Эксплуатация уязвимости выполнения кода на уровне ядра через функционал OTA Update в MacOS
Доклад из разряда «Ничего не понятно, но очень интересно!».
Для начала материалы:
1. Слайды с доклада
2. PoC для энтузиастов
3. Видео демонстрация
К сожалению, мне не довелось еще изучить механизмы безопасности операционной системы MacOS, в частности, защиту SIP и прочие околосвязанные вещи. В теории я более менее понимаю, как оно работает, но пока что, все что я делал, это отключал SIP :)
Надеюсь, эти материалы будут полезны тем, кто вплотную работает с этим направлением. Ну а остальным, в качестве расширения кругозора :₽
#macos #ace #kernel
Доклад из разряда «Ничего не понятно, но очень интересно!».
Для начала материалы:
1. Слайды с доклада
2. PoC для энтузиастов
3. Видео демонстрация
К сожалению, мне не довелось еще изучить механизмы безопасности операционной системы MacOS, в частности, защиту SIP и прочие околосвязанные вещи. В теории я более менее понимаю, как оно работает, но пока что, все что я делал, это отключал SIP :)
Надеюсь, эти материалы будут полезны тем, кто вплотную работает с этим направлением. Ну а остальным, в качестве расширения кругозора :₽
#macos #ace #kernel
GitHub
jhftss.github.io/res/slides/OBTS_v6_The Nightmare of Apple OTA Update_Mickey Jin.pdf at main · jhftss/jhftss.github.io
Mickey's Blogs. Contribute to jhftss/jhftss.github.io development by creating an account on GitHub.
Подборка историй о взломах мобильных приложений
Всем привет!
Недавно пришла в голову идея составить небольшую подборку из громких в свое время историй про взлом мобильных приложений. То есть о тех историях, которые получили публичную известность благодаря СМИ и немного пошумели.
Мне кажется, что получилось достаточно неплохо, по крайней мере мне самому было интересно ее перечитать после публикации.
Так что приятного и легкого чтения =)
#news #vulns
Всем привет!
Недавно пришла в голову идея составить небольшую подборку из громких в свое время историй про взлом мобильных приложений. То есть о тех историях, которые получили публичную известность благодаря СМИ и немного пошумели.
Мне кажется, что получилось достаточно неплохо, по крайней мере мне самому было интересно ее перечитать после публикации.
Так что приятного и легкого чтения =)
#news #vulns
securitymedia.org
ТОП компаний, чьи уязвимые мобильные приложения нанесли реальный вред бизнесу
Юрий ШабалинГенеральный директор СтингрейТехнолоджиз
Отсутствие проблем безопасностив мобильных приложениях не менее важно,чем защищенность серверной части.Этозаявление должно быть аксиомой, но в немпродолжают сомневаться - многим кажется,что мобильные приложения…
Отсутствие проблем безопасностив мобильных приложениях не менее важно,чем защищенность серверной части.Этозаявление должно быть аксиомой, но в немпродолжают сомневаться - многим кажется,что мобильные приложения…
Участие в премии
Всем привет!
Наш продукт "Стингрей" первый раз участвует в Национальной Банковской премии 2023 в номинации "Информационная безопасность".
Никогда раньше в подобных вещах не участвовал, но это оказывается достаточно волнительно 😄
Если есть желание, поддержите нас своим голосом, пожалуйста:
https://nbp.nbj.ru/v68/
Спасибо большое!
Всем привет!
Наш продукт "Стингрей" первый раз участвует в Национальной Банковской премии 2023 в номинации "Информационная безопасность".
Никогда раньше в подобных вещах не участвовал, но это оказывается достаточно волнительно 😄
Если есть желание, поддержите нас своим голосом, пожалуйста:
https://nbp.nbj.ru/v68/
Спасибо большое!
Всем привет!
Давно не было интересных новостей и вот самая актуальная тема всех чатов -
На этот раз это видео про обход этого во Flutter-based приложениях. И это весьма интересно, так как Flutter внутри себя использует несколько другие подходы и стандартные скрипты по снятию защиты не работают.
К сожалению, это видно на английском от индуса с классическим акцентом, который надо уметь слушать, моего терпения не хватает, а сожалению.
