Подведем итоги OFFZONE

Всем привет!
Вот и прошла уже неделя с окончания конференции OFFZONE 2023. Совсем скоро начнут выкладывать записи докладов, презентации и прочие маткриалы. Ну а мне хотелось бы немного вспомнить, что у нас было интересного и чем мне запомнилось это мероприятие.

Для начала спасибо всем огромное, кто поддерживал наш комьюнити-стенд, принимал участие в активностях, конкурсах, CTF, Своей Игре и просто приходил поболтать!

Во-первых, в этом году мы провели не совсем обычный CTF, который представлял из себя реальное приложение, даже с небольшим бэком, которое мы зарегистрировали на площадке BugBounty от компании Бизон. Для меня лично это был очень интересный опыт, так как я никогда не принимал участия в подобных активностях со стороны вендора или того, кто разбирает заявки. И скажу, это, блин, не просто, мое уважение всем, кто разбирает заявки на реальных программах! Формат мне очень понравился, я думаю, мы как-нибудь его обязательно повторим. Репортов было много, мы старались выставлять всем типам уязвимостей одинаковую критичность, чтобы все были в равных условиях. Иногда накидывали за отличное описание и предоставленные PoC для реализации той или иной уязвимости.
Скоро мы сделаем небольшой обзор на те уязвимости, что были в приложении и подсветим самые классные репорты.

Во-вторых, в этом году мы второй раз провели "Свою игру", но уже два дня подряд. Мне на самом деле очень нравится этот формат, на удивление он прям очень классно заходит! Хоть нам и пришлось выдумывать 120 вопросов на 8 раундов, но это того стоило! Очень надеюсь, что и всем участникам понравилось не меньше и все оценили новый классный дизайн этой активности в формате "переписки" на телефоне :)

В-третьих, викторина на стенде, где каждый мог проверить свои знания и ответить на вопрос по безопасности мобильных приложений или сразу получить футболку, если ему улыбнулась удача с правильной карточкой.

В-четвертых, я успел выступить на AppSec-треке и немного рассказать про особенности процесса разработки мобильных приложений и как эти нюансы грамотно использовать при подключении практик безопасности. Кстати, на AppSec-треке было очень много крутых докладов, на мой взгляд, получилось весьма разносторонне и крайне интересно. Мы выпустили небольшой обзор с комментариями спикеров, получилось легко и увлекательно.

Ну и вообще, раздали много мерча, познакомились со многими классными людьми и круто провели время! Надеюсь, что в следующем году сможем порадовать вас еще большим количеством фановых активностей, конкурсов и призов!

Спасибо всем и до встречи на OFFZONE в следующем году!

А вообще, скорее всего и намного раньше, но об этом я напишу чуть позже =)

⭐️Встреча клуба любителей мобильных приложений⭐️

Всем привет!
Возможно мы встретимся и чуть раньше OFFZONE 🥳
Хочу собрать первую живую встречу "Mobile Appsec Club".

Я надеюсь на неформальный междусобойчик с мини-докладами, историями из жизни, шутками, морем веселья, хорошего настроения и пива =)

Посидим, выпьем в уютном баре, послушаем разные истории про мобильную (и не только) безопасность, разыграем призы и просто познакомимся наконец. Максимально неформально, без официоза.

4-го октября в Москве, в баре в пределах садового кольца (место чуть позже скажу более точно, как все подтвердится).

Вход свободный, с меня кружка пива тем, кто расскажет историю. Захватите хорошее настроение =)

Ну и небольшой опрос. Предлагаю выбрать тему, чтобы нам было с чего начать :) Можно выбрать несколько вариантов. А дальше сообразим по ходу дела.

Коллекция курсов и книг по мобильной безопасности

Привет, многие на конференции спрашивали про то, с чего начать, что почитать про безопасность мобильных приложений.

Как-то я собирал коллекцию книг, курсов, заданий и выкладывал в общий доступ. Настало время напомнить о них :)

Следующим постом пришлю тот самый первый пост с подборкой всего и вся :) с того времени еще немного курсов и книг было добавлено, так что, может найдете для себя что-то интересное.

Большая подборка книг, курсов и статей по безопасности мобильных приложений

На день знаний не успел выложить, но хоть на 3-е сентября будет 😄

Собрал воедино все книги, которые у меня были и что мне присылали, гайды и курсы по анализу и безопасности мобильных приложений!

