели!
#news #1000
Telegram
Mobile Appsec Chat
Чат для обсуждения новостей канала Mobile Appsec World. Трем за мобайл, за аппсек, за непростую жизнь безопасника... Присоединяйтесь!
Подборка материалов по мобильной безопасности «Awesome Mobile Security»
Всем привет!
В очередной раз, пока искал в истории канала какую-то ссылку на видео, решил что пора заканчивать с таким неблагородным делом и оформлять все материалы, которые скопились в представительный вид.
Из этого вылилось два репозитория на гитхабе с подборками всех материалов, которые были в канале, разбитые по логическим группам. Еще немного покопался в закромах и выудил ссылки на различные CTF и WriteUp по ним для Android. Получились достаточно интересные подборки. Подробнее посмотреть, что вышло можно в статье на Хабр (ну а куда без него).
Основная проблема всех таких репозиториев, что про них забывают и забивают и через месяц они становятся абсолютно неактуальными) Мне бы хотелось такого избежать, поэтому весь контент, что будет появляться в канале в конце недели я буду переносить в репозитории, а потом делать небольшой "дайджест" на Хабр по новостям текущей недели (посмотрим, зайдет ли такой формат).
Всем хорошей недели и приятного чтения, надеюсь, вы найдете для себя что-то новое в материалах.
#Habr #News #Awesome #Android #iOS
Всем привет!
В очередной раз, пока искал в истории канала какую-то ссылку на видео, решил что пора заканчивать с таким неблагородным делом и оформлять все материалы, которые скопились в представительный вид.
Из этого вылилось два репозитория на гитхабе с подборками всех материалов, которые были в канале, разбитые по логическим группам. Еще немного покопался в закромах и выудил ссылки на различные CTF и WriteUp по ним для Android. Получились достаточно интересные подборки. Подробнее посмотреть, что вышло можно в статье на Хабр (ну а куда без него).
Основная проблема всех таких репозиториев, что про них забывают и забивают и через месяц они становятся абсолютно неактуальными) Мне бы хотелось такого избежать, поэтому весь контент, что будет появляться в канале в конце недели я буду переносить в репозитории, а потом делать небольшой "дайджест" на Хабр по новостям текущей недели (посмотрим, зайдет ли такой формат).
Всем хорошей недели и приятного чтения, надеюсь, вы найдете для себя что-то новое в материалах.
#Habr #News #Awesome #Android #iOS
Хабр
Подборка материалов по мобильной безопасности «Awesome Mobile Security»
Привет, Хабр! Меня зовут Юрий Шабалин, я один из основателей компании "Стингрей Технолоджиз" (входит в группу компаний Swordfish Security), мы разрабатываем платформу анализа защищенности мобильных...
Первый дайджест на Хабр
Всем привет!
Сегодня вышел первый дайджест "Неделя мобильной безопасности (9-15 апреля)" на Хабр.
По факту, это подборка материала с канала за неделю. Возможно, кому-то в таком консолидированном виде будет удобнее читать, что же нового было в мире мобильного ИБ.
Если эксперимент окажется успешным и формат зайдет, то каждую неделю в пятницу или субботу я буду публиковать такую подборку и обновлять ссылки в репозиториях Awesome iOS Security и Awesome Android Security.
Всем хороших выходных!
#habr #news #awesome
Всем привет!
Сегодня вышел первый дайджест "Неделя мобильной безопасности (9-15 апреля)" на Хабр.
По факту, это подборка материала с канала за неделю. Возможно, кому-то в таком консолидированном виде будет удобнее читать, что же нового было в мире мобильного ИБ.
Если эксперимент окажется успешным и формат зайдет, то каждую неделю в пятницу или субботу я буду публиковать такую подборку и обновлять ссылки в репозиториях Awesome iOS Security и Awesome Android Security.
Всем хороших выходных!