А вообще в канале достаточно много интересных видео на тему анализа мобильных приложений и использования Frida и других инструментов. Тае что, кому заходит видео-инструкции и кто выдерживает индусский акцент, может быть достаточно интересно.
#android #pinning #flutter
YouTube
Bypass SSL Pinning for Flutter apps using Frida
Hello everyone,
In this video we're diving deep into the world of SSL traffic interception in Flutter Android applications. Flutter handles SSL/TLS differently from your typical Android apps, and in this video, we're going to explore the inner workings.…
In this video we're diving deep into the world of SSL traffic interception in Flutter Android applications. Flutter handles SSL/TLS differently from your typical Android apps, and in this video, we're going to explore the inner workings.…
Как на самом деле магазины приложений проверяют ваше приложение на уязвимости перед публикацией.
Всем привет!
Не могу не поделиться, хоть и из отпуска, нашим исследованием.
Как вы помните, на OFFZONE мы проводили CTF, в котором было представлено приложение с реальными уязвимостями. Тогда я обещал, что мы о нем еще поговорим. Время пришло 🙂
Мы загрузили наше уязвимое приложение во все популярные магазины, наблюдали за процессом их публикации и тому, какие проверки наше приложение проходило.
Исследование призвано ответить на несколько вопросов. Первый - это доказать, что надеется на проверку сторов при публикации и замещать этим аудиты безопасности приложений и средства по анализу защищенности нельзя.
Второй - выяснить, насколько магазины приложений выполняют свои обещания по проверке приложений на безопасность.
Сразу скажу, что к тем сторам, где нет ни слова об анализе приложений на безопасность, вопросов никаких и нет. Однако к тем, которые эту проверку обещают, есть большой вопрос.
Исследование касалось именно проверки на уязвимости и недостатки в приложении, но никак не проверке на вирусы, рекламу и прочее, что любой уважающий себя магазин и так делает.
Статья выше разделена на две части:
- Первая рассказывает о нашем приложении, как оно устроено, какие проблемы мы в него закладывали, к чему они могут привести. Давно планировали это написать, но решили совместить, так что всем, кто решал наш CTF и хотел посмотреть, что было еще, добро пожаловать!
- Вторая часть касается уже непосредственно анализу проверок магазинами, что они обещают и как это выглядит на самом деле. С датами заявки, проверок и публикаций.
Выводы делайте сами, но на мой взгляд, все достаточно просто, нельзя доверять проверку своего приложения на безопасность магазинам приложений, чтобы они не обещали.
И если когда-то вам скажут о том, что аудит не нужен, так как есть проверки на стороне магазинов, просто покажите им эту статью.
Лайки, репосты и прочие активности очень приветствуются!
Ну а я дальше отдыхать 🌴🏝️
#research #android #googleplay #ctf
Всем привет!
Не могу не поделиться, хоть и из отпуска, нашим исследованием.
Как вы помните, на OFFZONE мы проводили CTF, в котором было представлено приложение с реальными уязвимостями. Тогда я обещал, что мы о нем еще поговорим. Время пришло 🙂
Мы загрузили наше уязвимое приложение во все популярные магазины, наблюдали за процессом их публикации и тому, какие проверки наше приложение проходило.
Исследование призвано ответить на несколько вопросов. Первый - это доказать, что надеется на проверку сторов при публикации и замещать этим аудиты безопасности приложений и средства по анализу защищенности нельзя.
Второй - выяснить, насколько магазины приложений выполняют свои обещания по проверке приложений на безопасность.
Сразу скажу, что к тем сторам, где нет ни слова об анализе приложений на безопасность, вопросов никаких и нет. Однако к тем, которые эту проверку обещают, есть большой вопрос.
Исследование касалось именно проверки на уязвимости и недостатки в приложении, но никак не проверке на вирусы, рекламу и прочее, что любой уважающий себя магазин и так делает.
Статья выше разделена на две части:
- Первая рассказывает о нашем приложении, как оно устроено, какие проблемы мы в него закладывали, к чему они могут привести. Давно планировали это написать, но решили совместить, так что всем, кто решал наш CTF и хотел посмотреть, что было еще, добро пожаловать!
