Mobile AppSec World
5.3K subscribers
142 photos
8 videos
19 files
675 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
Будьте бдительны на фронтах идеологической борьбы

Ребят, меня тут только что пытались нагло просоциалить.

Суть такая, берут контакт из известных вам (в моем случае это админ из канала), делают аккаунт в телеге с очень похожим ником и очень похожим именем и пишут вам с целью занять денег.

Само собой, злодей был раскрыт и обезврежен)) но будьте бдительны и тщательно проверяйте имена пользователей, номера телефонов и аккаунты, с которых вам пишут)

будьте бдительны и не ведитесь на подобные разводы!

P. S. Еще одним фактором, что вас разводят будет плашка вверху (добавить контакт/заблокировать), которая точно не появляется, если этот контакт уже есть у вас в списке, так что тоже обращайте на это внимание!

#phishing #socengineering
Итоги первого Mobile AppSec Club

Всем привет!
Немного запоздало хочу поблагодарить всех, кто смог найти время и силы выбраться в дождливую среду на нашу первую встречу!

Как по мне было крайне уютно, отлично посидели, познакомились, послушали прикольные истории, получился такой импровизированный ИБ-стендап :) Спасибо всем, кто выступил и поделился своими историями из жизни и посмеялся вместе с нами)

Был очень рад вас всех увидеть и познакомиться лично с теми, кого еще не знал!
Мне кажется, что подобное мероприятие надо будет обязательно повторить!

Так что, друзья, до новых встреч!

А я буду продолжать выкладывать интересные статьи, новости и инструменты, может как раз какой-то из них и обсудим на следующей встрече :)

#mobileappsecclub #thanks
Еще один комбайн для анализа приложений - MMSF

Нашел еще один комбайн по анализу мобильных приложений, под названием MMSF (Massive Mobile Security Framework). Да, с фантазией относительно названия тут явно не задалось.

Что он из себя представляет? По факту это интерактивный шелл, по своему принципу очень напоминающий Drozer (очень похожий выбор модулей, навигация, конфигурация и т.д.). Внутри это набор различных питоновских модулей, которые взаимодействуют с устройством и приложением внутри него.

Внутри опять-таки спрятана фрида и набор вполне базовых скриптов (обход рута/эмулятора, SSL Unpinning) и другие похожие вещи. Из интересного я бы отметил скрипт по патчу приложений для использования через objection на нерутованных/незаджейленных устройствах. Это по факту некоторая автоматизация из официальной документации по включению в пакет приложения специальной библиотеки.

Также интерес может предоставлять опция scan, но что происходит внутри и насколько там корректно реализованы проверки я пока еще не смотрел, но в самое ближайшее время собираюсь.

По первому впечатлению - это тот же дрозер, только более навороченный, возможно будет удобнее для каких-то ручных проверок, если у вас нет автоматизации для проверки, например, контент-провайдеров.

Ну и так как репозиторий относительно молодой (от июня 2023 года), он все еще развивается (4 дня назад последний коммит). Будем наблюдать, посмотрим, что у автора в итоге получится.

#android #ios #tool #combain #mmsf
Introduction to Security of Mobile Applications for Android

Всем привет!
Не так давно вышло отличное видео про введение в безопасность Android-приложений.

Очень советую всем, кто хотел бы вкатиться в эту область или расширить свой кругозор относительно разработки. В примерах, которые приводит Игорь в своем докладе, он рассматривает как раз написанное нами уязвимое приложение Secure Notes, которое мы публиковали на OFFZONE в качестве CTF.

На мой взгляд это отличный пример того, как на реальном приложении рассматриваются самые различные проблемы безопасности и объясняется, как их недопустить (ну и способы эксплуатации, конечно).

И помните, мы обещали выложить некоторые подробности того, как устроено приложение внутри, какие были баги и что мы еще вспомним об этом приложении? Я очень надеюсь, что скоро мы выпустим интересную статью про наше замечательное приложение.

Игорь, Лина, спасибо вам за контент и приложение 😄

#securenotes #android #video #training
Обучение в ИБ и не только

Всем привет, недавно пообщались с уважаемыми людьми про обучение, про кадры, про разные курсы и все, что с этим связано. Как по мне получилось очень даже классно :)
Media is too big
VIEW IN TELEGRAM
✏️ Обучение безопасников — почему оно неизбежно и как его проводить правильно? Именно этому сложному вопросу посвящён седьмой выпуск подкаста ОБИБЭ. Обсудили лучшие тренинги, каких курсов не хватает бизнесу, что делать с курсами, проходимыми ради бумажки, и почему обучать надо в первую очередь «середнячков». Конечно, не остались забытыми темы обучения в ВУЗах, из каких универов охотно берут на работу и прочие вечные вопросы связи академического обучения и практики.