#habr #news #awesome
Хабр
Неделя мобильной безопасности (9-15 апреля)
Привет, Хабр! Меня зовут Юрий Шабалин, как вы помните из предыдущих статей, я один из основателей компании Стингрей Технолоджиз, разработчика платформы анализа защищенности мобильных приложений iOS и...
Mobile AppSec World
Первый дайджест на Хабр Всем привет! Сегодня вышел первый дайджест "Неделя мобильной безопасности (9-15 апреля)" на Хабр. По факту, это подборка материала с канала за неделю. Возможно, кому-то в таком консолидированном виде будет удобнее читать, что же…
Вторая серия подборки
Всем хорошего вечера пятницы, выпустил, как обещал вторую версию дайджеста с подборкой материалов за неделю.
Эксперимент оказался вполне успешным, по крайнере мере негатива не было =)
И у меня возник вопрос, а стоит ли это публиковать на канале и добавилось в репозитории, раз уж это все равно по факту сборник того, что уже было на неделе, просто на другой площадке?
Если не сложно, отметьте, нужно такое или нет =)
#quiz #habr #news #awesome
Всем хорошего вечера пятницы, выпустил, как обещал вторую версию дайджеста с подборкой материалов за неделю.
Эксперимент оказался вполне успешным, по крайнере мере негатива не было =)
И у меня возник вопрос, а стоит ли это публиковать на канале и добавилось в репозитории, раз уж это все равно по факту сборник того, что уже было на неделе, просто на другой площадке?
Если не сложно, отметьте, нужно такое или нет =)
#quiz #habr #news #awesome
Хабр
Swordfish Security, Санкт-Петербург - Информационная безопасность, DevSecOps, SSDL / Статьи
25 статей от авторов компании Swordfish Security
Mobile AppSec World
Публиковать ли ссылки на "Неделю новостей мобильной безопасности в канале?"
Новости мобильной безопасности. Эпизод 3.
Так как большинство проголосовало "за", а часть не знает про существование канала, то вот третий выпуск подборки на Хабр по новостям из мира мобильной (прости господи), безопасности!
Ну и напомню, что все эти ссылки переходят из канала на Хабр, а оттуда в репозитории Awesome iOS Security и Awesome Android Security, присоединяйтесь)
Всем хорошей пятницы и хорошо отдохнуть на выходных!
#habr #news #awesome
Так как большинство проголосовало "за", а часть не знает про существование канала, то вот третий выпуск подборки на Хабр по новостям из мира мобильной (прости господи), безопасности!
Ну и напомню, что все эти ссылки переходят из канала на Хабр, а оттуда в репозитории Awesome iOS Security и Awesome Android Security, присоединяйтесь)
Всем хорошей пятницы и хорошо отдохнуть на выходных!
#habr #news #awesome
Хабр
Неделя мобильной безопасности (23-29 апреля)
Привет, Хабр! Продолжая серию мини-дайджестов по мобильной безопасности, посмотрим, что интересного появилось с 23 по 29 апреля. Новости URI Spoofing в клиенте мессенджера Signal для iOS Достаточно...
Новости мобильной безопасности. Эпизод 4.
Продолжаем рубрику новостей из мира безопасности мобильных приложений (с 30 апреля по 6 мая). Несмотря на праздники, новостей и материалов было достаточно много, - давайте посмотрим, что интересного произошло.
Ну и напомню, что все эти ссылки переходят из канала на Хабр, а оттуда в репозитории Awesome iOS Security и Awesome Android Security, присоединяйтесь)
Всем хорошей пятницы и хорошо отдохнуть на выходных!
#habr #news #awesome
Продолжаем рубрику новостей из мира безопасности мобильных приложений (с 30 апреля по 6 мая). Несмотря на праздники, новостей и материалов было достаточно много, - давайте посмотрим, что интересного произошло.
Ну и напомню, что все эти ссылки переходят из канала на Хабр, а оттуда в репозитории Awesome iOS Security и Awesome Android Security, присоединяйтесь)
Всем хорошей пятницы и хорошо отдохнуть на выходных!
