Больше Flutter'a богу Flutter!

Всем привет!
Я наконец-то отошел от конференции, осознал себя, долечился и готов снова поставлять новости и контент по мобилкам, как и раньше. А накопилось его за это время порядком уже, месяц как-никак прошел... 😳

Ну и начнем мы с любимого всеми Flutter, его особенностей, способа анализа и прочего-прочего-прочего. По стопам доклада с OFFZONE (надеюсь, скоро будут и видео), вышла большая статья от @impact_l посвященная особенностям архитектуры, компиляции и, конечно анализу подобных приложений.

Очень подробная и качественная статья полностью раскрывающая нюансы, которые не были упомянуты в докладе из-за ограничений по времени. Так что, надеюсь, утренний кофе сегодня будет намного вкуснее и интереснее, чем обычно. Приятного чтения!

И да, подписывайтесь на канал от автора статьи, он публикует классный контент (и не только по мобилкам)!

С возвращением меня и хорошей недели всем!

#return #flutter #reflutter

Анализ iOS-приложения SignPass, анализ обфускации и обход RASP

Очень интересная статья про подход к анализу приложения, нативный код которого обфусцирован, а само оно имплеменитрует методику RASP, а именно всё, что мы так любим, обнаружение Jailbreak, отладчиков, обнаружение Frida и всё вот это.

Очень подробно и тщательно описаны шаги и действия автора, поиск и обход всех проверок (а их там немало) с примерами кода и ассемблерными вставками.

В общем очень-очень рекомендую ознакомиться всем, кто работает с iOS-приложениями и занимается реверсом и Frida.

#ios #frida #rasp

Вторая часть исследования iOS-приложений под обфускацией

Почитав блог из предыдущей статьи, я нашел у автора вторую часть этой, на самом деле, крайне полезной статьи.

Вдохновившись анализом и защитой SignPass, автор нашел еще одно приложение, которое было пропущено через тот же обфускатор, но включало в себя намного более строгие проверки в рантайме.

Что мне понравилось, это способ "защиты" от анализа crash-лога приложения, когда оно падает или аварийно завершается при обнаружении Frida или jailbreak. А именно, перед завершением работы обфускатор затирает некоторые регистры, например LR. А в твуом формате iOS-служба для анализа сбоев не может правильно построить стек вызовов функций, которые привели к сбою. Очень занятно, так как из crash-лога можно было бы получить нужную информацию.о том, где происходят проверки.

Как и в первой статье, подробно расписано, как и что автор делал, чтобы найти точки в приложении, где реализована защита, как он ее обходил и как именно это приложение было защищено.

Ну и конечно, в статье много хороших отсылок на другие полезные статьи. Некоторые из них, если вам лень с утра пораньше открывать и читать статью:

- Deobfuscation: recovering an OLLVM-protected program
- Automated Detection of Control-flow Flattening
- D810: A journey into control flow unflattening

В общем, настоятельно рекомендую ознакомиться всем, кто занимается iOS и реверсом, крайне полезная штука.

#ios #reverse #rasp #frida #obfuscation

Заметки на полях. Дебаг нативных библиотек при помощи IDA

В соседнем чате прислали интересную небольшую инструкцию, как можно удобно дебажить нативные библиотеки при помощи IDA:

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/debugging-android-libraries-using-ida/

#IDA #android #reverse #debug

Jailbreak для iOS 15

Интересные новости приехали, а именно про открытый и доступный Jail для iOS 15 - Palera1n Jailbreak. По контенту статьи доступные устройства для джейла:

iPhone X, iPhone 8, iPhone 8 Plus, iPhone 7, iPhone 7 Plus, iPhone 6s, iPhone 6s Plus, iPhone 6, iPhone 6 Plus, iPhone SE

А так же версии:
- iOS 15.1.1, 15.1, 15.0.2 , 15.0.1, 15
- iOS 15.4, iOS 15.3, iOS 15.2
- iOS 15.7, iOS 15.6, iOS 15.5

Не уверен, что это чистая правда и что всё работает, но очень надеюсь в скором времени проверить лично)

Если это действительно так, то нужно подождать ещё пару месяцев до того времени, как наиболее популярные твики допишут под новую версию и можно будет полноценно использовать устройство для всяких непотребств анализа приложений 😄

Но в любом случае, даже если частично правда (так как в репо авторов немного другая информация), это в любом случае хороший такой лучик надежды на долгожданный джейл на 15 iOS!