У микрофонов трудились:

Анна Чефранова,
Генеральный директор «Учебного центра ИнфоТеКС», доктор педагогических наук

Юрий Шабалин,
Генеральный директор Stingray Technologies, автор телеграм-канала Mobile Appsec World

Ольга Свиридова,
Руководитель триаж-команды BugBounty Standoff365, экс руководитель appsec

Ведёт выпуск Владимир Дащенко, эксперт по кибербезопасности в Kaspersky ICS CERT

🎞 Смотреть подкаст

#подкаст @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Похек (Sergey Zybnev)
Пентест мобилок в 19 веке
Старт в анализе iOS-приложений

Всем привет, не так давно, на встрече обсуждали, что для iOS не так много материала и вкатиться в их анализ намного сложнее.

И это действительно так, анализ iOS сложнее для входа, из-за особенностей самой платформы, которая не очень-то предоставляет интерфейсы для взаимодействия приложений между собой. Они, конечно есть, но их намного меньше, чем в том же Android. Ну и конечно это формат самих приложений. Нельзя просто так взять и декомпилировать iOS-приложение, получила читаемый код, в котором относительно просто ориентироваться. Для яблока это работа с дизассемблерами и бинарщиной.

Но на самом деле, материалы есть и вот несколько статей из серии, как начать:

Часть 1. Про установку твиков, сидит и прочие базовые штуки.

Часть 2. Тут про стандартные проверки, как их выполнять разными способами через разные инструменты.

Часть 3. Тут про обход джейлбрейка, про отключение пиннинга и чуть-чуть про флаттер.

Статьи весьма базовые, но дают первое представление, как работать вообще с такими приложениями.

От себя лишь добавлю, что не увлекайтесь особенно твиками, некоторые из них могут либо окирпичить ваше устройство, либо повлиять на работу других твиков из-за конфликтов.

#ios #start
Эксплуатация уязвимости выполнения кода на уровне ядра через функционал OTA Update в MacOS

Доклад из разряда «Ничего не понятно, но очень интересно!».

Для начала материалы:
1. Слайды с доклада
2. PoC для энтузиастов
3. Видео демонстрация

К сожалению, мне не довелось еще изучить механизмы безопасности операционной системы MacOS, в частности, защиту SIP и прочие околосвязанные вещи. В теории я более менее понимаю, как оно работает, но пока что, все что я делал, это отключал SIP :)

Надеюсь, эти материалы будут полезны тем, кто вплотную работает с этим направлением. Ну а остальным, в качестве расширения кругозора :₽

#macos #ace #kernel
Подборка историй о взломах мобильных приложений

Всем привет!

Недавно пришла в голову идея составить небольшую подборку из громких в свое время историй про взлом мобильных приложений. То есть о тех историях, которые получили публичную известность благодаря СМИ и немного пошумели.

Мне кажется, что получилось достаточно неплохо, по крайней мере мне самому было интересно ее перечитать после публикации.

Так что приятного и легкого чтения =)

#news #vulns
Участие в премии

Всем привет!
Наш продукт "Стингрей" первый раз участвует в Национальной Банковской премии 2023 в номинации "Информационная безопасность".

Никогда раньше в подобных вещах не участвовал, но это оказывается достаточно волнительно 😄

Если есть желание, поддержите нас своим голосом, пожалуйста:
https://nbp.nbj.ru/v68/

Спасибо большое!
Обход SSL Pinning во Flutter-приложениях

Всем привет!
Давно не было интересных новостей и вот самая актуальная тема всех чатов - обход пиннинга!

На этот раз это видео про обход этого во Flutter-based приложениях. И это весьма интересно, так как Flutter внутри себя использует несколько другие подходы и стандартные скрипты по снятию защиты не работают.

К сожалению, это видно на английском от индуса с классическим акцентом, который надо уметь слушать, моего терпения не хватает, а сожалению.

А вообще в канале достаточно много интересных видео на тему анализа мобильных приложений и использования Frida и других инструментов. Тае что, кому заходит видео-инструкции и кто выдерживает индусский акцент, может быть достаточно интересно.

#android #pinning #flutter
Как на самом деле магазины приложений проверяют ваше приложение на уязвимости перед публикацией.

Всем привет!

Не могу не поделиться, хоть и из отпуска, нашим исследованием.