- Вторая часть касается уже непосредственно анализу проверок магазинами, что они обещают и как это выглядит на самом деле. С датами заявки, проверок и публикаций.
Выводы делайте сами, но на мой взгляд, все достаточно просто, нельзя доверять проверку своего приложения на безопасность магазинам приложений, чтобы они не обещали.
И если когда-то вам скажут о том, что аудит не нужен, так как есть проверки на стороне магазинов, просто покажите им эту статью.
Лайки, репосты и прочие активности очень приветствуются!
Ну а я дальше отдыхать 🌴🏝️
#research #android #googleplay #ctf
Хабр
Разрушители легенд: Как на самом деле магазины проверяют приложения на уязвимости
Intro Всем привет! Снова с вами Юрий Шабалин. Уже много лет я занимаюсь безопасностью мобильных приложений и в своих исследованиях доношу важность этого направления для бизнеса. В одной из прошлых...
Кастомные сборки Android
Всегда было интересно послушать про различные кастомные сборки Андроидаиз АОСП, особенно, нацеленные на приватность/безопасность.
Сильно опыта в этом нет, но интересно очень :)
И вот, наш знакомый будет делать доклад, посвещенный этому направлению.
Очень надеюсь, что будет трансляция или запись ;)
Всегда было интересно послушать про различные кастомные сборки Андроидаиз АОСП, особенно, нацеленные на приватность/безопасность.
Сильно опыта в этом нет, но интересно очень :)
И вот, наш знакомый будет делать доклад, посвещенный этому направлению.
Очень надеюсь, что будет трансляция или запись ;)
Forwarded from RutheniumOS
RutheniumOS. Забота о себе, или зачем нужна ещё одна приватная ОС на базе AOSP
DC7831 / DEF CON
Ждите в Нижнем Новгороде 24-25 февраля 2024 года
В докладе разберем следующие темы:
- Любовь и корпорации, или откуда взялись неофициальные прошивки.
- Открытость != приватность: какие сервисы AOSP передают информацию в Google.
- А давайте соберём AOSP: вода под камнями, опыт портирования.
- Сапожник ходит без рута: как после вольностей в настройках вернуть себе прежнюю безопасность ОС Android.
DC7831 / DEF CON
Ждите в Нижнем Новгороде 24-25 февраля 2024 года
В докладе разберем следующие темы:
- Любовь и корпорации, или откуда взялись неофициальные прошивки.
- Открытость != приватность: какие сервисы AOSP передают информацию в Google.
- А давайте соберём AOSP: вода под камнями, опыт портирования.
- Сапожник ходит без рута: как после вольностей в настройках вернуть себе прежнюю безопасность ОС Android.
Не могу не поделиться монументальной работой.
Пока что не изучал, но планирую на неделе рабочей обязательно почитать и сделать небольшую выдержку. Приятно, что такие материалы появляются, спасибо автору!
Пока что не изучал, но планирую на неделе рабочей обязательно почитать и сделать небольшую выдержку. Приятно, что такие материалы появляются, спасибо автору!
Forwarded from RutheniumOS
android_encryption.pdf
8.8 MB
Такая вот работа получилась. Большая статья про шифрование в Android и атаки на него.
С наступившим!
Всем привет, со всеми прошедшими, наступившими и ближайшими праздниками!
Очень сожалею, что не успел и не осилил написать длинный и красивый пост по итогам года, как все прошло, как было и что запомнилось. Каюсь, конец года был нереально сложным, но очень интересным! Поэтому и немного пришлось канал подзапустить. Но ничего, новый год приносит нам новые силы на новые свершения! И я все-таки добрался до новогоднего поздравления!
С праздниками вас, друзья мои! Хочу пожелать, чтобы в этом году у всех осуществлялись их желания и достигались поставленные цели, и главное, чтобы вы и ваши близкие были здоровы и поменьше болели!
Мне этот 2023 запомнился большим количеством разных активностей, исследований и экспериментов! Отдельно хочу поздравить команду «Стингрей», ребята и девушки, вы самые лучшие, мне безумно повезло работать с вами и создавать этот продукт!
