Mobile AppSec World
3.74K subscribers
109 photos
6 videos
18 files
657 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
Forwarded from RutheniumOS
RutheniumOS. Забота о себе, или зачем нужна ещё одна приватная ОС на базе AOSP

DC7831 / DEF CON
Ждите в Нижнем Новгороде 24-25 февраля 2024 года

В докладе разберем следующие темы:
- Любовь и корпорации, или откуда взялись неофициальные прошивки.
- Открытость != приватность: какие сервисы AOSP передают информацию в Google.
- А давайте соберём AOSP: вода под камнями, опыт портирования.
- Сапожник ходит без рута: как после вольностей в настройках вернуть себе прежнюю безопасность ОС Android.
Не могу не поделиться монументальной работой.

Пока что не изучал, но планирую на неделе рабочей обязательно почитать и сделать небольшую выдержку. Приятно, что такие материалы появляются, спасибо автору!
Forwarded from RutheniumOS
android_encryption.pdf
8.8 MB
Такая вот работа получилась. Большая статья про шифрование в Android и атаки на него.
С наступившим!

Всем привет, со всеми прошедшими, наступившими и ближайшими праздниками!

Очень сожалею, что не успел и не осилил написать длинный и красивый пост по итогам года, как все прошло, как было и что запомнилось. Каюсь, конец года был нереально сложным, но очень интересным! Поэтому и немного пришлось канал подзапустить. Но ничего, новый год приносит нам новые силы на новые свершения! И я все-таки добрался до новогоднего поздравления!

С праздниками вас, друзья мои! Хочу пожелать, чтобы в этом году у всех осуществлялись их желания и достигались поставленные цели, и главное, чтобы вы и ваши близкие были здоровы и поменьше болели!

Мне этот 2023 запомнился большим количеством разных активностей, исследований и экспериментов! Отдельно хочу поздравить команду «Стингрей», ребята и девушки, вы самые лучшие, мне безумно повезло работать с вами и создавать этот продукт!

Спасибо и всем, кто читает этот канал и кому небезразлична безопасность мобильных приложений, вместе с вами мы делаем безумно важное дело, повышаем безопасность нашей «мобильной» жизни!

Что сказать, в этом году я жду еще больше драйва, движа, конкурсов, активностей и разных исследований) Постараюсь чаще радовать контентом, не забывать постить интересные инструменты и статьи, постараюсь делать это системно 😅

Так что, удачи всем в этом году, пусть он будет интереснее, позитивнее и продуктивнее, чем все, что было до этого!

С наступившим 2024 годом!

#happynewyear
Please open Telegram to view this post
VIEW IN TELEGRAM
Pending Intents, что это и зачем?

Крайне полезная статья про механизм Pending Intents в Android, которая очень хорошо структурирована.

Люблю такие материалы, сначала теория, затем разъяснение, для чего этот механизм используется в легитимном плане и далее материал, как это может повлиять на безопасность и как такие вещи можно искать.

Была похожая статья от Oversecured, на которую ссылается в том числе и автор материала, так как что тем, ето хочет глубже погрузиться в эту область рекомендую изучить и ее тоже.

#android #intents
Mobile AppSec World
Пишем Android-приложение практически полностью в NDK Привет любителям прятать строки в .so файлах, что бы их сложнее было найти! Тут есть крайне занятный пример, как практически полностью написать приложение, используя NDK для того, чтобы усложнить анализ…
Много полезных видео для реверса

Решил я пересмотреть видео и глянуть, а что там ещё интересного у автора в видео лежит.

А там крайне много интересной информации, начиная от начального уровня (анализ и структура файла Info.plist), заканчивая весьма сложными вещами (на по крайней мере для меня), как пример - Ghydra Scripting.

Так что всем любителям и профессионалам реверса, которым заходит видео-контент, крайне рекомендую.

#YouTube #reverse
Azeria Labs - обучение реверсу

Тут в комментариях подсказали еще один отличный ресурс по реверсу - Azeria Labs.

У них есть приватный контент, куросв и книги за деньги, но в тоже время есть и открытая часть, которая на первый взгляд очень насыщенная.

При этом есть и общая часть и статьи непосредственно относящиеся к iOS, например:

1. HEAP EXPLOIT DEVELOPMENT – CASE STUDY FROM AN IN-THE-WILD IOS 0-DAY

2. HEAP OVERFLOWS AND THE IOS KERNEL HEAP

3. GROOMING THE IOS KERNEL HEAP

Так что будет интересно и людям, кто занимается мобилками и всем, кто занимается реверсом.

