Обход детекта Frida на Android

Всем привет!
Для любителей видео-демонстраций, уроков и лекций, нашел видео-гайд по одному из способов обхода детекта Frida на Android.

Видео основано на анализе приложения R2Pay, которое как раз содержит детект на наличие root и frida-server на устройстве. При этом реализовано это все в нативе, так что полезно будет и тем, кто хотел посмотреть, как хукать нативные вызовы в .so файлах в Android.

Для тех, кто хочет почитать, есть подробный разбор аналогичного таска в текстовом представлении.

Изучаем, радуемся и проходим CTF =)

#CTF #Frida #Antifrida

Samsung под прицелом

Последнее время почему-то достаточно много вещей находят именно в Самсунгах или их предустановленных приложениях.

Как пример, недавняя новость о том, что на всех устройствах Samsung можно получить системный shell. Эксплойт доступен даже с исходниками и пошаговым описанием, что необходимо сделать.

И вторая статья про две CVE в магазине приложений Galaxy App Store, которые позволяют устанавливать приложения без ведома пользователя и выполнить произвольный JS-код (а по факту открыть почти любую страницу).

Первая уязвимость заключается в некорректной обработке Intent, отправить который может любое приложение и "попросить" Galaxy App Store установить и открыть любое приложение, которое в нем есть.

Вторая бага это классическая уязвимость обхода проверки URL, который приходит в WebView из deeplink, а именно проверка его при помощи метода contains(). Почему-то именно его я очень часто встречаю при анализе приложений (особенно в последнее время).

Владельцы Самсунгов, будьте бдительны и обновляйте свои приложения как можно быстрее (немного позже будет еще более понятно почему). 😄

#samsung #cve #vulnerability

Обновление нашего продукта Стигнрей!

Ох, мы наконец-то это сделали и выпустили долгожданный и многострадальный релиз 🥳

На этот раз он получился не менее насыщенный, чем прошлые наши обновления и привнес в себя очень много интересных и полезных вещей.

Если кратко, то мы снова почти полностью переписали одну из частей нашего продукта и наш UI теперь работает безумно быстро, он стал более продуманным и красивым (а еще там появилась темная тема)! 😎

Еще мы научились запускать Appium-скрипты для автоматизации тестирования и это дает намного большую гибкость по работе с приложением во время автоматизированного анализа и возможность переиспользовать наработки QA в тестировании. И наконец, у нас появились полноценные автотесты для iOS-приложений, с записью видео с экрана устройства и полным повторением действий пользователя во время сканирования!

Что касается нашего любимого IAST-анализа, то в Android мы существенно его доработали, улучшили и сделали задел на будущие активные проверки. Результатом этого стало выявление еще большего количества интересных и сложных уязвимостей. А также, мы портировали этот механизм на iOS и планируем в дальнейшем его максимально развивать.

На самом деле, изменений больших и маленьких огромное количество, всего не перечислишь, и за это я хотел сказать огромное спасибо всей команде, которая вкладывается в каждую новую фичу, в каждую строчку кода всей душой! Спасибо парни, вы лучшие! 🥇

Ну и если кому интересно чуть более детально посмотреть, что мы сделали, то небольшое видео с обновлениями доступно на YouTube, а более-менее полный список обновлений на сайте.

Ура!

#stingray #ios #android #release

Дамп и расшифровка трафика без использования Proxy

Все мы так или иначе сталкивались с необходимостью посмотреть трафик приложения и поисследовать его. Но всегда мешают всякие нехорошие безопасники, которые заставляют делать разработчиков SSL Pinning в приложении. И наиболее частый вопрос - как открутить пиннинг в приложении.

Как правило, это использование frida или аналогов, чтобы подмениить и отключить проверку сертификата в приложении. Но сделать это удается далеко не всегда и не со всеми приложениями.

Есть альтернативный вариант данному методу - это логировать SSL-ключи, которые используются для шифрования внутри канала связи, снимать дамп трафика и потом его расшифровывать этими ключами.

Спасибо огромное @vadim_a_yegorov за универсальный скрипт для Android и iOS (12/13/14/15), который помогает снимать и сохранять ключи!

Вот тут можно найти полный Frida-код этого прекрасного скрипта.

Спасибо, это очень круто!

#sslpinning #ssl #keys #dump

Коллеги разработчики, нужна ваша помощь!