Спасибо и всем, кто читает этот канал и кому небезразлична безопасность мобильных приложений, вместе с вами мы делаем безумно важное дело, повышаем безопасность нашей «мобильной» жизни!
Что сказать, в этом году я жду еще больше драйва, движа, конкурсов, активностей и разных исследований) Постараюсь чаще радовать контентом, не забывать постить интересные инструменты и статьи, постараюсь делать это системно 😅
Так что, удачи всем в этом году, пусть он будет интереснее, позитивнее и продуктивнее, чем все, что было до этого!
С наступившим 2024 годом!
#happynewyear
Всем привет, со всеми прошедшими, наступившими и ближайшими праздниками!
Очень сожалею, что не успел и не осилил написать длинный и красивый пост по итогам года, как все прошло, как было и что запомнилось. Каюсь, конец года был нереально сложным, но очень интересным! Поэтому и немного пришлось канал подзапустить. Но ничего, новый год приносит нам новые силы на новые свершения! И я все-таки добрался до новогоднего поздравления!
С праздниками вас, друзья мои! Хочу пожелать, чтобы в этом году у всех осуществлялись их желания и достигались поставленные цели, и главное, чтобы вы и ваши близкие были здоровы и поменьше болели!
Мне этот 2023 запомнился большим количеством разных активностей, исследований и экспериментов! Отдельно хочу поздравить команду «Стингрей», ребята и девушки, вы самые лучшие, мне безумно повезло работать с вами и создавать этот продукт!
Спасибо и всем, кто читает этот канал и кому небезразлична безопасность мобильных приложений, вместе с вами мы делаем безумно важное дело, повышаем безопасность нашей «мобильной» жизни!
Что сказать, в этом году я жду еще больше драйва, движа, конкурсов, активностей и разных исследований) Постараюсь чаще радовать контентом, не забывать постить интересные инструменты и статьи, постараюсь делать это системно 😅
Так что, удачи всем в этом году, пусть он будет интереснее, позитивнее и продуктивнее, чем все, что было до этого!
С наступившим 2024 годом!
#happynewyear
Please open Telegram to view this post
VIEW IN TELEGRAM
Pending Intents, что это и зачем?
Крайне полезная статья про механизм Pending Intents в Android, которая очень хорошо структурирована.
Люблю такие материалы, сначала теория, затем разъяснение, для чего этот механизм используется в легитимном плане и далее материал, как это может повлиять на безопасность и как такие вещи можно искать.
Была похожая статья от Oversecured, на которую ссылается в том числе и автор материала, так как что тем, ето хочет глубже погрузиться в эту область рекомендую изучить и ее тоже.
#android #intents
Крайне полезная статья про механизм Pending Intents в Android, которая очень хорошо структурирована.
Люблю такие материалы, сначала теория, затем разъяснение, для чего этот механизм используется в легитимном плане и далее материал, как это может повлиять на безопасность и как такие вещи можно искать.
Была похожая статья от Oversecured, на которую ссылается в том числе и автор материала, так как что тем, ето хочет глубже погрузиться в эту область рекомендую изучить и ее тоже.
#android #intents
Medium
Pending Intents: A Pentester’s view
Few days ago I came across an interesting case of vulnerability posted at the AndroidInfoSec’s facebook page. Since there are not many…
Mobile AppSec World
Пишем Android-приложение практически полностью в NDK Привет любителям прятать строки в .so файлах, что бы их сложнее было найти! Тут есть крайне занятный пример, как практически полностью написать приложение, используя NDK для того, чтобы усложнить анализ…
Много полезных видео для реверса
Решил я пересмотреть видео и глянуть, а что там ещё интересного у автора в видео лежит.
А там крайне много интересной информации, начиная от начального уровня (анализ и структура файла Info.plist), заканчивая весьма сложными вещами (на по крайней мере для меня), как пример - Ghydra Scripting.
Так что всем любителям и профессионалам реверса, которым заходит видео-контент, крайне рекомендую.
#YouTube #reverse
Решил я пересмотреть видео и глянуть, а что там ещё интересного у автора в видео лежит.
А там крайне много интересной информации, начиная от начального уровня (анализ и структура файла Info.plist), заканчивая весьма сложными вещами (на по крайней мере для меня), как пример - Ghydra Scripting.
