Вторая часть анализа безопасности Samsung

А вот и долгожданная вторая часть детального разбора уязвимостей в приложениях Samsung.

На этот раз кража произвольных файлов, чтение произвольных файлов от имени системы, получение доступа к произвольным Content Provider, перезапись произвольных файлов и чтение/запись произвольных файлов от системны!

И как обычно, это сопровождается детальным описанием, почему это произошло, с участками кода и PoC для лучшего понимания.

Снова спасибо, @bagipro! Ждем дальше таких же сочных статей!

#Oversecured #Android #Samsung

Основные ошибки, которые можно допустить в Android Permissions

Сегодня просто отличная новостная пятница :) Статья от Oversecured про ошибки, которые можно допустить при работе Permissions в Android.

И что самое важное, это не какая-то абстрактная статья, как обычно читаешь про разрешения, и не какие-то срабатывания в сканерах про "Unused Permissions", а очень подробная и правильная статья о реальных ошибках, которые можно допустить, если недостаточно внимательно знаешь все особенности Android и его работу с разрешениями.

Наверное, это самая полезная статья о Permissions, которую я читал. Переведу ее и буду время от времени перечитывать и скидывать в качестве рекомендаций.

Так что очень рекомендую всем прочитать в прекрасный пятничный вечер!

Спасибо @bagipro!

#Oversecured #Android #Permissions

Oversecured теперь и для iOS

Мы все так долго этого ждали! Поздравляем @bagipro с релизом самого крутого статического анализатора под iOS!
Теперь наравне с Android можно искать офигенные баги и для iOS!

И дополнительно, можно посмотреть на код уязвимого приложения, которое содержит все популярные баги (и не делать так при разработке) 😁

Надеюсь, на этом исследования и новые релизы не закончатся и мы увидим ещё много интересных уязвимостей и ресерчей 😉

Enjoy!

#oversecured #ios

Уязвимости в WebView

В блоге OverSecured очередное отличное пополнение - статья по наиболее часто встречающимся багам в WebView (Android security checklist: WebView).

Статья будет полезна любой аудитории, как разработчикам, чтобы понять, какие проблемы существуют и как их недопустить, и безопасникам, чтобы понять, как эксплуатировать различные баги в WebView.

Ну а баги на любой вкус, XSS, обход проверок на проверку URL, инъекции JS и многое другое. Ну а вишенкой на торте стала ссылка на библиотеку, которая помогает получить доступ к private API, использование которого запрещено в обычных приложениях. А это значит, что бага с HierarchicalUri снова работает на последних версиях Android!

Спасибо @bagipro за прекрасный материал!

#Android #Oversecured #WebView #Bugs

Использование шифрования в мобильных приложениях

Новая статья от Oversecured - "Use cryptography in mobile apps the right way" отвечает наверное на самый частый вопрос, зачем мне шифровать данные, если они и так находятся внутри песочницы приложения? Они же уже защищены!

И конечно, ответ на этот вопрос есть в статье! Я думаю, @bagipro может всех нас научить, как доставать внутренние файлы приложений самыми разными способами:
- через WebView
- через получение доступа к произвольным * контент-провайдерам
- через неявные интенты
- сотни других примеров, не освещенных в статьях в блоге (надеюсь пока не освещенных)

Надеюсь, что вечер пятницы теперь пройдет намного интереснее, учитывая количество отсылок на различные материалы в статье 😄

#oversecured #crypto

Oversecured - бесплатные сканы!

Спасибо, @bagipro за возможность посканить разные приложения!

Oversecured снова открывает возможность бесплатного сканирования 2-х приложений!

Налетай, покупай :)

#oversecured #sast

Статья от OverSecured - Android security checklist: theft of arbitrary files

Сегодня прекрасный день на контент, несмотря на то, что выходной. Вышла новая статья от OverSecured, на этот раз про типичные уязвимости при работе с файлами.

В статье разобраны основные недостатки приложений, которые позволяют получить доступ к внутренним файлам приложения, которые по моему опыту нередко хранят в себе много интересной информации в открытом виде.

Ну и в дополнении, одна из предыдущих статей про уязвимости в WebView дополнилась еще одним пунктом, на который точно стоит обратить внимание.

Как обычно (спасибо автору @bagipro за это), статья содержит детальные описания, примеры кода, реальные срабатывания и даже несколько PoC для эксплуатации. Люблю такие статейки.

Всем приятного чтения и хороших выходных!

#Oversecured #android #files #vulnerability #filestheft

И снова шикарный трюк от @bagipro

Продолжая рубрику "советы для bugbounty", теперь про способ обхода ограничений для ContentProvider.openFile().