Всем снова привет, друзья, я решил обратиться за помощью в комьюнити.

Мне стало интересно, на какие уязвимости проверяют загружаемые приложения магазины вроде Google Play, Huawei AppGallery и Samsung Galaxy Store?

И проверяют ли вообще?

Аккаунт разработчика мне пока что нигде не подтвердили, так что прошу помощи у тех, кто загружал приложения в эти и другие магазины, приходили ли вам уведомления, что ваше приложение уязвимо?

Пока что из интересного я нашел, что Google, оказывается, пытается проверить много чего (но, как показывает практика, без особого успеха). И может заблокировать приложение, если оно не удовлетворяет их политикам.

А вот для того, чтобы приложение из Huawei AppGallery было доступно в КНР, нужно прикрепить отчет о проверке безопасности их специального ведомства.

В общем ребят, если вы когда-то с таким сталкивались или видели где-то чеклисты, на что проверяют приложения, поделитесь, пожалуйста, это очень интересно.

Я после составлю сравнение разных магазинов, если соберу достаточно информации.

Спасибо!

Полностью поддерживаю этот совет) именно так мы нашли около 10 серверных ключей от FCM на выборке из 700 приложений)

Ну я писал об этом в прошлом году, тоже может быть полезно)

После декомпиляции приложения нужно поискать секреты в коде. Для этого можно использовать trufflehog или любую другую подобную утилиту. Пример запуска trufflehog: trufflehog filesystem --directory=`pwd` --only-verified
Но иногда, отсутствие флага only-verified дает интересные результаты. Поэтому обязательно попробуйте. А как быть с найденными секретами дальше, подскажет keyhacks
#aht

Анализ защищенного мессенджера Threema

Всем любителям криптографии и атакам на различные шифры и протоколы должно быть крайне интересно почитать про исследование защищенного мессенджера Threema.

Исследователи провели очень крутую работу и изложили все как в достаточно простом виде на сайте, так и оформили практически в научную статью (с формулами, описанием использованных алгоритмов и т.д., очень рекомендую, если есть время).

Из интересного - это рассмотрение различных моделей злоумышленника с различным уровнем доступа, чего обычно не встретишь в подобных статьях. Грамотное и правильное описание, какие атаки доступны в каких случаях и при каком доступе/информации у злоумышленника, респект 😄

Все подробности вы прочитаете в статье, но 3 вывода я оставлю тут, как правильное напоминание потомкам:

1. Использование современных безопасных библиотек для криптографических примитивов само по себе не приводит к безопасному дизайну протокола
2. Будьте внимательны к "межпротокольным" взаимодействиям
3. Проактивная, а не реактивная безопасность

Всем хороших выходных!

#friday #crypto #messenger

Как анализировать системные приложения на стоковых образах Android

Весьма полезная статья для тех исследователей, что любят покопаться в системных приложениях.

Автор подробно рассказывает о шагах, которые необходимо предпринять, чтобы без каких-либо проблем и ограничений инструментировать системные приложения при помощи Frida.

Это по большей части относится к различным приложениям без пользовательского интерфейса, которые запускаются на уровне системы при загрузке. То есть, включение Frida-gadget в целевое приложение, которое подгрузит его при запуске системы и старте системных компонентов.

Весьма интересный подход, который может существенно упростить анализ подобных приложений (а еще и подсказать способ аналогичного патчинга приложений и использование их с фридой на нерутованных девайсах).

#frida #android #systemapps

Анализ Android Malware - тип Stalkerware.

Интересный тип зловреда, который я до этого не слышал - Stalkerware. По большому счету это классический стилер, который тырит максимальное количество информации с устройства.

В статье описан анализ приложения, нацеленного на Итальянских пользователей (ну либо его разработчики из Италии) и умеет несколько классических вещей (кража фото/видео, сообщений, записи звонков и экрана, смс, локации и прочего). Запрашивает огромное количество разрешений и становится администратором устройства. Не самое незаметное поведение, согласитесь 😄

Из интересного - каждый раз при загрузке с сайта, в приложении генерируется уникальный и случайный package_name и подпись. Этим они стараются избежать детекта различными антивирусными движками.

Не самое увлекательное чтиво, конечно, но иногда бывает интересно посмотреть, чем на жизнь зарабатывают люди, ведь стоимость - 22 евро в месяц для подобного софта.