#reverse #ios
Анализ Android-трояна GodFather

Чем еще заняться в старый новый год? Конечно же, поизучать разные малвари :)

Пример разбора одного из классических примеров зловреда, сочетающий в себе функции перенаправления смс и звонков для обхода 2фа, записи экрана, оверлеев и прочих заурядных вещей описан в статье.

Что сказать, на месте авторов я бы поизучал безопасность приложений.. Например, ужасная функция защиты от работы на эмуляторе, ключ шифрования 'ABC', зашитый в коде, не очень хорошая обфускация (судя по скринам), как-то не впечатляет :)

И еще одна интересная статья по этому же троянцу от Group, которая описывает немного другие аспекты, есть как технические, так и поведенческие моменты, но все равно очень интересно почитать.

Хоть и не сильно мне нравятся подобные темы, но иногда можно и посмотреть, что скрыто внутри малвари, попадаются иногда очень технически интересные экземпляры и статьи по их разбору :)

Всех с наступающим старым новым годом!

#Android #Malware #godfather
Новая атака на цепочку поставок: Java и Android под ударом!

Буквально на днях компания Oversecured выпустила потрясающую статью про новую атаку на цепочку поставок. В этот раз под ударом оказались Java-пакеты и, конечно, под раздачу попал и Android...

Способ атаки крайне прост и изящен. Для того, чтобы загрузить новую версию или измененную старую в репозиторий, например, MavenCentral необходимо подтвердить, что ты это ты. Как это сделать? Перевернуть имя пакета и на указанном домене разместить dns-запись.

К примеру, пакет com.stingray.mobile превращается в домен mobile.stingray.com. И, добавив несколько полей в TXT-запись мы получаем верифицированный аккаунт, который может загружать новые и обновлять существующие версии.

Но как правило, при смене имени пакета случается так, что про старый домен забывают.. Или вообще домен уже давно разделегирован.

Суть атаки в покупке домена, регистрации себя, как собственника библиотеки и заливанию новой/обновленной версии с зловредной нагрузкой в репозиторий. Вуаля, и все проекты использующие эту зависимость или выкачивающие ее как транзитивную получают к себе бомбу замедленного действия...

Идеальный план и более того, ребята провели исследование всех библиотек в нескольких репозиториях и получили крайне интересные цифры по уязвимым либам:
1. По доменам: 3,710 or 14.18%
2. На основании приватных github-репо: 291 or 3.86%

Крайне интересные цифры.

Снимаю шляпу перед исследователями такого уровня :)

Я думаю, что скоро нас ждет интересное продолжение :)

#oversecured #supplychain #android
Гайд для начинающих в iOS

Ребята из компании Onsec.io написали несколько статей для начинающих по анализа iOS-приложений. На данный момент вышло две статьи.

Первая про процедуру Jailbreak устройства, на котором будут происходить все дальнейшие эксперименты. Написано весьма неплохо, но поверьте, при работе с palera1n вас ждет много интересных открытий ;)

Вторая уже про первичный анализ приложения и про перехват трафика в приложении (а так же базовые способы снятия пиннинга).

Статьи для начинающих, более продвинутым пользователям будет вряд ли полезны, но тем не менее аудитория разная, так что может быть интересно тем, кто только начинает свой непростой путь ;)

Как отправная точка вполне.

#ios #beginners #pentest
Анализ iOS-стилера

Что мы все про Андроид малварь, да про Андроид? Ведь на iOS тоже есть подобные экземпляры))

И на самом деле, если взглянуть на ситуацию год или два назад, то скорее всего их количество было сильно меньше, так как поставить приложение на iOS считалось чем-то очень и очень сложным. Но за последнее время, в связи с блокировкой многих приложений и поиска альтернативных средств установки это стало более реально. Раньше мы намного больше следили за тем, откуда загружается приложение, сейчас же все больше доверия к сайтам, с которых можно скачать приложение, все больше доверия сертификатам (профилям) разработчиков, которым нужно "доверять", чтобы работало приложение. То есть, мы планомерно приучаемся доверять нелегитимным источникам. И я думаю в ближайшее время появится еще больше похожих приложений.

Но от теории и размышлениям к статье. Статья из трех частей (опубликовано на данный момент две), в которой автор разбирает экземпляр приложения, которое ворует данные с устройства.

В первой статье идет речь про анализ сайта, который помогает загружать приложения на устройства пользователей. Объясняется принцип того, как можно установить приложение, что за сертификат разработчика, какие способы используют злоумышленники для фишинга. Ну тут все относительно просто, сайт определяет, откуда пришел пользователь, собирает про него всевозможные данные и показывает ему или QR для считывания на телефоне или мимикрирует под страничку AppStore с возможностью установки приложения.

