Будьте бдительны на фронтах идеологической борьбы

Ребят, меня тут только что пытались нагло просоциалить.

Суть такая, берут контакт из известных вам (в моем случае это админ из канала), делают аккаунт в телеге с очень похожим ником и очень похожим именем и пишут вам с целью занять денег.

Само собой, злодей был раскрыт и обезврежен)) но будьте бдительны и тщательно проверяйте имена пользователей, номера телефонов и аккаунты, с которых вам пишут)

будьте бдительны и не ведитесь на подобные разводы!

P. S. Еще одним фактором, что вас разводят будет плашка вверху (добавить контакт/заблокировать), которая точно не появляется, если этот контакт уже есть у вас в списке, так что тоже обращайте на это внимание!

#phishing #socengineering

Итоги первого Mobile AppSec Club

Всем привет!
Немного запоздало хочу поблагодарить всех, кто смог найти время и силы выбраться в дождливую среду на нашу первую встречу!

Как по мне было крайне уютно, отлично посидели, познакомились, послушали прикольные истории, получился такой импровизированный ИБ-стендап :) Спасибо всем, кто выступил и поделился своими историями из жизни и посмеялся вместе с нами)

Был очень рад вас всех увидеть и познакомиться лично с теми, кого еще не знал!
Мне кажется, что подобное мероприятие надо будет обязательно повторить!

Так что, друзья, до новых встреч!

А я буду продолжать выкладывать интересные статьи, новости и инструменты, может как раз какой-то из них и обсудим на следующей встрече :)

#mobileappsecclub #thanks

Еще один комбайн для анализа приложений - MMSF

Нашел еще один комбайн по анализу мобильных приложений, под названием MMSF (Massive Mobile Security Framework). Да, с фантазией относительно названия тут явно не задалось.

Что он из себя представляет? По факту это интерактивный шелл, по своему принципу очень напоминающий Drozer (очень похожий выбор модулей, навигация, конфигурация и т.д.). Внутри это набор различных питоновских модулей, которые взаимодействуют с устройством и приложением внутри него.

Внутри опять-таки спрятана фрида и набор вполне базовых скриптов (обход рута/эмулятора, SSL Unpinning) и другие похожие вещи. Из интересного я бы отметил скрипт по патчу приложений для использования через objection на нерутованных/незаджейленных устройствах. Это по факту некоторая автоматизация из официальной документации по включению в пакет приложения специальной библиотеки.

Также интерес может предоставлять опция scan, но что происходит внутри и насколько там корректно реализованы проверки я пока еще не смотрел, но в самое ближайшее время собираюсь.

По первому впечатлению - это тот же дрозер, только более навороченный, возможно будет удобнее для каких-то ручных проверок, если у вас нет автоматизации для проверки, например, контент-провайдеров.

Ну и так как репозиторий относительно молодой (от июня 2023 года), он все еще развивается (4 дня назад последний коммит). Будем наблюдать, посмотрим, что у автора в итоге получится.

#android #ios #tool #combain #mmsf

Introduction to Security of Mobile Applications for Android

Всем привет!
Не так давно вышло отличное видео про введение в безопасность Android-приложений.

Очень советую всем, кто хотел бы вкатиться в эту область или расширить свой кругозор относительно разработки. В примерах, которые приводит Игорь в своем докладе, он рассматривает как раз написанное нами уязвимое приложение Secure Notes, которое мы публиковали на OFFZONE в качестве CTF.

На мой взгляд это отличный пример того, как на реальном приложении рассматриваются самые различные проблемы безопасности и объясняется, как их недопустить (ну и способы эксплуатации, конечно).

И помните, мы обещали выложить некоторые подробности того, как устроено приложение внутри, какие были баги и что мы еще вспомним об этом приложении? Я очень надеюсь, что скоро мы выпустим интересную статью про наше замечательное приложение.

Игорь, Лина, спасибо вам за контент и приложение 😄

#securenotes #android #video #training

Обучение в ИБ и не только

Всем привет, недавно пообщались с уважаемыми людьми про обучение, про кадры, про разные курсы и все, что с этим связано. Как по мне получилось очень даже классно :)

Пентест мобилок в 19 веке

Старт в анализе iOS-приложений

Всем привет, не так давно, на встрече обсуждали, что для iOS не так много материала и вкатиться в их анализ намного сложнее.