#habr #news #awesome
Хабр
Неделя мобильной безопасности (30 апреля — 6 мая)
Привет, Хабр! И снова представляю вам, как и обещал в статье про подборку материалов по мобильной безопасности , самые главные новости из мира безопасности мобильных приложений (с 30 апреля по 6...
Пятничные новости
Продолжая рубрику "Новости мобильной безопасности" за прошедшие недели - новая подборка!
Несмотря на праздники и весьма напряженные дни, контента для выпусков и новостей хватает, так что надеюсь каждый найдет для себя что-то полезное, если не успели прочитать все это в канале.
Всем хороших выходных и хорошей пятницы!
#habr #news #mobileappsec
Продолжая рубрику "Новости мобильной безопасности" за прошедшие недели - новая подборка!
Несмотря на праздники и весьма напряженные дни, контента для выпусков и новостей хватает, так что надеюсь каждый найдет для себя что-то полезное, если не успели прочитать все это в канале.
Всем хороших выходных и хорошей пятницы!
#habr #news #mobileappsec
Хабр
Неделя мобильной безопасности (14 — 20 мая)
Привет, Хабр! И снова представляю вам самые главные новости из мира безопасности мобильных приложений (с 14 по 20 мая). Несмотря на прошедшую вторую волну праздников, новостей и материалов хватает, -...
Jailbreak для iOS 15
Интересные новости приехали, а именно про открытый и доступный Jail для iOS 15 - Palera1n Jailbreak. По контенту статьи доступные устройства для джейла:
iPhone X, iPhone 8, iPhone 8 Plus, iPhone 7, iPhone 7 Plus, iPhone 6s, iPhone 6s Plus, iPhone 6, iPhone 6 Plus, iPhone SE
А так же версии:
- iOS 15.1.1, 15.1, 15.0.2 , 15.0.1, 15
- iOS 15.4, iOS 15.3, iOS 15.2
- iOS 15.7, iOS 15.6, iOS 15.5
Не уверен, что это чистая правда и что всё работает, но очень надеюсь в скором времени проверить лично)
Если это действительно так, то нужно подождать ещё пару месяцев до того времени, как наиболее популярные твики допишут под новую версию и можно будет полноценно использовать устройство длявсяких непотребств анализа приложений 😄
Но в любом случае, даже если частично правда (так как в репо авторов немного другая информация), это в любом случае хороший такой лучик надежды на долгожданный джейл на 15 iOS!
Если кто уже попробовал или знает подробности - отпишитесь, пожалуйста :)
#iOS #jailbreak #news
Интересные новости приехали, а именно про открытый и доступный Jail для iOS 15 - Palera1n Jailbreak. По контенту статьи доступные устройства для джейла:
iPhone X, iPhone 8, iPhone 8 Plus, iPhone 7, iPhone 7 Plus, iPhone 6s, iPhone 6s Plus, iPhone 6, iPhone 6 Plus, iPhone SE
А так же версии:
- iOS 15.1.1, 15.1, 15.0.2 , 15.0.1, 15
- iOS 15.4, iOS 15.3, iOS 15.2
- iOS 15.7, iOS 15.6, iOS 15.5
Не уверен, что это чистая правда и что всё работает, но очень надеюсь в скором времени проверить лично)
Если это действительно так, то нужно подождать ещё пару месяцев до того времени, как наиболее популярные твики допишут под новую версию и можно будет полноценно использовать устройство для
Но в любом случае, даже если частично правда (так как в репо авторов немного другая информация), это в любом случае хороший такой лучик надежды на долгожданный джейл на 15 iOS!
Если кто уже попробовал или знает подробности - отпишитесь, пожалуйста :)
#iOS #jailbreak #news
iOS - Jailbreak Online
Palera1n Jailbreak Free Download - iOS 15 to iOS 17.1: Full Review 2023.