Что получилось в итоге:

Android Books
Android Application Pentest Guide (AAPG)
Android Forensics
Android binder
Android Task Hijacking
Android Hacker's Handbook
Android Malware and Analysis
Android Apps Security
Android Security Attacks and Defenses
Android Security Internals
Application Security for the Android Platform
Android Application Secure Design/Secure Coding Guidebook
Decompiling Android
Deep Dive into Android Binder IPC
DEF CON 24 Workshop Dinesh Shetty Practical Android Application
Embedded Android
Kotlin secure coding practices
Learning Android Forensics
Hacking Android
XDAs Android Hackers Toolkit
Xaker-254
Яндекс - как общаются Android приложения
Broken Fingers - On the Usage of the Fingerprint API in Android
What can you do to an apk without its private key except repacking
WhatsApp Forensics: Decryption of Encrypted WhatsApp Databases
Huawei Mate 9 Pro (LON AL00) PWN2OWN
Android Internals - A Confectioner's Cookbook (Volume I)

Android Courses
Android Part - Mobile Application Security and Penetration Testing v2
AndroidHackingCourse
Penetration Testing Apps for Android Devices

iOS Books
Apple Security Sandbox
iOS App Reverse Engineering
IOS FORENSICS COOKBOOK
IOS Hackers Handbook
Mac OS X and iOS Internals (1-е издание)
Mobile App Hackers Handbook
Hacking and Securing IOS Applications
Recreating an iOS 0day Jailbreak Out of Apple’s Security Updates
Revisiting iOS Kernel (In)Security: Attacking the early random() PRNG
Demystifying The Secure Enclave Processor

iOS Courses
iOS Part - Mobile Application Security and Penetration Testing v2

Книги включающие в себя и Android и iOS либо нечто общее про безопасность мобилок
MASTERING MOBILE FORENSICS
Mobile App Hackers Handbook
MOBILE FORENSICS ADVANCED INVESTIGATIVE STRATEGIES
DSEC - Анализ безопасности мобильных банковских приложений
DSEC - Анализ безопасности мобильных банковских приложений 2012
DSEC - SCADA и мобильники - оценка безопасности приложений, превращающих смартфон в пульт управления заводом
Secure mobile development best practices
OWASP Mobile App Security Checklist
OWASP Mobile AppSec Verification Standard RU
OWASP mobile security testing guide
Брюс Шнайдер - прикладная криптография :D

Смешанные курсы
Mobile Application Security and Penetration Testing v1

Все материалы доступны по ссылке. Можно как скачать отдельные материалы, так и все сразу.
По мере нахождения новых интересных материалов - буду обновлять и дополнять "библиотеку" 🤓

#Books #Education #Android #iOS

Подборка Android CTF

Ну и в догонку, подборка “две миски риса и мобильный CTF” 😅

На самом деле, подборка Android CTF с различных мероприятий и активностей. Сам репозиторийина китайском, но понять, я думаю несложно (спасибо переводчикам).

И очень надеюсь, что пустой раздел iOS очень скоро наполнится хотя бы несколькими CTF :))

Enjoy!

#CTF #android #mobile

Анализ smali-кода

Как правило, начинают анализ Android-приложение с его декомпиляции и изучения что де там делается-то внутри?

Но для задач, когда может потребоваться изменение логики работы приложения или более точного анализа (например поиск методов или тот де taint-анализ), приходится работать со smali-кодом.

Статья для тех, кто не так много работал с этим представлением и хотел бы больше понимать, что означают те или иные строки внутри smali. Она не очень большая, остается много вопросов, но вся прелесть в нескольких практических заданиях, которые можно скачать и попробовать решить. И для любителей видео из командной строки, еще и решение одной из задач в формате видео 😄

Так что, как отправная точка, да еще и с примерами и практикой может быть очень даже неплохо)

#android #smali

iOS Forensic by Elcomsoft

Вот очень люблю этих ребят, их блог это просто находка :)

И даже в статье про работу с их инструментом по извлечению данных с iOS (насколько я понимаю, платного), они дают и теорию и много отсылок к другим опенсорс инструментам и статьям. Так что читая этот материал можно почерпнуть много нового и полезного из ссылок по тексту.

Настоятельно рекомендую посмотреть :)

#ios #elcomsoft #forensic

Продвинутое использование Frida в 4-х томах

Пока я отдыхал от активности, в блоге 8ksec.io вышло продолжение весьма интересных статей про использование Frida в iOS.

Часть 1. IOS Encryption Libraries
Часть 2. Analyzing Signal And Telegram Messages
Часть 3. Inspecting XPC Calls
Часть 4. Sniffing Location Data From Locationd

В статьях присутствует и часть для анализа приложений и для системных сервисов. При этом достаточно подробно описано, какие механизмы frida используются, как их применять и для чего они нужны. Ну и конечно, немного приоткрыть для себя завесу тайны над внутренними системными операциями (как минимум для геопозиции в locationd и для анализа XPC) тоже очень полезно.