Так что всем любителям и профессионалам реверса, которым заходит видео-контент, крайне рекомендую.
#YouTube #reverse
YouTube
Exploring Info.plist: Essential Knowledge for iOS Reverse Engineering
In this video, we dive into the Info.plist and discover the relevant sections for iOS Reverse Engineering and security analysis. We also write a quick python script to manually decode binary plists!
---
Timestamp:
00:00 Intro
00:49 Filza File Manager Example…
---
Timestamp:
00:00 Intro
00:49 Filza File Manager Example…
Azeria Labs - обучение реверсу
Тут в комментариях подсказали еще один отличный ресурс по реверсу - Azeria Labs.
У них есть приватный контент, куросв и книги за деньги, но в тоже время есть и открытая часть, которая на первый взгляд очень насыщенная.
При этом есть и общая часть и статьи непосредственно относящиеся к iOS, например:
1. HEAP EXPLOIT DEVELOPMENT – CASE STUDY FROM AN IN-THE-WILD IOS 0-DAY
2. HEAP OVERFLOWS AND THE IOS KERNEL HEAP
3. GROOMING THE IOS KERNEL HEAP
Так что будет интересно и людям, кто занимается мобилками и всем, кто занимается реверсом.
#reverse #ios
Тут в комментариях подсказали еще один отличный ресурс по реверсу - Azeria Labs.
У них есть приватный контент, куросв и книги за деньги, но в тоже время есть и открытая часть, которая на первый взгляд очень насыщенная.
При этом есть и общая часть и статьи непосредственно относящиеся к iOS, например:
1. HEAP EXPLOIT DEVELOPMENT – CASE STUDY FROM AN IN-THE-WILD IOS 0-DAY
2. HEAP OVERFLOWS AND THE IOS KERNEL HEAP
3. GROOMING THE IOS KERNEL HEAP
Так что будет интересно и людям, кто занимается мобилками и всем, кто занимается реверсом.
#reverse #ios
Azeria-Labs
Heap Exploit Development
Анализ Android-трояна GodFather
Чем еще заняться в старый новый год? Конечно же, поизучать разные малвари :)
Пример разбора одного из классических примеров зловреда, сочетающий в себе функции перенаправления смс и звонков для обхода 2фа, записи экрана, оверлеев и прочих заурядных вещей описан в статье.
Что сказать, на месте авторов я бы поизучал безопасность приложений.. Например, ужасная функция защиты от работы на эмуляторе, ключ шифрования 'ABC', зашитый в коде, не очень хорошая обфускация (судя по скринам), как-то не впечатляет :)
И еще одна интересная статья по этому же троянцу от Group, которая описывает немного другие аспекты, есть как технические, так и поведенческие моменты, но все равно очень интересно почитать.
Хоть и не сильно мне нравятся подобные темы, но иногда можно и посмотреть, что скрыто внутри малвари, попадаются иногда очень технически интересные экземпляры и статьи по их разбору :)
Всех с наступающим старым новым годом!
#Android #Malware #godfather
Чем еще заняться в старый новый год? Конечно же, поизучать разные малвари :)
Пример разбора одного из классических примеров зловреда, сочетающий в себе функции перенаправления смс и звонков для обхода 2фа, записи экрана, оверлеев и прочих заурядных вещей описан в статье.
Что сказать, на месте авторов я бы поизучал безопасность приложений.. Например, ужасная функция защиты от работы на эмуляторе, ключ шифрования 'ABC', зашитый в коде, не очень хорошая обфускация (судя по скринам), как-то не впечатляет :)
И еще одна интересная статья по этому же троянцу от Group, которая описывает немного другие аспекты, есть как технические, так и поведенческие моменты, но все равно очень интересно почитать.
Хоть и не сильно мне нравятся подобные темы, но иногда можно и посмотреть, что скрыто внутри малвари, попадаются иногда очень технически интересные экземпляры и статьи по их разбору :)
Всех с наступающим старым новым годом!
#Android #Malware #godfather
muha2xmad
Technical analysis of Godfather android malware
بسم الله الرحمن الرحيم
Новая атака на цепочку поставок: Java и Android под ударом!