Во второй статье уже идет разбор самого приложения, его сетевого трафика, анализ при помощи Ghydra и анализ поведения в динамике. По большому счету, стилер просто сливает ваши контакты злоумышленникам после получения доступа к адресной книге. Ну такое себе, могли бы что-то и поинтереснее придумать. Но статья интересна несколькими подходами по дизассемблированию, использованию нескольких скриптов по упрощению кода и приведение его к более читаемому виду. В общем, рекомендую почитать, если работаете с анализом iOS-бинарников.

Так что светлое будущее наступило и ждем, появления более интересных экземпляров.

#ios #stealer #malware
Изучение внутренностей Android

Крайне рекомендую канал нашего знакомого, который очень много и интересно пишет про внутренности Андроид системы. Всем, кому эта тема близка, прошу в канал автора.

А на самом деле, очень приятно и очень круто, что подобные материалы появляются на русском языке и можно всегда задать интересующие вопросы напрямую человеку, кто круто в этом разбирается!
URL extractor или как получить IP и домены из apk

Относительно недавно встала задача поискать все урлы, Хосты, домены и IP в Android-приложении.

Конечно, можно получить строки и грепнуть по ним регулярной, но мы же за автоматизацию, если сделать это действие нужно хотя бы два раза?)

Нашел репозиторий, который как раз делает то, что необходимо, собирает из APK (или даже из директории), все подходящие по формату строки и сортирует их по файликам.

По сути, это просто баш-скрипт, который декомпилирует приложение и также грепом проходится по файлам. Использует apktool и jadx.

В целом, неплохая отправная точка, чтобы начать делать что-то своё или быстро получить результат.

Пока в работе не пробовал, но очень скоро расскажу, насколько оно фалзит.

Если кто-то использует нечто подобное, тоже буду крайне признателен за советы :)

#android #extract #url
Сегодня день репостов :₽

Avito делают свой митап по разработке мобилок, я бы их послушал :)
Forwarded from Алена Сушко
Avito Android meetup #2 | 06.02 | 19:00 по мск

Митап пройдёт в московском офисе Авито, а совместный просмотр трансляции — в питерском. Что? Да!

Учиняем такое впервые, попробуем сначала в камерной компании на 30 человек.

Если вы в Питере и планируете классно провести вечер вторника, успейте забронировать место.

Что будет этим вечером:
- сценарии сборки и их связь с Git Workflow;
- нюансы потребления памяти Android-сборками;
- автоматизация генерации Baseline Profile.
А ещё планируется много цифр, яркие кейсы и возможность обсудить их тут же с другими разработчиками.
Mobile AppSec World
Новая атака на цепочку поставок: Java и Android под ударом! Буквально на днях компания Oversecured выпустила потрясающую статью про новую атаку на цепочку поставок. В этот раз под ударом оказались Java-пакеты и, конечно, под раздачу попал и Android... Способ…
И снова про MavenGate!

Я не смог устоять перед такой изящной атакой и не рассказать о ней более подробно.

И как мне показалось, ее недостаточно осветили и скорее всего не так поняли. Многих ввёл в заблуждение ответ Sonatype, который утверждает, что атака невозможна. Дело в том, что на самом деле один репозиторий пока не в состоянии решить эту проблему. До тех пор, пока можно будет загружать любые компоненты в любые репозитории - она будет актуальна и ещё как возможна!

И на самом деле, уязвимы не только 18% компонент, но и многие проекты по цепочке, которые используют уязвимые либы как зависимости. И дальше, паровозиком транзитивных зависимостей и попадёт скомпрометированная библиотека в проект конечного разработчика.

На момент вчерашнего дня уже было куплено 15 доменов и потихоньку эта цифра растет. Кто их покупает и для чего, хороший вопрос, но я уверен, что эта атака обязательно стрельнет где-то :)

Ну а мы в свою очередь добавили к себе анализ SBOM-файла для Android приложений, для того чтобы определить, есть ли проблемные зависимости в приложениях, которые мы анализируем. Уверен, что мы сможем помочь выявить «шпиона» :D

Всем приятного чтения, мы очень старались!

#habr #sca #supplychain
Отличное, кстати, интервью!
Forwarded from Just Security
Путь самурая исследователя на примере Павла Топоркова (Paul Axe) в новом выпуске подкаста Just Security.

Все что вы хотели, но боялись спросить: про поиск своих сильных сторон и вектора развития, про самые амбициозные цели и их достижение, про багхантинг, CTF-ы и сертификацию.
🍿Инджой!
Please open Telegram to view this post
VIEW IN TELEGRAM
Моя бывшая коллега ведет свой канал и недавно как раз рассказывала о мобильных приложениях.

Получилось, на мой взгляд очень неплохо!