Поверхность атаки на iOS-приложения

Пожалуй, одна из самых необычных статей, которая мне попадалась за последнее время.

Представляет из себя набор уязвимостей, которые могут быть в iOS-приложениях. Но важен формат предоставления информации, а именно описание проблемы, фрагменты уязвимого кода, объяснение, чем он плох, пример исправленного кода и пояснение, что и как исправили и почему это хорошо. При этом примеры и на Objective и на Swift.

Крайне не привычно видеть подобное изложение проблемы, а особенно представить, сколько времени это заняло. Даже учитывая, что код достаточно простой в примерах, его количество поражает воображение (хотя, если его писал ChatGPT, такое возможно).

Для себя я как минимум почерпнул весьма обширный список проблем, часть из которых прошла мимо моего внимания.

В общем, крайне рекомендую к чтению :)

#iOS #vulnerability #awesome

Аналогичная поверхность атаки и способы защиты для Android

А рядом, кстати, лежит и аналогичная статья по Android, крайне подробная и очень интересная.

Многие уязвимости весьма актуальны и их описание и способы устранения хорошо описаны.

Я прям очень доволен, что удалось это найти, хороший контент, хотя полностью досконально еще не успел изучить, сразу делиться)))

#android #vulnerabilities #awesome

Обход защиты от отладки в iOS-приложениях.

Всем привет!
Свежая, отличная статья по обходу различных проверок в iOS-приложениях.

В статье описывается логика и принцип различных защитных техник, а так же, как их можно обойти. При обходе используются инструменты:
- frida
- r2frida
- radare2
- r2ghidra

И главное, крайне подробно и доходчиво описаны способы поиска защитных механизмов и исследования логики их работы. Ну, и конечно, как их потом отключить.

Всем, кто сталкивается с тем, что приложение детектит скомпометированную среду, советую!

#ios #reverse #frida

Исследование по защищенности мобильных приложений за 2023 год

Итак, наконец-то это случилось!

Мы выпустили отчет по "Оценке защищенности мобильных приложений" за 2023 год!

В прошлом году мы выпустили наше первое исследование защищенности мобильных приложений. На тот момент мы проанализировали порядка 700 приложений. В этом году их количество перевалило за 1800. Приложения из самых разных разных областей, самого разного размера и сложности. Все приложения были проверены при помощи Стингрей в полностью автоматическом режиме.

Что я могу сказать, вместе с числом приложений вырос и наш продукт. Для многих типов уязвимостей мы пересмотрели уровни критичности, добавилась фича с "динамическим" уровнем критичности. То есть, в зависимости от разных факторов одна и таже проблема может быть как высокого, так и низкого уровня. Добавились проверки, много новых категорий, скорость работы и многое другое.

Наверное, все эти факторы повлияли на итоговую цифру, но и не только это) Я уверен, что всё, что мы делаем не зря и приложения действительно стали более защищенными и все больше внимания в компаниях начинают уделять защищенности мобильных приложений.

В прошлом году процент приложений, в которых мы нашли критические и высокие уязвимости составлял 83%, в этом же году он составил всего 56%.

Я хочу выразить огромную благодарность всей команде за ту работу, что была проделана для появления этого масштабного анализа! Спасибо огромное!

И конечно, приятного чтения!

Всем привет!
Хороший друг проводит розыгрыш мерча и билетов на PhD :)

Астрологи (Яндекс) объявили неделю повышенных выплат за мобилки

Классная новость для тех, кто любит баг-баунти и мобилки. Яндекс повышает ставки за мобилки. Прошу участвовать и находить класнные баги!

Fuzzing библиотек Android при помощи Frida и Radamsa

Очень хороший пример того, как прочитав какую-либо статью, повторив шаги из нее, можно найти способы улучшения и модификации предложенного подхода. Это очень круто и классно работает и в работе.

Так и автор этой статьи, прочитав способ фаззинга приложений от Quakslab, подумал, что можно сделать и по другому.

И сделал) Используя Frida для оркестрации вызова функций Java и Stalker для обратной связи. И Radamsa для мутации данных.

Хороших выходных и фаззинга!

#Fuzzing #android #frida

Реверс Flutter-приложений

И снова речь пойдёт о Reflutter и как с ним работать!

Шутка :)

Это презентация с nullcoin, в которой рассказывают о внутреннем строении таких приложений и о том, как их можно разреверсить. В качестве подопытного взяли приложение на Flutter из GreHack CTF 2023.

Достаточно продвинутый и подробный доклад, можно очень много нового и интересного почерпнуть, если занимаетесь реверсом. Для меня немного сложновато, но думаю, найдутся те, кому он будет по душе.