Если кто уже попробовал или знает подробности - отпишитесь, пожалуйста :)

#iOS #jailbreak #news

Анализ трафика Android-сматрфона

Крайне занимательная статья вышла на Хабр под названием "Анализ трафика телеметрической информации Android смартфона".

Автор взял обычный телефон со сброшенной к заводским установкам прошивкой и установленным пакетом российского ПО, без синхронизированных учётных записей. То есть по факту - телефон из "магазина" и проверил, кто и что отправляет в фоне на сервера, какую информацию, какие данные об устройстве, активности и т.д.

Крайне занимательно, что запросов и данных передается достаточно много (что не удивительно), но еще интереснее исследование было бы с десятком установленных приложений. Боюсь, что там целая армия исследователей понадобилась бы, чтобы все данные проанализировать. Ну или просто взять "голый" Xiaomi и умереть от количества информации, что все его стоковые приложения шлют :D

В общем, очень интересно почитать)

#Android #Telemetry #traffic

Запись демо.

Всем привет! Наконец дошли руки и появилась возможность нарезать демо, которое проводили летом.

https://youtu.be/b3kOvsQoFfA

Надеюсь, что скоро будет ещё одно, по нашим новым фичам) так что, можно обновить воспоминания, а что же такое наш Стингрей :)

#stingray #demo

Уязвимости в Amazon Photo

Всё больше в последнее время новостей об 0-click RCE из связки нескольких уязвимостей или уязвимостей, связанных с получением доступа к файлам внутри приложения через Path Traversal в контент-провайдерах, в общем не совсем простые вещи. Но иногда, самые простые баги тоже могут за собой повлечь немало неприятностей.

Как и случилось с приложением Amazon Photos, где обычная экспортируемая Activity при вызове отправляла токен (и адрес сервера, куда этот токен отправлялся, контролировался злоумышленником). Вот собственно и вся бага :))
Весь интерес дальше, зная этот токен можно было получить полный доступ к фото и файлам пользователя (причем не только на чтение, но и запись).

Так что пожалуйста, соблюдайте общую гигиену ваших приложений, не экспортируйте лишнего и помните про Intent-фильтры, которые делают ваши компоненты экспортируемыми.

Ну и да, токены приватные не рассылайте кому попало :D

Всех с понедельником и хорошей недели!

#Amazon #Photo #Android #vulnerability

Немного про анализ Malware

Хоть я и не сильно люблю эту тему, но иногда попадаются действительно качественные исследования того, как работают и функционируют различные зловреды на Android. И сегодня как раз про такие исследования и поговорим.

Нередко, при прочтении можно получить интересные идеи и мысли по защите своего кода и приложения от анализа. Действительно, некоторые из представителей показывают достаточно неплохой уровень защиты. Но, это скорее исключения, так как 90% экземпляров зловредов это пересобранные, перепакованные версии одной и той же (иногда немного модифицированной) версии.

А с другой стороны можно посмотреть реализацию разного функционала, который можно даже использовать :D

Ну что же, вот и небольшая подборка:
1. Technical analysis of Ginp android malware
По факту, разбор того, как работает малварь, её возможностей и способов реализации.

2. A TECHNICAL ANALYSIS OF PEGASUS FOR ANDROID
А вот это уже куда более интересное исследование самого живучего и интересного представителя - Pegasus для Андроид. Статья в нескольких частях и очень подробно разобраны все возможности и их реализация

3. Technical analysis of SharkBot android malware
Исследование от авторов первой статьи по новому трояну. Ничего необычного, но есть и интересные моменты, например обнаружение работы на эмуляторе.

4. This Is the Code the FBI Used to Wiretap the World
А вот эта статья достойна отдельного вашего внимания. Это троян для криминального мира. Если верить источнику, то FBI разработал защищенный мессенджер, который шифрует сообщения и обеспечивает конфиденциальность переписок и стал продавать его на черном рынке для всяких бандитов :) очень классный ход, учитывая, что все сообщения пересылались в FBI . Но интересно даже не это, а то, что судя по описанию и коду, разрабатывался проект быстро, с кучей лишнего кода, а за основу вообще был взят опенсорс. И делалось это на фрилансе сторонними разработчиками.

