RCE в MobSF через уязвимость записи файлов в apktool

Привет любителям OpenSource!

Недавно вышла CVE, которая позволяет выполнить произвольный код на сервере, где развернут MobSF.

Для уязвимости требуется несколько условий, но они вполне себе реализуемы, так что те, кто использует это во внутреннем контуре, я бы порекомендовал обновиться.

И конечно, тем, кто в своих продуктах/инструментах использует apktool, тоже бы обновиться для исключения возможности записи произвольных файлов через специально сформированный архив.

Хорошей всем недели и обновления :)

Ну и да, используйте правильные инструменты :)

#mobsf #cve #rce

Использование GDB для отладки нативных библиотек в Android и iOS-приложениях

Очень интересная статья, даже, наверное, мануал, по использованию gdb для отладки нативных библиотек.

Очень советую попробовать пройти все шаги, описанные в статье, познакомитесь с кучей разнообразных инструментов.

Тут и jadx, ghidra и radare2 и jeb. В общем, весь арсенал, который можно попробовать использовать в прикладной задаче.

Для себя много интересных моментов выявил, так что настоятельно рекомендую. Хоть иногда и не совсем понятно, что надо сделать, но все таки интересно :D

#gdb #jadx #native

Определение обфускации приложения при помощи обученной модели.

Весьма интересный проект, который определят, насколько хорошо обфусцировано приложение, прогоняя его через модель.

По факту, инструмент через androguard получает имена классов и загоняет их на вход обученной модели и после определяет, какой процент от общего количества классов обфусцирован.

Интересно, что мы пошли похожим путем, с единственной разницей, что мы сами определяем обфусцирован класс или нет, что дает больше контроля, чем модель предсказания и плюс есть возможность настроить параметры. Но, это не так популярно и тв не можешь говорить, что везде используешь AI&ML :D

Так что проверяйте обфускацию перед релизом, так как мы несколько раз ловили, что она по разным причинам отъезжала и в магазин едва не попала необфусцированная версия.

Будьте бдительны на фронтах контроля обфускации 😈

#android #obfuscation #ml

Вакансия :)

Как ни странно, но одна из немногих действительно профильных вакансий в нашей сфере. Не мог не помочь коллегам :)

💥 Игровая студия Axlebolt в поисках реверс-инженера на iOS. Мы разрабатываем игры уже девятый год, флагманским проектом является мультиплеерный шутер Standoff 2, и именно на этот проект мы ищем античит-разработчика.
Готовы рассматривать как оформление в штат, так и сотрудничество по ГПХ, работу в офисе (оплачиваем релокацию) либо удаленку.
📍В задачи будет входить:
- Анализ существующих читов
- Общение с командой разработки клиента и сервера
- Разработка инструментов, запускаемых в рамках клиента
- Анализ результатов, создание правил для бана
Подробнее можно ознакомиться по ссылке: https://axlebolt.com/vacancies/anti-cheat-developer-unity
📨 Для связи пишите в TG: @yuliaaxlebolt
С радостью пообщаюсь и отвечу на все вопросы 🙂

Магические файлы .bak в SharedPreferences

Всем привет!

Наткнулся на крайне занятную статью, которая рассказывает о работе механизма SharedPreferences с файлами с расширением .bak

До этого момента, я даже не знал, что так можно. Оказывается, если внутри SP есть файл, например, credentials.xml и рядом лежит credentials.xml.bak, то при загрузке этого файла первый будет удален, файл бекапа будет переименован и использоваться, как оригинальный, что подтверждается анализом исходников.

Это может помочь, если у вас есть возможность записать файл в директорию, но приложение проверяет наличие файла перед записью

if(file.exists()) abort();

Я пока с таким не сталкивался, но однозначно буду иметь это поведение ввиду.

Ну или по крайней мере проверю, может оно вообще не так, но по коду выглядит логично :)

#android #sharedprefs

Эксплуатация уязвимостей в Deeplink и Webview

Цикл статей из двух частей (раз и два) про эксплуатацию различных проблем, связанных с технологиями deeplink и WebView.

Первая часть рассказывает о том, что такое webview, а также показывает возможность эксплуатации XSS и доступа к Java-объектам.

Вторая часть уже про диплинки и проблемы, связанные с ними. Традиционно, сначала немного теории про сами технологии и компоненты, после примеры эксплуатации уязвимостей.

Статьи неплохие, особенно радует большое количество отсылок на разные инструменты, которые помогут вам найти диплинки как в статике, так и в динамике, через Frida.

#android #deeplink #webview

Тут еще в канале Фокса годноты привалило :)

Крайне интересная и безумно полезная книга по дебаггингу и реверсу приложений экосистемы Apple.