Буквально на днях компания Oversecured выпустила потрясающую статью про новую атаку на цепочку поставок. В этот раз под ударом оказались Java-пакеты и, конечно, под раздачу попал и Android...
Способ атаки крайне прост и изящен. Для того, чтобы загрузить новую версию или измененную старую в репозиторий, например, MavenCentral необходимо подтвердить, что ты это ты. Как это сделать? Перевернуть имя пакета и на указанном домене разместить dns-запись.
К примеру, пакет
Но как правило, при смене имени пакета случается так, что про старый домен забывают.. Или вообще домен уже давно разделегирован.
Суть атаки в покупке домена, регистрации себя, как собственника библиотеки и заливанию новой/обновленной версии с зловредной нагрузкой в репозиторий. Вуаля, и все проекты использующие эту зависимость или выкачивающие ее как транзитивную получают к себе бомбу замедленного действия...
Идеальный план и более того, ребята провели исследование всех библиотек в нескольких репозиториях и получили крайне интересные цифры по уязвимым либам:
1. По доменам: 3,710 or 14.18%
2. На основании приватных github-репо: 291 or 3.86%
Крайне интересные цифры.
Снимаю шляпу перед исследователями такого уровня :)
Я думаю, что скоро нас ждет интересное продолжение :)
#oversecured #supplychain #android
Буквально на днях компания Oversecured выпустила потрясающую статью про новую атаку на цепочку поставок. В этот раз под ударом оказались Java-пакеты и, конечно, под раздачу попал и Android...
Способ атаки крайне прост и изящен. Для того, чтобы загрузить новую версию или измененную старую в репозиторий, например, MavenCentral необходимо подтвердить, что ты это ты. Как это сделать? Перевернуть имя пакета и на указанном домене разместить dns-запись.
К примеру, пакет
com.stingray.mobile превращается в домен mobile.stingray.com. И, добавив несколько полей в TXT-запись мы получаем верифицированный аккаунт, который может загружать новые и обновлять существующие версии. Но как правило, при смене имени пакета случается так, что про старый домен забывают.. Или вообще домен уже давно разделегирован.
Суть атаки в покупке домена, регистрации себя, как собственника библиотеки и заливанию новой/обновленной версии с зловредной нагрузкой в репозиторий. Вуаля, и все проекты использующие эту зависимость или выкачивающие ее как транзитивную получают к себе бомбу замедленного действия...
Идеальный план и более того, ребята провели исследование всех библиотек в нескольких репозиториях и получили крайне интересные цифры по уязвимым либам:
1. По доменам: 3,710 or 14.18%
2. На основании приватных github-репо: 291 or 3.86%
Крайне интересные цифры.
Снимаю шляпу перед исследователями такого уровня :)
Я думаю, что скоро нас ждет интересное продолжение :)
#oversecured #supplychain #android
News, Techniques & Guides
Introducing MavenGate: a supply chain attack method for Java and Android applications
More recently, the cybersecurity community has seen numerous studies of supply chain attacks on Web apps.
Гайд для начинающих в iOS
Ребята из компании Onsec.io написали несколько статей для начинающих по анализа iOS-приложений. На данный момент вышло две статьи.
Первая про процедуру Jailbreak устройства, на котором будут происходить все дальнейшие эксперименты. Написано весьма неплохо, но поверьте, при работе с palera1n вас ждет много интересных открытий ;)
Вторая уже про первичный анализ приложения и про перехват трафика в приложении (а так же базовые способы снятия пиннинга).
Статьи для начинающих, более продвинутым пользователям будет вряд ли полезны, но тем не менее аудитория разная, так что может быть интересно тем, кто только начинает свой непростой путь ;)
Как отправная точка вполне.
#ios #beginners #pentest
Ребята из компании Onsec.io написали несколько статей для начинающих по анализа iOS-приложений. На данный момент вышло две статьи.
Первая про процедуру Jailbreak устройства, на котором будут происходить все дальнейшие эксперименты. Написано весьма неплохо, но поверьте, при работе с palera1n вас ждет много интересных открытий ;)
Вторая уже про первичный анализ приложения и про перехват трафика в приложении (а так же базовые способы снятия пиннинга).