И это действительно так, анализ iOS сложнее для входа, из-за особенностей самой платформы, которая не очень-то предоставляет интерфейсы для взаимодействия приложений между собой. Они, конечно есть, но их намного меньше, чем в том же Android. Ну и конечно это формат самих приложений. Нельзя просто так взять и декомпилировать iOS-приложение, получила читаемый код, в котором относительно просто ориентироваться. Для яблока это работа с дизассемблерами и бинарщиной.

Но на самом деле, материалы есть и вот несколько статей из серии, как начать:

Часть 1. Про установку твиков, сидит и прочие базовые штуки.

Часть 2. Тут про стандартные проверки, как их выполнять разными способами через разные инструменты.

Часть 3. Тут про обход джейлбрейка, про отключение пиннинга и чуть-чуть про флаттер.

Статьи весьма базовые, но дают первое представление, как работать вообще с такими приложениями.

От себя лишь добавлю, что не увлекайтесь особенно твиками, некоторые из них могут либо окирпичить ваше устройство, либо повлиять на работу других твиков из-за конфликтов.

#ios #start

Эксплуатация уязвимости выполнения кода на уровне ядра через функционал OTA Update в MacOS

Доклад из разряда «Ничего не понятно, но очень интересно!».

Для начала материалы:
1. Слайды с доклада
2. PoC для энтузиастов
3. Видео демонстрация

К сожалению, мне не довелось еще изучить механизмы безопасности операционной системы MacOS, в частности, защиту SIP и прочие околосвязанные вещи. В теории я более менее понимаю, как оно работает, но пока что, все что я делал, это отключал SIP :)

Надеюсь, эти материалы будут полезны тем, кто вплотную работает с этим направлением. Ну а остальным, в качестве расширения кругозора :₽

#macos #ace #kernel

Подборка историй о взломах мобильных приложений

Всем привет!

Недавно пришла в голову идея составить небольшую подборку из громких в свое время историй про взлом мобильных приложений. То есть о тех историях, которые получили публичную известность благодаря СМИ и немного пошумели.

Мне кажется, что получилось достаточно неплохо, по крайней мере мне самому было интересно ее перечитать после публикации.

Так что приятного и легкого чтения =)

#news #vulns

Участие в премии

Всем привет!
Наш продукт "Стингрей" первый раз участвует в Национальной Банковской премии 2023 в номинации "Информационная безопасность".

Никогда раньше в подобных вещах не участвовал, но это оказывается достаточно волнительно 😄

Если есть желание, поддержите нас своим голосом, пожалуйста:
https://nbp.nbj.ru/v68/

Спасибо большое!

Обход SSL Pinning во Flutter-приложениях

Всем привет!
Давно не было интересных новостей и вот самая актуальная тема всех чатов - обход пиннинга!

На этот раз это видео про обход этого во Flutter-based приложениях. И это весьма интересно, так как Flutter внутри себя использует несколько другие подходы и стандартные скрипты по снятию защиты не работают.

К сожалению, это видно на английском от индуса с классическим акцентом, который надо уметь слушать, моего терпения не хватает, а сожалению.

А вообще в канале достаточно много интересных видео на тему анализа мобильных приложений и использования Frida и других инструментов. Тае что, кому заходит видео-инструкции и кто выдерживает индусский акцент, может быть достаточно интересно.

#android #pinning #flutter

Как на самом деле магазины приложений проверяют ваше приложение на уязвимости перед публикацией.

Всем привет!

Не могу не поделиться, хоть и из отпуска, нашим исследованием.

Как вы помните, на OFFZONE мы проводили CTF, в котором было представлено приложение с реальными уязвимостями. Тогда я обещал, что мы о нем еще поговорим. Время пришло 🙂

Мы загрузили наше уязвимое приложение во все популярные магазины, наблюдали за процессом их публикации и тому, какие проверки наше приложение проходило.

Исследование призвано ответить на несколько вопросов. Первый - это доказать, что надеется на проверку сторов при публикации и замещать этим аудиты безопасности приложений и средства по анализу защищенности нельзя.