#spy #stalkerware #android

SSL Unpinning или снова о том же самом

Совсем недавно обсуждали способ дампа ssl-ключей и дальнейшей расшифровке записанного дампа трафика, как альтернатива проксированию запросов с подменой сертификата.

Но иногда такой способ не работает или не сильно удобен, тогда можно воспользоваться классическим способом и попробовать все-таки снять пиннинг. Одним из таких способов является, конечно же Frida и стоит отметить вот этот скрипт, который позволяет обходить очень многие проверки и байпасить много различных фреймворков и реализаций.

Рекомендую его сохранить, так как периодически gist на гитхабе могут и пропадать 🤓

#frida #sslpinning #unpinning

это шикарно!

Попалась мне тут совершенно замечательная ссылка, которой не имею сил не поделиться - https://github.com/krizzsk/HackersCave4StaticAndroidSec.

Там куча ссылок на туториалы, утилиты и исследования по уязвимостями в Android. Звучит скучно да? Верно. Это был бы еще один всратый "awesome list" если бы не одно "но" - там много ссылок на нативные китайские блоги и статьи. И там действительно полезная инфа, которую просто так не загулишь, если не ищешь специально на китайском. Я давно хотел найти что-то подобное и вот оно пришло. Из полезного лично для себя, я нашел там разбор форматов различных файлов (AndroidManifest.xml, resources.arsc и т.п.) и материалы по статическому анализу. Всем 你好 ;)

Приглашаю на вебинар "Зачем защищать мобильные приложения?"

Всем привет!

Я достаточно давно ничего не публиковал и не постил, за это прошу прощения, будем исправляться )) С головой ушел в работу и крутые задачи)

Но есть и позитивная новость, уже меньше, чем через неделю (29 марта в 16-00) проведем вебинар на тему "Зачем защищать мобильные приложения?"

В вебинара я структурировал разные мифы и заблуждения, с которыми мне приходилось сталкиваться во время работы с анализом защищенности мобильных приложений. Я собрал самый распространенные (но далеко не все, конечно) и попробую их опровергнуть и подискутировать на тему того, почему же на самом деле это важно, заботиться о безопасности ваших мобилок?

Ну и конечно, я немного расскажу про наш инструмент, который помогает это делать и покажу, как его можно подключить к процессу разработки (ну и расскажу немного о нововведениях и наших планах на развитие).

Приходите и присоединяйтесь: будет точно интересно!

https://stingray-mobile.ru/zachem-zashhishhat-mobilnye-prilozheniya-i-kak-vystroit-effektivnyj-proczess-analiza-bezopasnosti-obsudim-na-vebinare.html

Друзья, через 20 минут начинаем :)

Если кто не успел зарегистрироваться, я пришлю ссылку после начала.

До скорой встречи!

Как обещал ссылка для подключения.

Будет обязательно запись и после выложим обработанное видео. Но все равно присоединяйтесь, поговорим и подискутируем =)

Запись вебинара

Друзья, спасибо огромное всем, кто нашел время и силы присоединиться и послушать мои мысли на счет необходимости защиты мобильных приложений.

Очень надеюсь, что понравилось и каждый вынес какие-то новые для себя мысли или идеи!

Мне очень важна ваша поддержка, спасибо огромное!

Ну и как обещал, запись вебинара доступна по ссылке.

До встречи в следующей серии :)

#webinar

Пост про применение ChatGPT и аналогов при анализе мобильных приложений.

Всем привет!

Я тут на выходных немного экспериментировал с ChatGPT и попросил его сгенерировать различных скриптов, которые могли бы помочь с поиском уязвимостей или хотя бы облегчить какие-то вещи, которые нужно ресерчить. Ну и вообще было интересно, что это за зверь такой.

И результат меня очень сильно удивил (нет). Из порядка 15 задач "ИИ" решил примерно 0. То есть ни одного работающего примера из коробки и даже после пары уточняющих вопросов он не выдал.

При просьбе написать какие-то обзорные вещи из разряда "Самые распространенные уязвимости" он выдал обобщенный список из 5 пунктов с 5-ю ссылками на несуществующие статьи. 🙃 И даже после поиска, как мне предложили, результат особенно сильно не изменился.

В общем на мой взгляд, эта штука может быть неплоха, если ты в чем-то уперся (в исследовании какой-то функции или реализации чего-то не самого популярного) и нужен некоторый свежий взгляд. ChatGPT может помочь найти идею или дать направление, но точно не готовое или примерно работающее решение.

