Интеграция с RuMarket

А вот такой повод я не могу пропустить :)

Помните статью про сторы и то, как мы загружали туда нашпигованное уязвимостями приложение?

Так вот, теперь наш продукт Стингрей официально интегрирован с магазином приложений RuMarket! Теперь каждое загружаемое приложение будет проверено нами и разработчик получит отчет о том, что можно улучшить в его продукте.

Я считаю это очень важным шагом в развитии безопасности мобильных приложений и что теперь каждое приложение, которое будет загружено получит возможность узнать, что скрывается внутри с точки зрения безопасности.

Мы будем наращивать количество проверок и возможностей в этой интеграции и уверены, что в следующем нашем исследовании приложения станут намного безопаснее ;)

#Стингрей #rumarket

В какие игры вы играете?

Всем привет! Прошу вас поучаствовать в небольшом опросе на развлекательную тему.

Я тут небольшую статью пишу, расскажите, пожалуйста, если вы играете иногда, то во что?

Я старый, поэтому иногда играю в CS 1.6 и в Героев 3 (те, что меча и магии).

Опрос с несколькими вариантами ответа, если есть другие варианты, напишите, пожалуйста, в комментариях :)

Если выбрали вариант «Другое», напишите вариант в комментах, пожалуйста)

Минутка эфира

Коллеги из Awillix завтра (вернее уже сегодня) затронут очень интересную тему, из чего состоит стоимость пентеста?

Крайне занятая тема, для начала она достаточно приватная и щепетильная. Почему вам называют одну цену, а компании за стеной совершенно другую?

У меня есть соображения, но крайне интересно послушать мнение коллег.

Продолжаем разбирать прикольные уязвимости. На этот раз у нас уязвимость в библиотеке Jetpack Navigation. Суть ее в том, что она позволяет стороннему приложению открыть любой экран атакуемого приложения и передать туда параметры. Круто звучит? Вот и я так думаю. А Google не считает это уязвимостью и после получения репорта нам ответили, что "поправят документацию". Не будь как Google, исправляй ошибки в своих приложениях! И знай чем грозит использование библиотеки Navigation.

Территория Безопасности: Все про ИБ

4-го апреля в Москве пройдет конференция по Безопасности под названием «Территория Безопасности: Все про ИБ».

Я участвую там со стендом и докладом! Как обычно, у нас будет весело :)
Много активностей, приятные люди на стендах, живое общение, печеньки и конкурсы :)

Несмотря на более серьезное мероприятие, мы приготовили много интересного ;)

Регистрация доступна по ссылке, приходите, послушайте и поиграйте с нами :)

#proib #территорияБезопасности

:D

SSRF in Mobile Security Framework (MobSF) version 3.9.5 Beta and prior (CVE-2024-29190)
MobSF does not perform any input validation when extracting the hostnames in android:host, so requests can also be sent to local hostnames. This can lead to server-side request forgery (SSRF). An attacker can cause the server to make a connection to internal-only services within the organization's infrastructure
https://github.com/MobSF/Mobile-Security-Framework-MobSF/security/advisories/GHSA-wfgj-wrgh-h3r3

Любите ли вы играть и геймдев?)

Помните, некоторое время назад я проводил опрос по играм?

Мы готовили материал и он наконец-то вышел!

На мой взгляд, получилась шикарная статья. Когда ее читал, вспомнил, как играли с друзьями когда-то, как карты для Heroes 3 рисовали, по локалке играли на турнирах в CS 1.6

Вот же было время!

В общем, получилась классная смесь из воспоминаний и фактов о безопасности этих самых игр.

Спасибо всем, кто писал этот материал :)

И приятного чтения :)

#gamedev #security

Make drozer great again

Не могу пройти мимо этой новости, спустя 7 долгих лет произошло обновление любимого многими инструмента drozer

Теперь он поддерживает python3! И очень надеюсь на добавление нового функционала.

Плюс, авторы обновили и репо с уязвимым приложением, которое показывает основные уязвимости Android приложений.
Ну и небольшое прохождение, которое показывает возможности drozer.

Пока что не поддерживается запуск на Windows и есть определенные проблемы со стабильностью в ряде случаев, но все равно это по настоящему возрождение легенды :)

#drozer #android

Очень понравился комментарий к одну из постов об этой новости:

«Дважды перепроверил, что сегодня не первое апреля»

😅😅😅

Территория Безопасности

Конференция закончилась и вышла очень крутой, мне прям действительно понравилась, хотя обычно мы выступаем на более технических конференциях, вчера атмосфера была супер позитивной. Спасибо участникам и организаторам (особенно за обилие еды и десертиков) 😄


И очень приятно слышать такую обратную связь после конференций и выступлений! Это заставляет тебя снова и снова выступать и делиться тем, что знаешь с окружающими (ну или хотя бы их веселить).

Спасибо большое за комментарии и вашу поддержку, это очень важно на самом деле!

Всем хорошей пятницы и хорошо отдохнуть на выходных!