Второй - выяснить, насколько магазины приложений выполняют свои обещания по проверке приложений на безопасность.

Сразу скажу, что к тем сторам, где нет ни слова об анализе приложений на безопасность, вопросов никаких и нет. Однако к тем, которые эту проверку обещают, есть большой вопрос.

Исследование касалось именно проверки на уязвимости и недостатки в приложении, но никак не проверке на вирусы, рекламу и прочее, что любой уважающий себя магазин и так делает.

Статья выше разделена на две части:
- Первая рассказывает о нашем приложении, как оно устроено, какие проблемы мы в него закладывали, к чему они могут привести. Давно планировали это написать, но решили совместить, так что всем, кто решал наш CTF и хотел посмотреть, что было еще, добро пожаловать!

- Вторая часть касается уже непосредственно анализу проверок магазинами, что они обещают и как это выглядит на самом деле. С датами заявки, проверок и публикаций.

Выводы делайте сами, но на мой взгляд, все достаточно просто, нельзя доверять проверку своего приложения на безопасность магазинам приложений, чтобы они не обещали.

И если когда-то вам скажут о том, что аудит не нужен, так как есть проверки на стороне магазинов, просто покажите им эту статью.

Лайки, репосты и прочие активности очень приветствуются!

Ну а я дальше отдыхать 🌴🏝️

#research #android #googleplay #ctf

Кастомные сборки Android

Всегда было интересно послушать про различные кастомные сборки Андроидаиз АОСП, особенно, нацеленные на приватность/безопасность.

Сильно опыта в этом нет, но интересно очень :)

И вот, наш знакомый будет делать доклад, посвещенный этому направлению.
Очень надеюсь, что будет трансляция или запись ;)

RutheniumOS. Забота о себе, или зачем нужна ещё одна приватная ОС на базе AOSP

DC7831 / DEF CON
Ждите в Нижнем Новгороде 24-25 февраля 2024 года

В докладе разберем следующие темы:
- Любовь и корпорации, или откуда взялись неофициальные прошивки.
- Открытость != приватность: какие сервисы AOSP передают информацию в Google.
- А давайте соберём AOSP: вода под камнями, опыт портирования.
- Сапожник ходит без рута: как после вольностей в настройках вернуть себе прежнюю безопасность ОС Android.

Не могу не поделиться монументальной работой.

Пока что не изучал, но планирую на неделе рабочей обязательно почитать и сделать небольшую выдержку. Приятно, что такие материалы появляются, спасибо автору!

Такая вот работа получилась. Большая статья про шифрование в Android и атаки на него.

С наступившим!

Всем привет, со всеми прошедшими, наступившими и ближайшими праздниками!

Очень сожалею, что не успел и не осилил написать длинный и красивый пост по итогам года, как все прошло, как было и что запомнилось. Каюсь, конец года был нереально сложным, но очень интересным! Поэтому и немного пришлось канал подзапустить. Но ничего, новый год приносит нам новые силы на новые свершения! И я все-таки добрался до новогоднего поздравления!

С праздниками вас, друзья мои! Хочу пожелать, чтобы в этом году у всех осуществлялись их желания и достигались поставленные цели, и главное, чтобы вы и ваши близкие были здоровы и поменьше болели!

Мне этот 2023 запомнился большим количеством разных активностей, исследований и экспериментов! Отдельно хочу поздравить команду «Стингрей», ребята и девушки, вы самые лучшие, мне безумно повезло работать с вами и создавать этот продукт!

Спасибо и всем, кто читает этот канал и кому небезразлична безопасность мобильных приложений, вместе с вами мы делаем безумно важное дело, повышаем безопасность нашей «мобильной» жизни!

Что сказать, в этом году я жду еще больше драйва, движа, конкурсов, активностей и разных исследований) Постараюсь чаще радовать контентом, не забывать постить интересные инструменты и статьи, постараюсь делать это системно 😅

Так что, удачи всем в этом году, пусть он будет интереснее, позитивнее и продуктивнее, чем все, что было до этого!

С наступившим 2024 годом!

#happynewyear