Так что, друзья, будьте аккуратны, беря на фриланс странные проекты))


Вот такой необычный пост сегодня получился, надеюсь, что в ближайшее время про малварь больше не будет новостей, а будет что-то новое и интересное, но похоже, что все сейчас обеспокоены немного другим и не так много исследований. Но, думаю, что в ближайшее время всё наладится)

Хорошей недели вам!

#android #malware #pegasus

Android для параноиков или альтернативные сборки ОС

И снова всем привет, читаю сейчас про интересный проект под названием GrapheneOS.

Вообще, по описанию, проект позиционируется, как мобильная операционная система с фокусом на приватности и безопасности с поддержкой Android-приложений. При этом мне нравится пункт, выделенный отдельно, что они не будут принципиально в поставке включать Google-сервисы. А для их поддержки выделили отдельный ограниченный уровень внутри ОС. Да, никто не любит большого брата: ’(

Конечно, всегда возникает огромный вопрос со стабильностью работы подобных сборок и как с ними будут работать гугловские сервисы (или хуавеевские). И больше всего, как он будет работать на огромном количестве разномастных устройств. Ведь фрагментация Android это уже даже не смешно, мне кажется, скоро в ботинках можно будет увидеть модифицированный Android 😄

Из нечто подобного, из наиболее популярных форков я помню CyanogenMod и его форк Lineage OS, который работал очень и очень достойно.

Вообще попробовать было бы интересно, конечно, учитывая что многие наработки из этого проекта нашли отражение и в исходниках AOSP.

Но интересно, пользовались ли вы когда модами/альтернативными прошивками и почему?)

#android #privacy #grapheneos #cyanogen

Анонс доклада "Безопасность мобильных приложений в России"

Всем привет!
Пока не каждый день получается радовать свежими новостями, но скоро, я постараюсь делать как раньше, намного чаще)

А сегодня хочу вас пригласить на завтрашнее выступление на митапе по безопасной разработке от фонда Сколково, где я расскажу немного про безопасность мобильных приложений и анонсирую некоторые цифры из нашего исследования, которое появится в ближайшее время.

На самом деле, это будет не совсем стандартный доклад, мне хочется затронуть важную тему и дать пищу для размышлений, а именно, почему недооценивают безопасность мобильных приложений и главное, почему смотреть на мобилки нужно не менее тщательно, чем на остальные части системы. Посмотрим, насколько мне это удастся, по крайней мере, я постараюсь, чтобы было интересно))

Так что, если есть желание посмотреть и присоединиться, то вот немного ссылок:
- Сайт мероприятия и форма регистрации
- Трансляция на techflix.sk
- Трансляция в YouTube
- Трансляция в VK

Запись тоже будет, непременно поделюсь) Ну а пока что, хорошего завершения недели!

#SK #Webinar #Meetup #Mobile

Интересные обновления в iOS

Всем привет!
Не так давно в документации на сайте security.apple.com появился блог :)

И всё бы ничего, но контент обещают интересный и технический. Пока там всего два поста, но они подходят под описание «интересный и технический»:

1. Обновление BugBounty программы
Обещают большую прозрачность, новый трекер, быстрые ответы… конечно, было бы здорово, учитывая множество историй, когда Apple либо молча правила баг либо просто забивала на вознаграждение..

2. К следующему поколению безопасности памяти XNU: kalloc_type

Статья про улучшения безопасности памяти для ядра XNU, которое уже вышло в iOS 15 и будет вскоре расширено и на другие платформы. Очень качественно структурированная статья:
- постановкой проблемы
- описание предметной области
- вызовы, которые стояли перед командой
- описание решения
- выводы и анализ сильных и слабых сторон

Статья действительно очень интересная и хорошо написана, хочется верить, что и остальной контент будет таким же качественным и, возможно, поможет быстрее найти способ сделать джейл на новых iOS :))

#ios #bubounty #blog

А мы начинаем

Всем кто хотел послушать, посвящается :)

Начинаем выступление, присоединяйтесь, пишите вопросы, ставьте лайки и вот это всё :)

Постараюсь сделать интересно :)

Ссылки для подключения в посте выше, но для ленивых вот на YouTube:

https://youtu.be/tYyAYYVpOnA

#sk #webinar #stingray

Подкаст про центр компетенций

Пообщались на прошлой неделе про безопасную разработку в целом и один из самых главных аспектов, про центр компетенций.