Потратив несколько дней на попытки сделать хоть что-то работающее, я забил. Frida и Python это точно не его сильные стороны. Причем как в связке, так и по отдельности (распарсить текст в структуру он так и не осилил). Но вот письмо для рассылки написал неплохое (по структуре, но не по содержанию).

Может быть у кого-то был позитивный опыт использования таких инструментов для нашей области (кроме генерации fuzzing-листов) и он им поделится, я был бы рад изменить свое мнение.

#chatgpt #openai

А вот и текст новости от ChatGPT

Все ссылки битые, так как ChatGPT не дает нормальные и просит их загуглить.

Запрос: напиши, пожалуйста, небольшую статью про наиболее часто встречающиеся уязвимости в андроид приложениях за 2022 год со ссылками на статьи и исследования

Ответ: В 2022 году было обнаружено несколько уязвимостей в андроид приложениях, которые остаются наиболее распространенными и серьезными. Ниже перечислены некоторые из них.

1. Уязвимость раскрытия конфиденциальной информации. Эта уязвимость позволяет злоумышленникам получать доступ к конфиденциальной информации, такой как пароли, данные кредитных карт и другие личные данные. Исследования показывают, что более 90% андроид-приложений содержат какую-то форму уязвимости раскрытия конфиденциальной информации. Статья на эту тему: https://www.darkreading.com/application-security/weak-android-apps-leave-users-vulnerable-to-attack/d/d-id/1341547

2. Уязвимость небезопасного хранения данных. Эта уязвимость позволяет злоумышленникам получать доступ к хранимым на устройстве данных, таким как фотографии, заметки и другие личные данные. Исследования показывают, что более 80% андроид-приложений содержат какую-то форму уязвимости небезопасного хранения данных. Статья на эту тему: https://securityintelligence.com/posts/data-leakage-and-poor-data-storage-practices-found-in-mobile-apps/

3. Уязвимость небезопасного взаимодействия с сетью. Эта уязвимость позволяет злоумышленникам перехватывать данные, передаваемые между приложением и сервером, таким образом, злоумышленники могут получить доступ к конфиденциальным данным. Исследования показывают, что более 70% андроид-приложений содержат какую-то форму уязвимости небезопасного взаимодействия с сетью. Статья на эту тему: https://www.helpnetsecurity.com/2022/02/02/insecure-network-interactions-android-apps/

4. Уязвимость недостаточной проверки входных данных. Эта уязвимость позволяет злоумышленникам отправлять неправильные данные в приложение, таким образом, они могут перехватывать и изменять входные данные. Исследования показывают, что более 50% андроид-приложений содержат какую-то форму уязвимости недостаточной проверки входных данных. Статья на эту тему: https://www.securityweek.com/mobile-app-security-lack-input-validation-top-vulnerability

Заблуждения о безопасности мобильных приложений

После долгого затишья я наконец-то дописал и опубликовал статью по мотивам вебинара - «Мифы о безопасности мобильных приложений».

Данные для этой статьи я копил годами и больше не могу уже терпеть) Я собрал наиболее часто встречающиеся заблуждения, которые я слышу, когда речь заходит о безопасности мобильных приложений. Это то, с чем мне приходится сталкиваться очень часто и постоянно говорить одно и то же.

Я решился объединить все эти мысли и домыслы в один большой текст и выразить свое мнение по этому поводу.

Надеюсь, вам будет интересно почитать и, скорее всего есть что добавить или поспорить, так что не стесняйтесь, может я вообще не прав и мобилки это действительно просто витрина данных для бэкенда? 🙃

#habr #webinar #mobilesecurity

Включение Frida в сборки iOS в TestFlight

Что делать, если jailbreak-устройства нет под рукой или они запрещены доя использования в компании (ну мало ли), а проверять приложения при помощи Frida очень хочется.

Тут можно пойти несколькими путями, первый это тестирование на М1, на котором можно запустить любые iOS-приложения и цепляться к ним при помощи Frida.

Второй подход описан в статье и весьма интересен, это включение Frida gadget в сборку вашего приложения. Автор описывает, как сделать так, чтобы сборка с либой Frida прошла через проверку AppStore Connect и появилась в TestFlight!

Весьма необычный кейс, на мой взгляд. Главное - из релизной сборки не забыть исключить)))

#ios #frida #testflight