К сожалению, в статье только презентация, но я нашел еще и видео выступления. Так что можно ознакомиться полностью.

#flutter #reverse

Уязвимости в приложениях Xiaomi

Всем привет!

Тут как-то мимо меня прошла очередная статья про анализ безопасности приложений различных вендоров от знаменитого OverSecured!

На этот раз, после разгрома Samsung пришла очередь Xiaomi. Я даже писать ничего не хочу, на это стоит посмотреть самим!
Более 20-ти различных уязвимостей критического уровня, которые позволяют получать файлы, выполнять произвольный код, получать данные Mi-аккаунта и осуществлять другие не менее серьезные вектора атак.

Что сказать, как обычно, уровень профессионализма на высоте!

Ну а от себя хочу сказать, что такая ситуация неудивительна и сколько бы Google не боролся с фрагментацией и сколько бы сил не прикладывал к обеспечению безопасности своих сервисов, все равно каждый вендор накладывает свои особенности. Так что андроид от Сяоми сильно отличаются от того же Пикселя.

И тем, кто разрабатывает приложения, необходимо учитывать, что выполняться они могут где угодно и на чем угодно и можно получить доступ к тем вещам, которые, как казалось, защищены самой системой. Например, хранение паролей, персональных данных в песочнице в открытом виде и всего того, что мы встречаем каждый день.

Будьте в безопасности и приятного чтения!

Ждем, кто из вендоров на очереди :)

#oversecured #xiaomi #cve

Вторая премия для пентестеров отAwillix

Всем привет!

Коллеги из Awillix второй раз проводят премию среди пентестеров и делают это очень классно!

Всем, кому есть, что рассказать, предлагаю принять участие, думаю, что будет весело) По крайней мере в прошлый раз мне очень понравилась подача и подход ребят, так держать!

Очередной обход проверок на Jailbreak

Всем таким же, как и я любителям видео с индуским английским посвящается!

Видео про обход нескольких проверок на Jailbreak:
- ptrace
- sysctl
- getppid
- dyld_get_image_name
- strstr

Все обходы реализованы через Frida, также есть и репозиторий с приложением и скриптами обхода, показанными в видео.

Как показывает мой опыт, реализовывать обход проверки только через Frida крайне проблематично. Это хорошо работает для небольших и легких проверок, но когда в ход идут более серьёзные способы защиты, обойти их через Frida можно, но это очень сильно замедляет работу приложения.

Хорошим способом является сочетание методов, например через твики (Shadow, A-ByPass и т.д.), и реализация дополнительных обходов уже через фрида.

В любом случае, полезное видео и скрипты неплохие, могут помочь в ряде случаев.

«халлоу, туудэй ви вилл лёрн хау ту байпась мост жеилбрек детекшн»

#ios #jailbreak #bypass

Обход проверок на Fridа

На том же канале у того же индуса есть и видео про техники детекта Frida в приложении. И аналогично, рядышком гитхаб репозиторий вместе со всеми скриптами и приложениями ( в том числе и не только Frida, но и байпас root).

Конечно, скрипт для рута во многом заточен конкретно под приложение, но все равно механики и сами скрипты обхода очень даже неплохие.

Так что рекомендую посмотреть и ознакомиться, если вдруг какие-то приложения будут вас детектить. Да и в целом канал его достаточно неплохой, а еще есть чат в телеге.

#Frida #root

Фокус на безопасность мобильных приложений

Всем привет!

Давно ничего не писал, аж целых два месяца)) Но взял себя в руки и теперь и канал оживает, будут всегда свежие посты и новости и на Хабр вышла новая статья.

Статья не совсем техническая, она посвящена особенностям мобильных приложений, которые часто упускают из вида и забывают при построении процесса безопасной разработки. Да и просто при планировании мероприятий по анализу защищенности ресурсов мобилки всегда отодвигают "на потом". Возможно это связано с тем, что не все до конца понимают нюансы при релизе мобилок и всех векторов атак. И что устранение уязвимости в мобилке это немного не тоже самое, что устранение в серверной части.

Можно считать, что это некоторое логическое продолжение статьи "Мифы о безопасности мобильных приложений", только затрагивает она не заблуждения о мобилках, а их особенности.

Я постарался изложить свои мысли по этому поводу, надеюсь это поможет кому-то по новому взглянуть на мобильные приложения, и запланировать мероприятия по регулярному анализу их защищенности (ну а мы поможем). Ну или просто посмотреть на взгляд со стороны, как это воспринимаем мы, по свою сторону баррикад, возможно я просто чего-то не понимаю, поэтому пожалуйста, не стесняйтесь писать комментарии.

Приятного чтения, надеюсь, вам понравится!

#android #ios #mobile #habr