Статьи для начинающих, более продвинутым пользователям будет вряд ли полезны, но тем не менее аудитория разная, так что может быть интересно тем, кто только начинает свой непростой путь ;)
Как отправная точка вполне.
#ios #beginners #pentest
ONSEC.io
Lab for pentesting iOS applications. Part 1
Introduction
Goal: prepare a lab for pentesting iOS applications and MiTM traffic using Frida and BurpSuite.
This step-by-step guide consists of two parts. The first part is dedicated to preparing the equipment (installing the required software and jailbreaking…
Goal: prepare a lab for pentesting iOS applications and MiTM traffic using Frida and BurpSuite.
This step-by-step guide consists of two parts. The first part is dedicated to preparing the equipment (installing the required software and jailbreaking…
Анализ iOS-стилера
Что мы все про Андроид малварь, да про Андроид? Ведь на iOS тоже есть подобные экземпляры))
И на самом деле, если взглянуть на ситуацию год или два назад, то скорее всего их количество было сильно меньше, так как поставить приложение на iOS считалось чем-то очень и очень сложным. Но за последнее время, в связи с блокировкой многих приложений и поиска альтернативных средств установки это стало более реально. Раньше мы намного больше следили за тем, откуда загружается приложение, сейчас же все больше доверия к сайтам, с которых можно скачать приложение, все больше доверия сертификатам (профилям) разработчиков, которым нужно "доверять", чтобы работало приложение. То есть, мы планомерно приучаемся доверять нелегитимным источникам. И я думаю в ближайшее время появится еще больше похожих приложений.
Но от теории и размышлениям к статье. Статья из трех частей (опубликовано на данный момент две), в которой автор разбирает экземпляр приложения, которое ворует данные с устройства.
В первой статье идет речь про анализ сайта, который помогает загружать приложения на устройства пользователей. Объясняется принцип того, как можно установить приложение, что за сертификат разработчика, какие способы используют злоумышленники для фишинга. Ну тут все относительно просто, сайт определяет, откуда пришел пользователь, собирает про него всевозможные данные и показывает ему или QR для считывания на телефоне или мимикрирует под страничку AppStore с возможностью установки приложения.
Во второй статье уже идет разбор самого приложения, его сетевого трафика, анализ при помощи Ghydra и анализ поведения в динамике. По большому счету, стилер просто сливает ваши контакты злоумышленникам после получения доступа к адресной книге. Ну такое себе, могли бы что-то и поинтереснее придумать. Но статья интересна несколькими подходами по дизассемблированию, использованию нескольких скриптов по упрощению кода и приведение его к более читаемому виду. В общем, рекомендую почитать, если работаете с анализом iOS-бинарников.
Так что светлое будущее наступило и ждем, появления более интересных экземпляров.
#ios #stealer #malware
Что мы все про Андроид малварь, да про Андроид? Ведь на iOS тоже есть подобные экземпляры))
И на самом деле, если взглянуть на ситуацию год или два назад, то скорее всего их количество было сильно меньше, так как поставить приложение на iOS считалось чем-то очень и очень сложным. Но за последнее время, в связи с блокировкой многих приложений и поиска альтернативных средств установки это стало более реально. Раньше мы намного больше следили за тем, откуда загружается приложение, сейчас же все больше доверия к сайтам, с которых можно скачать приложение, все больше доверия сертификатам (профилям) разработчиков, которым нужно "доверять", чтобы работало приложение. То есть, мы планомерно приучаемся доверять нелегитимным источникам. И я думаю в ближайшее время появится еще больше похожих приложений.
Но от теории и размышлениям к статье. Статья из трех частей (опубликовано на данный момент две), в которой автор разбирает экземпляр приложения, которое ворует данные с устройства.
В первой статье идет речь про анализ сайта, который помогает загружать приложения на устройства пользователей. Объясняется принцип того, как можно установить приложение, что за сертификат разработчика, какие способы используют злоумышленники для фишинга. Ну тут все относительно просто, сайт определяет, откуда пришел пользователь, собирает про него всевозможные данные и показывает ему или QR для считывания на телефоне или мимикрирует под страничку AppStore с возможностью установки приложения.