Ведь сколько инструментов не покупай, сколько процессы не выдумывай, без людей, экспертов и специалистов это всё не будет работать, так что обучение и поддержание интереса к безопасности в компании это едва ли не самое главное.

Про то, как можно подойти к этому непростому процессу и поговорили.

Получилось достаточно интересно, надеюсь, кому-то это обязательно поможет.

#podcast #awareness

Мы ищем людей в команду!

Друзья, всем привет! Наша компания-разработчик продукта "Стингрей" продолжает расширяться и хочет покорить мир, добавить еще больше функционала по анализу мобилок и добавить поиск все новых и крутых уязвимостей!

Ну а конкретно сейчас мы очень активно ищем специалиста по анализу iOS-приложений для усиления нашей команды.

Если вы любите копаться в мобилках, искать уязвимости, хочется решать сложные и интересные задачи, которые до этого никогда никто не делал, то вам абсолютно точно нужно к нам))

Если ты пишешь на Frida, знаешь, как устроены iOS-приложения и MSTG, MASVS, PassionFruit, Objection это не пустые слова, то приходи к нам пообщаться, уверен, мы сможем найти общий язык.

Если хочется деталей, то есть вакансия:
https://hh.ru/vacancy/71723031

Если что, можно смело писать мне в личку (@Mr_R1p) или откликаться на вакансию или любым другим образом дать о себе знать :)

Если не интересно, но есть, кому переслать, не поленитесь, пожалуйста))

#hh #vacancy #stingray

Обогнали меня с публикацией)

Свежий доклад по основам RE и пересборке Android приложений с VolgaCTF 2022. Контент для начинающих исследователей и для тех, кто хочет накидать себе в чемодан новых навыков.

Внимание, конкурс!

Всем привет!
И снова в нашей рубрике конкурс и разыгрываем билет на конференцию Mobius! Так как немного совсем времени осталось, победитель будет выбран в понедельник.

Условия конкурса:
В комментариях к этому посту или в чате напишите историю того, с какими аргументами против того, что мобильные приложения нужно проверять, вы сталкивались в своей работе? Основное, что слышал я, это «мобильное приложение всего лишь витрина данных, а защищать нужно бэк» или «гугл сам проверяет всё перед публикацией, зачем нам что-то делать?»

Ну или историю про лучший комментарий, почему найденную уязвимость не нужно исправлять.

К посту напишите тэг #mobius2

И немного информации о самой конфе:
Как пройти архитектурную секцию собеседования? Может ли «Аврора» стать альтернативой iOS и Android? Как работают in-app подписки в iOS?

На Mobius 2022 Autumn вы узнаете ответы на эти и другие вопросы. 9 и 10 ноября в онлайне и 21 ноября в офлайне.

На Mobius вы сможете не только послушать выступления, но и задать вопросы спикерам, а также пообщаться с другими единомышленниками.

Ученье - свет

Хоть и не прям про мобилки, но криптографию мы все применяем и иногда возникают вопросы общего характера.

Их можно снять, если посмотреть полноценную лекцию по критографию. Есть и практика и много теории.

#video #classes #yt #education

Еще пока не препод, но всё впереди :)

А пока делюсь со всем миром записями своих занятий!
За последний год мне удалось провести целый курс по информационной безопасности. От базовых основ GNU/LINUX, криптографии, сетей, веба до полноценного пентеста. Большую часть удалось записать.

На канале пока доступны два видео: лекция и практика по криптографии. Я далек от академичности, но абсолютно уверен, что знания должны распространяться свободно. С этого момента начинается моя карьера видео-блоггера 🤟😎

Делитесь видео с друзьями :)
Буду очень рад обратной связи и корректной критике в комментариях тут или под видосами на yt.