Вот ссылка на оригинальный пост, но для тех, у кого Твиттер закрыт и нет VPN немного пояснений и описаний.
Суть в том, что использую небольшой трюк можно получить приватную информацию через контент провайдер, если вызвать его не напрямую, а прикинуться шлангом, системным сервисом, которому по умолчанию выдаются любые Permissions.

Атака возможна, если:
1. Контент-провайдер экспортируется
2. Внутри он проверяет вызывающий UID, имя пакета и/или набор разрешений

Таким образом, можно вызвать ContentProvider.openFile() через IActivityManager.openContentUri(). Он проверит права доступа, но затем проксирует вызов из своего контекста, а именно к Binder.getCallingUid() == 1000, и, так как это UID системы, то ей по умолчанию предоставлены все права.

Что тут сказать, аплодирую стоя 👍👍

#android #binder #contentProvider #oversecured

Всё, что вы хотели знать о Content Provider, но боялись спросить

Всем привет!

И для этого пятничного вечера я принес несколько классных новостей. Во-первых, это замечательная статья про практически все потенциальные возможности атаки на приложения через Content Provider (я думаю, что все-таки не все, уверен, кто-то еще знает несколько способов, но молчит и тихо их использует). В статье описаны несколько способов получения данных и как этих проблем избежать. Я бы рекомендовал эту статью не только тем, кто любит ломать приложения, но и разработке, чтобы посмотреть на свои компоненты с другой стороны.

Ну а для тех, кто любит послушать и посмотреть, есть отличное интервью Critical Thinking и автора OverSecured - @bagipro.

#android #contentprovider #oversecured

Ну и всем, конечно, хорошего вечера!

Новая атака на цепочку поставок: Java и Android под ударом!

Буквально на днях компания Oversecured выпустила потрясающую статью про новую атаку на цепочку поставок. В этот раз под ударом оказались Java-пакеты и, конечно, под раздачу попал и Android...

Способ атаки крайне прост и изящен. Для того, чтобы загрузить новую версию или измененную старую в репозиторий, например, MavenCentral необходимо подтвердить, что ты это ты. Как это сделать? Перевернуть имя пакета и на указанном домене разместить dns-запись.

К примеру, пакет com.stingray.mobile превращается в домен mobile.stingray.com. И, добавив несколько полей в TXT-запись мы получаем верифицированный аккаунт, который может загружать новые и обновлять существующие версии.

Но как правило, при смене имени пакета случается так, что про старый домен забывают.. Или вообще домен уже давно разделегирован.

Суть атаки в покупке домена, регистрации себя, как собственника библиотеки и заливанию новой/обновленной версии с зловредной нагрузкой в репозиторий. Вуаля, и все проекты использующие эту зависимость или выкачивающие ее как транзитивную получают к себе бомбу замедленного действия...

Идеальный план и более того, ребята провели исследование всех библиотек в нескольких репозиториях и получили крайне интересные цифры по уязвимым либам:
1. По доменам: 3,710 or 14.18%
2. На основании приватных github-репо: 291 or 3.86%

Крайне интересные цифры.

Снимаю шляпу перед исследователями такого уровня :)

Я думаю, что скоро нас ждет интересное продолжение :)

#oversecured #supplychain #android

Уязвимости в приложениях Xiaomi

Всем привет!

Тут как-то мимо меня прошла очередная статья про анализ безопасности приложений различных вендоров от знаменитого OverSecured!

На этот раз, после разгрома Samsung пришла очередь Xiaomi. Я даже писать ничего не хочу, на это стоит посмотреть самим!
Более 20-ти различных уязвимостей критического уровня, которые позволяют получать файлы, выполнять произвольный код, получать данные Mi-аккаунта и осуществлять другие не менее серьезные вектора атак.

Что сказать, как обычно, уровень профессионализма на высоте!

Ну а от себя хочу сказать, что такая ситуация неудивительна и сколько бы Google не боролся с фрагментацией и сколько бы сил не прикладывал к обеспечению безопасности своих сервисов, все равно каждый вендор накладывает свои особенности. Так что андроид от Сяоми сильно отличаются от того же Пикселя.

И тем, кто разрабатывает приложения, необходимо учитывать, что выполняться они могут где угодно и на чем угодно и можно получить доступ к тем вещам, которые, как казалось, защищены самой системой. Например, хранение паролей, персональных данных в песочнице в открытом виде и всего того, что мы встречаем каждый день.

Будьте в безопасности и приятного чтения!

Ждем, кто из вендоров на очереди :)

#oversecured #xiaomi #cve