Palera1n Jailbreak Free Download - iOS 15 to iOS 17.1: Full Review 2023. % iOS - Jailbreak Online iOS downgrade iOS and Android News Updates, 1.2M+ Subscribers on YouTube / Content Creator.
Исследование защищенности мобильных приложений
Всем привет!
Долго не было ничего слышно и не зря)) Мы с командой делали довольно интересную вещь - проводили исследование защищенности мобильных приложений, выпущенных Российскими компаниями.
Суть исследования достаточно простая - мы взяли 800 Android-приложений, прогнали их через наш инструмент "Стингрей", разобрали ложные срабатывания, выбрали 20 категорий уязвимостей, наиболее интересных и часто встречающихся. Посчитали циферки, оформили, и вот результат:
По полученным цифрам более 83% приложений содержат уязвимости высокого или критичного уровня.
С подробными данными и самим отчетом можно ознакомиться на нашем сайте:
https://stingray-mobile.ru/oczenka-zashhishhennosti
Если говорить серьезно, то на безопасность мобильных приложений любят забивать или смотрят на них в самую последнюю очередь. Почему это до сих пор так?
Наверное, потому что бизнес или разработка не понимают актуальных угроз для мобильных приложений и какие именно риски несет в себе уязвимое мобильное приложение. Я рассказывал об этом недавно на митапе в Сколково, и скоро попробую еще раз это рассказать.
Потому что сейчас мобильные приложения это не просто "витрина данных", это полноценные системы, со своей архитектурой, базами данных, удаленными хранилищами, огромным функционалом и разнообразными техническими решениями. И к ним следует относится, как к полноценному звену всей системы, а иногда и более пристально, так как эксплуатируются они во "враждебной" среде, на устройстве пользователя, на котором может быть все, что угодно.
Так что посмотрите внимательно на отчет, мы постарались дать максимум ценной информации, включая описание выявленных проблем и способов их устранения и недопущения в дальнейшем. Очень надеюсь, что в следующем году безопасных и защищенных мобильных приложений станет больше!
Дальше больше, мы планируем сделать этот отчет ежегодным и отслеживать тренды в защищенности мобильных приложений и радовать всех интересным контентом!
С наступающим и приятного чтения!
#stingray #report #news #android
Всем привет!
Долго не было ничего слышно и не зря)) Мы с командой делали довольно интересную вещь - проводили исследование защищенности мобильных приложений, выпущенных Российскими компаниями.
Суть исследования достаточно простая - мы взяли 800 Android-приложений, прогнали их через наш инструмент "Стингрей", разобрали ложные срабатывания, выбрали 20 категорий уязвимостей, наиболее интересных и часто встречающихся. Посчитали циферки, оформили, и вот результат:
По полученным цифрам более 83% приложений содержат уязвимости высокого или критичного уровня.
С подробными данными и самим отчетом можно ознакомиться на нашем сайте:
https://stingray-mobile.ru/oczenka-zashhishhennosti
Если говорить серьезно, то на безопасность мобильных приложений любят забивать или смотрят на них в самую последнюю очередь. Почему это до сих пор так?
Наверное, потому что бизнес или разработка не понимают актуальных угроз для мобильных приложений и какие именно риски несет в себе уязвимое мобильное приложение. Я рассказывал об этом недавно на митапе в Сколково, и скоро попробую еще раз это рассказать.
Потому что сейчас мобильные приложения это не просто "витрина данных", это полноценные системы, со своей архитектурой, базами данных, удаленными хранилищами, огромным функционалом и разнообразными техническими решениями. И к ним следует относится, как к полноценному звену всей системы, а иногда и более пристально, так как эксплуатируются они во "враждебной" среде, на устройстве пользователя, на котором может быть все, что угодно.
Так что посмотрите внимательно на отчет, мы постарались дать максимум ценной информации, включая описание выявленных проблем и способов их устранения и недопущения в дальнейшем. Очень надеюсь, что в следующем году безопасных и защищенных мобильных приложений станет больше!