В общем всем, кто работает с iOS и/или с Frida рекомендую почитать, посмотреть!

#frida #ios #system

Знакомство с Frida.

Ну а для тех, кто не понимает, зачем нужна Frida и как на ней вообще можно что-то писать, есть очень простая и подробная статья, которая поможет на не сложном примере написать свой первый скрипт на Frida и обойти проверку в приложении.

На самом деле очень хороший материал для старта, где понятно расписано для чего использовать этот инструмент, как его установить и т.д.

Так что, для всех новичков, добро пожаловать в мир костылей, боли, JS, увлекательной работы с Frida!

#frida #android #ctf #start

И снова про Frida!

Спасибо всем за крайне полезные комментарии к предыдущему посту.

Ребята прислали несколько интересных ссылок по обучению и погружению в frida:

1. Тема на 4pda
https://4pda.to/forum/index.php?showtopic=461675&view=findpost&p=63748780 (нужен аккаунт для просмотра)

2. Модификация Unity
https://youtu.be/NBjGm7YAZUQ?si=1GwYZ9FnzHgdv9cH

3. Создание мод-меню при помощи Frida
https://youtu.be/MU4K4HX2CUc?si=C3guSeYC0HcguGJr

Присылайте еще :) Когда идет обмен интересными и полезными материалами - мы все узнаем что-то новое и интересное!

Android Fuzzing

Весьма интересная статья про то, как устроен fuzzing внутри проекта AOSP.

Вообще, на мой взгляд достаточно сложная тема, как нормально проверить все многообразие устройств и сборок в интеграции с драйверами и прочим.

Да и в целом именно практика фаззинга, на мой взгляд, наиболее трудна с точки зрения внедрения и анализа результатов. Именно из-за этого интересно почитать про то, как это устроено внутри такого большого проекта, как AOSP.

Да, в статье немного деталей технических, но их всегда можно накопать по кросс-рефененсам или через ссылку на исходники :)

#android #aosp #fuzzing

Пишем Android-приложение практически полностью в NDK

Привет любителям прятать строки в .so файлах, что бы их сложнее было найти!

Тут есть крайне занятный пример, как практически полностью написать приложение, используя NDK для того, чтобы усложнить анализ такого приложения, помешать захукать системные вызовы и прочие приколы.

На самом деле, что-то в этом есть, особенно мне понравилась часть про вызов Binder напрямую из нативного кода через reflection, и вызов соответствующих сервисов далее:

class.forName("android.os.ServiceManager").getMethod("getService", String.class);

Это тебе уже не просто ключ шифрования в сошку положить, тут поинтереснее.

Доклад интересен глубиной погружения и способом подачи, то есть после того, как разбирается очередной пример "скрытия" чего-либо, идет небольшой блок демо, как это выглядит в коде, как переписать привычные нам действия с Java на натив. Ну и в конце пара выводов, как еще можно усилить подобное, да и надо ли оно такое вообще?

В общем спорная штука, как доклад вполне, как перенос части вещей для усложнения тоже может быть интересно (ну и защититься немного от перехвата штатными скриптами тоже прикольно в ряде случаев).

В общем, весьма смешанные чувства после просмотра =)

#android #ndk #obfuscation

Материалы к видео

Чуть не забыл, все материалы, что были в презентации доступны тут.

Анализ Xamarin-приложений.

Хотя я и очень не люблю кроссплатформенные приложения, но приходится весьма часто иметь с ними дело.

В последнее время, это конечно все больше Flutter, но встречаются еще и на других платформах.

Одна из таких платформ - это Xamarin. В статье очень здорово описана сама технология, есть описание структуры и архитектуры таких приложений, а также перечислены различные инструменты и техники по анализу подобных приложений.

Если вы никогда не сталкивались с подобным и вот нужно что-то проанализировать, эта статья отличная отправная точка для этого.

Кстати, в соседнем чате от @OxFi5t тоже есть очень классный совет по Xamarin-приложениям, переходите, читайте обязательно :)

#xamarin #reverse #tools

Конференция SmartDev

Внезапно обнаружил, что на конфе, где буду сегодня выступать есть online трансляция :)

Так что, если есть желание послушать про разные обыденные или интересные уязвимости, которые мы встречаем при анализе мобильных приложений, подключайтесь послушать!

Трансляция в 17:45 на сайте конференции, зал 4 «Безопасность».

Ну и если кто-то на конфе, приходите поболтать :)

#conf #mobile #smartdev

Ого, как теперь все сложно =)