83% мобильных приложений содержат уязвимости высокого и критического уровня. С одной стороны у разработчиков значительно возрос осознанный подход к безопасности их приложений, но с другой стороны качество сборок многих приложений просело в связи с необходимостью быстро выкладывать приложения в сторы с «неповторимым» кодом, чтобы не сличили (из-за санкций).

Было удивительно узнать, что многие приложения хранят в открытом виде пинкоды, пароли и другую чувствительную информацию, а также имеют множество уязвимостей, инъекции и тд. Это касается и банковских сервисов. Travel и hotel tech тоже не исключение.

Поэтому разработка команды Юрия Шабалина (со мной на фото) очень актуальна сейчас. Не случайно коллеги показывают взрывной рост продаж за 2023 год.

Стингрей оказывает разработчикам помощь в автоматизированном поиске уязвимости в их приложениях. Весьма актуально сегодня, особенно для сервисов, которые относятся к критической информационной инфраструктуре.

Я уверен, что обеспечение безопасности пользователей сервисов (b2c, b2b) - это прежде всего обязанность самих сервисов.

Мы планируем протестировать Стингрей на своем приложении.

Канал по безопасности мобильных приложений: https://t.me/mobile_appsec_world

Новый формат выступлений

На конференции я попробовал новый для себя формат выступлений, это быстрое лайв-демо своего решения на публику.

У тебя есть 15 минут и надо рассказать и показать, что умеет делать твой инструмент, как с ним работать и при этом не словить «эффект демо», когда все сразу ломается :D

Как мне показалось, получилось весьма живо и достаточно интересно. Хоть я и затянул в определенный момент, но все равно получилось классно.

На будущее, нужно целиться в 10 минут, этого более чем достаточно, чтобы заинтересовать и показать реальную работу системы.

Всем, кто был на конференции и видел демо, спасибо большое за поддержку! Ну, а тем, кто не смог/не успел, можете посмотреть, спасибо ребятам, которые записали этот маленький стенд-ап.

P. S. Как же ужасно слышать свой голос и смотреть на себя со стороны))))

#Стингрей #демо #лайв

Как обеспечить безопасность flutter-приложений

Статья, которая не как все, рассказывает о применении reFlutter для анализа таких приложений, а наоборот, объясняет как их можно защитить от угроз, описанных в OWASP Mobile.

В статье описаны, на самом деле, базовые техники и общие рекомендации, иногда с примерами кода и советами по используемым плагинам.

Иногда я бы не стал им сильно доверять, например, совету с использованием Flutter-secure-storage, но все равно, отправная точка есть.

Да, пусть статья и не самая подробная и имеет только общие рекомендации, но все равно такого материала часто сильно не хватает. И я очень рекомендую ее пролистать и отправить почитать разработчикам кроссплатформенных приложений.

Хороших выходных!

#flutter #secure #owasp

Удивительное рядом

Мой коллега поделился со мной крайне удивительной вещью, утилитой для джейлбрейка под Windows под названием WinRa1n.

Проблема на Линукс и маке была простой, джейл успешно проходил, но приложение Palera1n не появлялось, чтобы не делали, а софт под Винду помог о_О

Я очень сильно удивился, потому что до этого момента был уверен, что единственный внятный инструментарий для винды это 3uTools, но нет.

Внутри лежит адаптированный под Винду чекрейн и палерейн. Ничего нового, но блин, работает же 😅

Так что, у кого были проблемы с линуксом/маком, добро пожаловать в клуб))

#palera1n #winra1n #jailbreak

Если что, ссылка на официальный сайт, а не на форум 4pda:

https://winra1n.net

Общественная зарядная станция, как вектор угрозы для мобильного приложения

Всем привет!

Часто сталкиваюсь с вопросом, да что можно сделать с телефоном, как можно получить данные без физического доступа? Я же никому не отдаю свой телефон и потерять его не могу. С одной стороны, конечно, а с другой... Никто не заряжал свой телефон от USB-порто в метро или в автобусе? Или может пользовались общественными зарядками в аэропорту?

Нашел статью, в которой расписано несколько атак на устройства, которые можно осуществить через скомпрометированную зарядку. В статье есть отсылка, что уже неоднократно выявляли случаи заражения подобных станций.

И хотя приведенные в стате вектора атак выглядят не очень страшно, особенно, учитывая, что мало чего удастся достичь на устройстве с заблокированном экраном, задуматься все таки стоит. Как минимум о:
1. На зарядке мы часто пользуемся телефоном или держим его разблокированным (дети смотрят мультики, например)
2. Приведенные вектора атак, как мне кажется, далеко не единственные (если знаете что-то еще, поделитесь в комментариях)
3. Есть еще прикольная техника АТ-команд

Да много чего, я думаю, можно придумать :)

Так что, я думаю, такой вектор атаки можно считать вполне применимым, хоть и не очень распространенным. Хотя кто знает...

#attack #ios #android #cable