Mobile AppSec World
5.29K subscribers
142 photos
8 videos
19 files
675 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
​​Критические уязвимости в MobileIron MDM

MDM - Mobile Device Management, управление корпоративными устройствами, очень популярная вещь в больших компаниях. Но что произойдёт, если внутри самой этой системы присутствуют уязвимости, позволяющие выполнить любой код?

Это значит, что можно получить доступ к системе, а также данные об огромном количестве сотрудников. Ну и что-то им установить :)

В статье приведено описание уязвимости, как она была найдена и проэксплуатирована и есть ссылка на доклад. Один из интересных моментов, что автор после выхода фикса подождал некоторое время, выяснил, что Facebook не накатил патчи, залил к ним шелл и написал в багбаунти программу 😁 дабл профит))

#mdm #facebook #bugbounty #research
Выполнение произвольного кода в приложении Facebook

Прекрасная бага, позволяющая выполнить произвольный код в контексте приложения Facebook.

Принцип эксплуатации построен на классическом Path Traversal, который стал возможен благодаря использованию самописной функции для загрузки файлов без какой либо фильтрации. То есть, если имя файла "../file", то он будет записан на директорию выше от предполагаемого места сохранения. Ну а дальше можно перезаписать любой нативный файл в песочнице и получить ACE.

Интересно, что в другом месте используется безопасная реализация через DownloadManager. Наверное, функционал писали разные команды 😁

Так что правила санитизации любого контента пришедшего из-вне в мобильных приложениях актуальны как никогда!

Перефразируя известное высказывание пишите код так, как будто кругом враги,не доверяйте никому и проверяйте все данные, что приходят к вам в приложение 😁

#Android #Facebook #ACE
Перехват трафика для Instagram и Facebook

К сожалению, я не сильно знаком с реверсом нативного кода, патчингом бинарей и с прочими хардкорными, на мой взгляд, вещами.

Но благодаря таким статьям, про перехват трафика в приложениях Facebook и Instagram для iOS, понимание становится чуть ближе.

Автор достаточно подробно рассказывает, как он анализировал приложение, что бы определить, где выполняется проверка на сертификаты, как её найти в бинарнике и главное, каким способом можно этот бинарь пропатчить. Статья с многочисленными ссылками и отсылками к инструментам или описаниям, что тоже очень полезно!

Хоть две эти статьи и похожи друг на друга, всё равно в каждой из них есть уникальные ссылки на разные материалы. Ну или прямая инструкция, как отключить пиннинг в Facebook и Instagram, что тоже неплохо 😁

#iOS #SSLPinning #Facebook #Instagram
Баг в Facebook за 15К$

Короткая статья, я бы даже сказал, скорее заметка, как можно найти дефект стоимостью в 15 тысяч $, просто пообщавшись с коллегой 😁

На самом деле, суть проблемы в передаче третьей стороне чуть больше данных, чем требуется. В данном случае, в Facebook Messenger при поиске gif-ок вместе с запросом улетал и access токен от вашего аккаунта в Facebook 😁 Мелочь, а приятно.

Скорее всего, в приложении стоял обработчик, который пихал аксесс токен во все запросы автоматически, чтобы не делать этого каждый раз руками. И в этот обработчик так же попали и запросы от стороннего сервиса картинок. Я могу быть абсолютно не прав, это лишь предположение.

На самом деле, такие ошибки часто встречаются и даже в OWASP MASVS есть требование по анализу данных, передаваемых третьей стороне. Так что при добавлении новой функциональности, особенно, если она относится к third-party сервисам, хорошо бы прогнать эту функциональность через анализаторы или ручками посмотреть, что ничего лишнего никуда не утекает. 😉

#iOS #Facebook #Messenger #Vulnerability
Несколько интересных уязвимостей в Facebook

Похоже, что кто-то неплохо покопался в приложении Facebook и нашел там ряд занятных уязвимостей. И спасибо автору, что про них написал, хотя мог бы и поподробнее вообще-то 😁

Первая уязвимость связана с возможностью запуска deeplink. Интересный вектор, связанный с добавлением в интерфейс нового элемента, который контролируется злоумышленником.

Вторая уязвимость связана с возможностью обхода ограничений "закрытых страниц", на которых нельзя сделать снимок экрана. Способ обхода достаточно прост - закрытая страница открывается в WebView вместо стандартного компонента и защита не работает.

В этой баге меня больше всего радует ответ Facebook: "Да там куча возможностей обойти этот механизм, спасибо, что рассказали ещё об одном" 😂 Типо мы знаем, но чот сложно всё закрыть, так что пофиг)

#Facebook #Android #Writeup #Vulnerabilities
Сборник WriteUp по уязвимостям приложений Facebook

Нашел занятный репозиторий, который собирает в себе все описания найденных багов в приложениях Facebook, включая WhatsUp, Instagram и прочие сервисы компании.

Сразу в едином месте можно посмотреть всё, что было найдено в разных версиях и сколько за это получили исследователи :) ну и там не только приложения, но и любые баги в Web в том числе.

Так что, если вы нашли багу в приложениях этой компании и написали WriteUp, можно смело создавать PR 😉

#writeup #facebook #bugbounty
Фишинговая компания в Facebook

В целом, в новости про фишинговые рассылки и их компании внутри соц.сетей это достаточно распространенная вещь, особенно учитывая огромное количество последних, ну и способов это провернуть также достаточно много, а некоторые из них еще и продают на курсах (схема серая, время чтения 13 минут) 😄

В данном конкретном случае пользователь жмет на ссылку от своего друга в FB messenger, попадает на страницу псевдо-логина в Facebook, вводит или не вводит креды и его редиректят на страницу с рекламой. Все просто, ты либо получил аккаунт пользователя, либо заработал на рекламе (а может и то и другое). Если верить отчету, то за время работы этой компании злоумышленники только на рекламе могли заработать порядка 59 млн $.

Что интересно, и уже стало стандартом качества для фишинга, это использование сервисов для сокращения ссылок и большой череды редиректов со страницу на страницу таким образом, чтобы система соц.сети не могла запретить отследить использование зловредного домена и заблокировать его. А блокировка легитимных сервисов повлечет за собой потерю работоспособности многих обычных сервисов.

Судя по исследованию, огромное количество пользователей вбивают свои данные на эти страницы, что для меня до сих пор удивительно. Столько информации и столько различных историй и обучений, что не надо вводить свои кровные данные в непонятные формочки, но все равно с завидной регулярность пользователи сами отдают свои логины и пароли в руки злоумышленникам. Вопрос почему и зачем?)

Есть у меня идея по фишингу для версий Android < 11, это использование Task Hijacking для подмены приложения. Пользователю приходит валидный диплинк, он его открывает, запускается "правильное приложение", где мы вводим свои данные и после открывается целевое приложение. Абсолютно прозрачно для пользователя и не вызывает вопросов. На такое может кто и купился бы)) Но вот вбивать свои логины и пароли на левый сайт и потом смотреть рекламу, ну как-то для меня странно.

Но сам факт интересен, конечно, что на протяжении практически года эта компания живет в автоматическом режиме и собирает деньги с рекламы и данные пользователей.

А вы когда-то попадались на фишинг?

#phishsing #facebook #ad