Дальше больше, мы планируем сделать этот отчет ежегодным и отслеживать тренды в защищенности мобильных приложений и радовать всех интересным контентом!
С наступающим и приятного чтения!
#stingray #report #news #android
mobile-stingray.ru
Стингрей — платформа автоматизированного анализа защищённости мобильных приложений
Платформа Стингрей Стингрей – платформа автоматизированного анализа защищенности мобильных приложений. Помогаем найти уязвимости, которые не способен обнаружить ни один другой инструмент. Комбинируем и корректируем практики DAST, SAST / BCA, IAST, API ST…
Легальное клонирование приложений в Android 14
Вот это интересные новости, начиная с Android 14 появляется системная возможность клонирования приложений. То есть, можно поставить рядом, например, две копии мессенджера, который позволяет работать только с одного аккаунта или игр или чего угодно.
Чтобы включить эту возможность, надо зайти в Настройки -> Приложения -> Склонированные приложения (Settings > Apps > Cloned Apps)
Для нас это значит, что может быть сильно проще тестировать разные баги, связанные с некорректной авторизацией, иметь несколько приложений с разными аккаунтами или просто не бояться совсем «убить» один из клонов.
А на самом деле, это сильно напоминает историю с твиками для Jailbreak. Apple долгое время (и по сей день), борется с джейлом, но самые популярные твики со временем были перенесены в сам iOS. Раз люди этим активно пользуется, значит это может быть удобно и полезно.
И этом случае все аналогично, огромное количество приложений, которые помогают клонировать приложения на Android и вот эта фича уже в релизе :) Удобно!
#android #clone #news
Вот это интересные новости, начиная с Android 14 появляется системная возможность клонирования приложений. То есть, можно поставить рядом, например, две копии мессенджера, который позволяет работать только с одного аккаунта или игр или чего угодно.
Чтобы включить эту возможность, надо зайти в Настройки -> Приложения -> Склонированные приложения (Settings > Apps > Cloned Apps)
Для нас это значит, что может быть сильно проще тестировать разные баги, связанные с некорректной авторизацией, иметь несколько приложений с разными аккаунтами или просто не бояться совсем «убить» один из клонов.
А на самом деле, это сильно напоминает историю с твиками для Jailbreak. Apple долгое время (и по сей день), борется с джейлом, но самые популярные твики со временем были перенесены в сам iOS. Раз люди этим активно пользуется, значит это может быть удобно и полезно.
И этом случае все аналогично, огромное количество приложений, которые помогают клонировать приложения на Android и вот эта фича уже в релизе :) Удобно!
#android #clone #news
XDA Developers
Android 14 could let you clone apps so you can use two accounts at the same time
Android 14 is preparing to add an app cloning feature that will let you clone an app so you can use two accounts at the same time.
Подборка историй о взломах мобильных приложений
Всем привет!
Недавно пришла в голову идея составить небольшую подборку из громких в свое время историй про взлом мобильных приложений. То есть о тех историях, которые получили публичную известность благодаря СМИ и немного пошумели.
Мне кажется, что получилось достаточно неплохо, по крайней мере мне самому было интересно ее перечитать после публикации.
Так что приятного и легкого чтения =)
#news #vulns
Всем привет!
Недавно пришла в голову идея составить небольшую подборку из громких в свое время историй про взлом мобильных приложений. То есть о тех историях, которые получили публичную известность благодаря СМИ и немного пошумели.
Мне кажется, что получилось достаточно неплохо, по крайней мере мне самому было интересно ее перечитать после публикации.
Так что приятного и легкого чтения =)
#news #vulns
securitymedia.org
ТОП компаний, чьи уязвимые мобильные приложения нанесли реальный вред бизнесу
ТОП компаний, чьи уязвимые мобильные приложения нанесли реальный вред бизнесу.