Скачал и положил в папочку нужных и важных книг, обязательных к прочтению! Когда-нибудь... Когда будет время :D Ну вы поняли... ))

Deobfuscating Android ARM64 strings with Ghidra

Очень подробная и очень интересная статья про то, как можно автоматизировать процесс деобфускации строк в приложении с использованием Ghidra. Пример, конечно, надуманный, но общий смысл задает верно и на практике можно в подобных случаях воспользоваться идеей.

Но намного более интересно, это подробное описание взаимодействия с Ghidra, как использовать, как отлаживать, как автоматизировать через Python.

Очень советую тем, кто работает с этим инструментом или планирует изучать.

#android #ghidra #reverse

Еще можно успеть послушать!

И надеемся, конечно, на запись :)

Сегодня выступаю на нижегородском defcon.
Трансляция будет здесь в 15:40 там должна быть наша презентация
RutheniumOS. Забота о себе, или зачем нужна ещё одна приватная ОС на базе AOSP

Как разработать собственный сканер уязвимостей и спроектировать безопасный сервис аутентификации

Об этом и не только вы узнаете на конференции по безопасности приложений SafeCode 2024.

Конференция SafeCode пройдет впервые 13–14 марта онлайн. На ней соберутся эксперты и аналитики по ИБ, security-чемпионы, тестировщики, пентестеры, разработчики, хакеры, системные администраторы, DevOps- и SRE-инженеры.

Основные темы программы:
✔ DevSecOps
✔ Аналитика
✔ ML
✔ Инструменты
✔ Люди и карьера

Два десятка докладов от экспертов в области безопасности приложений из СберМаркета, Kaspersky, Яндекса, Авито, VK Tech. Также вас ждут обсуждения от Программного комитета — в формате круглого стола и интервью с экспертами отрасли.

Подробности и билеты — на сайте SafeCode.

Загляните в нашу статью о том, как убедить работодателя отправить вас на конференцию. Но если решите купить билет за свой счет, то промокод POXEK даст скидку 10% на билеты для частных лиц.

Реклама. ООО «Джуг Ру Груп». ИНН 7801341446

И я там буду выступать, снова про мобилки:

Страх и ненависть в мобильных приложениях: какие уязвимости актуальны до сих пор и как их найти?

Поговорим про баги, какие они бывают, что они с собой несут, как их искать и устранять :)

Присоединяйтесь, будет весело!

Все приложения в RuMarket проверяют на безопасность. Но мы пошли еще дальше и подружились с сервисом «Стингрей».

«Стингрей» выполняет тщательную проверку приложений. С его помощью разработчики могут узнать о уязвимостях, которые не обнаружит ни один другой инструмент. Причем сервис предлагает подробные рекомендации о том, как все поправить.

Если разработчики воспользовались «Стингрей» и учли замечания, модераторы RuMarket ставят приложению галочку проверки — так вы будете знать, что все хорошо.

RuMarket

Интеграция с RuMarket

А вот такой повод я не могу пропустить :)

Помните статью про сторы и то, как мы загружали туда нашпигованное уязвимостями приложение?

Так вот, теперь наш продукт Стингрей официально интегрирован с магазином приложений RuMarket! Теперь каждое загружаемое приложение будет проверено нами и разработчик получит отчет о том, что можно улучшить в его продукте.

Я считаю это очень важным шагом в развитии безопасности мобильных приложений и что теперь каждое приложение, которое будет загружено получит возможность узнать, что скрывается внутри с точки зрения безопасности.

Мы будем наращивать количество проверок и возможностей в этой интеграции и уверены, что в следующем нашем исследовании приложения станут намного безопаснее ;)

#Стингрей #rumarket

В какие игры вы играете?

Всем привет! Прошу вас поучаствовать в небольшом опросе на развлекательную тему.

Я тут небольшую статью пишу, расскажите, пожалуйста, если вы играете иногда, то во что?

Я старый, поэтому иногда играю в CS 1.6 и в Героев 3 (те, что меча и магии).

Опрос с несколькими вариантами ответа, если есть другие варианты, напишите, пожалуйста, в комментариях :)

Если выбрали вариант «Другое», напишите вариант в комментах, пожалуйста)

Минутка эфира

Коллеги из Awillix завтра (вернее уже сегодня) затронут очень интересную тему, из чего состоит стоимость пентеста?

Крайне занятая тема, для начала она достаточно приватная и щепетильная. Почему вам называют одну цену, а компании за стеной совершенно другую?

У меня есть соображения, но крайне интересно послушать мнение коллег.