Во второй статье уже идет разбор самого приложения, его сетевого трафика, анализ при помощи Ghydra и анализ поведения в динамике. По большому счету, стилер просто сливает ваши контакты злоумышленникам после получения доступа к адресной книге. Ну такое себе, могли бы что-то и поинтереснее придумать. Но статья интересна несколькими подходами по дизассемблированию, использованию нескольких скриптов по упрощению кода и приведение его к более читаемому виду. В общем, рекомендую почитать, если работаете с анализом iOS-бинарников.
Так что светлое будущее наступило и ждем, появления более интересных экземпляров.
#ios #stealer #malware
Medium
Analysis of an Info Stealer — Chapter 1: The Phishing Website
Introduction
Изучение внутренностей Android
Крайне рекомендую канал нашего знакомого, который очень много и интересно пишет про внутренности Андроид системы. Всем, кому эта тема близка, прошу в канал автора.
А на самом деле, очень приятно и очень круто, что подобные материалы появляются на русском языке и можно всегда задать интересующие вопросы напрямую человеку, кто круто в этом разбирается!
Крайне рекомендую канал нашего знакомого, который очень много и интересно пишет про внутренности Андроид системы. Всем, кому эта тема близка, прошу в канал автора.
А на самом деле, очень приятно и очень круто, что подобные материалы появляются на русском языке и можно всегда задать интересующие вопросы напрямую человеку, кто круто в этом разбирается!
Telegram
RutheniumOS
Заметки об AOSP и создании защищённого и безопасного дистрибутива на базе лучших практик.
По всем вопросам -> @aftertime
По всем вопросам -> @aftertime
Forwarded from RutheniumOS
Внезапный материал про SELinux
SELinux + AOSP, или безопасности много не бывает.
https://blog.rutheniumos.ru/docs/blog/selinux_in_aosp/
SELinux + AOSP, или безопасности много не бывает.
https://blog.rutheniumos.ru/docs/blog/selinux_in_aosp/
blog.rutheniumos.ru
SELinux + AOSP, или безопасности много не бывает
SELinux + AOSP, или безопасности много не бывает. # Обзор SELinux # Security-Enhanced Linux (SELinux) — архитектура безопасности, интегрированная в Android Open Source (AOSP) для обеспечения обязательного контроля доступа (mandatory access control - MAC)…
URL extractor или как получить IP и домены из apk
Относительно недавно встала задача поискать все урлы, Хосты, домены и IP в Android-приложении.
Конечно, можно получить строки и грепнуть по ним регулярной, но мы же за автоматизацию, если сделать это действие нужно хотя бы два раза?)
Нашел репозиторий, который как раз делает то, что необходимо, собирает из APK (или даже из директории), все подходящие по формату строки и сортирует их по файликам.
По сути, это просто баш-скрипт, который декомпилирует приложение и также грепом проходится по файлам. Использует apktool и jadx.
В целом, неплохая отправная точка, чтобы начать делать что-то своё или быстро получить результат.
Пока в работе не пробовал, но очень скоро расскажу, насколько оно фалзит.
Если кто-то использует нечто подобное, тоже буду крайне признателен за советы :)
#android #extract #url
Относительно недавно встала задача поискать все урлы, Хосты, домены и IP в Android-приложении.
Конечно, можно получить строки и грепнуть по ним регулярной, но мы же за автоматизацию, если сделать это действие нужно хотя бы два раза?)
Нашел репозиторий, который как раз делает то, что необходимо, собирает из APK (или даже из директории), все подходящие по формату строки и сортирует их по файликам.
По сути, это просто баш-скрипт, который декомпилирует приложение и также грепом проходится по файлам. Использует apktool и jadx.
В целом, неплохая отправная точка, чтобы начать делать что-то своё или быстро получить результат.
Пока в работе не пробовал, но очень скоро расскажу, насколько оно фалзит.
Если кто-то использует нечто подобное, тоже буду крайне признателен за советы :)
#android #extract #url
GitHub
GitHub - n0mi1k/apk2url: An OSINT tool to quickly extract IP and URL endpoints from APKs by disassembling and decompiling
An OSINT tool to quickly extract IP and URL endpoints from APKs by disassembling and decompiling - n0mi1k/apk2url