Как вы помните, на OFFZONE мы проводили CTF, в котором было представлено приложение с реальными уязвимостями. Тогда я обещал, что мы о нем еще поговорим. Время пришло 🙂

Мы загрузили наше уязвимое приложение во все популярные магазины, наблюдали за процессом их публикации и тому, какие проверки наше приложение проходило.

Исследование призвано ответить на несколько вопросов. Первый - это доказать, что надеется на проверку сторов при публикации и замещать этим аудиты безопасности приложений и средства по анализу защищенности нельзя.

Второй - выяснить, насколько магазины приложений выполняют свои обещания по проверке приложений на безопасность.

Сразу скажу, что к тем сторам, где нет ни слова об анализе приложений на безопасность, вопросов никаких и нет. Однако к тем, которые эту проверку обещают, есть большой вопрос.

Исследование касалось именно проверки на уязвимости и недостатки в приложении, но никак не проверке на вирусы, рекламу и прочее, что любой уважающий себя магазин и так делает.

Статья выше разделена на две части:
- Первая рассказывает о нашем приложении, как оно устроено, какие проблемы мы в него закладывали, к чему они могут привести. Давно планировали это написать, но решили совместить, так что всем, кто решал наш CTF и хотел посмотреть, что было еще, добро пожаловать!

- Вторая часть касается уже непосредственно анализу проверок магазинами, что они обещают и как это выглядит на самом деле. С датами заявки, проверок и публикаций.

Выводы делайте сами, но на мой взгляд, все достаточно просто, нельзя доверять проверку своего приложения на безопасность магазинам приложений, чтобы они не обещали.

И если когда-то вам скажут о том, что аудит не нужен, так как есть проверки на стороне магазинов, просто покажите им эту статью.

Лайки, репосты и прочие активности очень приветствуются!

Ну а я дальше отдыхать 🌴🏝️

#research #android #googleplay #ctf
Кастомные сборки Android

Всегда было интересно послушать про различные кастомные сборки Андроидаиз АОСП, особенно, нацеленные на приватность/безопасность.

Сильно опыта в этом нет, но интересно очень :)

И вот, наш знакомый будет делать доклад, посвещенный этому направлению.
Очень надеюсь, что будет трансляция или запись ;)
Forwarded from RutheniumOS
RutheniumOS. Забота о себе, или зачем нужна ещё одна приватная ОС на базе AOSP

DC7831 / DEF CON
Ждите в Нижнем Новгороде 24-25 февраля 2024 года

В докладе разберем следующие темы:
- Любовь и корпорации, или откуда взялись неофициальные прошивки.
- Открытость != приватность: какие сервисы AOSP передают информацию в Google.
- А давайте соберём AOSP: вода под камнями, опыт портирования.
- Сапожник ходит без рута: как после вольностей в настройках вернуть себе прежнюю безопасность ОС Android.
Не могу не поделиться монументальной работой.

Пока что не изучал, но планирую на неделе рабочей обязательно почитать и сделать небольшую выдержку. Приятно, что такие материалы появляются, спасибо автору!
Forwarded from RutheniumOS
android_encryption.pdf
8.8 MB
Такая вот работа получилась. Большая статья про шифрование в Android и атаки на него.
С наступившим!

Всем привет, со всеми прошедшими, наступившими и ближайшими праздниками!

Очень сожалею, что не успел и не осилил написать длинный и красивый пост по итогам года, как все прошло, как было и что запомнилось. Каюсь, конец года был нереально сложным, но очень интересным! Поэтому и немного пришлось канал подзапустить. Но ничего, новый год приносит нам новые силы на новые свершения! И я все-таки добрался до новогоднего поздравления!

С праздниками вас, друзья мои! Хочу пожелать, чтобы в этом году у всех осуществлялись их желания и достигались поставленные цели, и главное, чтобы вы и ваши близкие были здоровы и поменьше болели!

Мне этот 2023 запомнился большим количеством разных активностей, исследований и экспериментов! Отдельно хочу поздравить команду «Стингрей», ребята и девушки, вы самые лучшие, мне безумно повезло работать с вами и создавать этот продукт!

Спасибо и всем, кто читает этот канал и кому небезразлична безопасность мобильных приложений, вместе с вами мы делаем безумно важное дело, повышаем безопасность нашей «мобильной» жизни!

Что сказать, в этом году я жду еще больше драйва, движа, конкурсов, активностей и разных исследований) Постараюсь чаще радовать контентом, не забывать постить интересные инструменты и статьи, постараюсь делать это системно 😅

Так что, удачи всем в этом году, пусть он будет интереснее, позитивнее и продуктивнее, чем все, что было до этого!

С наступившим 2024 годом!

#happynewyear