Астрологи (Яндекс) объявили неделю повышенных выплат за мобилки

Классная новость для тех, кто любит баг-баунти и мобилки. Яндекс повышает ставки за мобилки. Прошу участвовать и находить класнные баги!

Fuzzing библиотек Android при помощи Frida и Radamsa

Очень хороший пример того, как прочитав какую-либо статью, повторив шаги из нее, можно найти способы улучшения и модификации предложенного подхода. Это очень круто и классно работает и в работе.

Так и автор этой статьи, прочитав способ фаззинга приложений от Quakslab, подумал, что можно сделать и по другому.

И сделал) Используя Frida для оркестрации вызова функций Java и Stalker для обратной связи. И Radamsa для мутации данных.

Хороших выходных и фаззинга!

#Fuzzing #android #frida

Реверс Flutter-приложений

И снова речь пойдёт о Reflutter и как с ним работать!

Шутка :)

Это презентация с nullcoin, в которой рассказывают о внутреннем строении таких приложений и о том, как их можно разреверсить. В качестве подопытного взяли приложение на Flutter из GreHack CTF 2023.

Достаточно продвинутый и подробный доклад, можно очень много нового и интересного почерпнуть, если занимаетесь реверсом. Для меня немного сложновато, но думаю, найдутся те, кому он будет по душе.

К сожалению, в статье только презентация, но я нашел еще и видео выступления. Так что можно ознакомиться полностью.

#flutter #reverse

Уязвимости в приложениях Xiaomi

Всем привет!

Тут как-то мимо меня прошла очередная статья про анализ безопасности приложений различных вендоров от знаменитого OverSecured!

На этот раз, после разгрома Samsung пришла очередь Xiaomi. Я даже писать ничего не хочу, на это стоит посмотреть самим!
Более 20-ти различных уязвимостей критического уровня, которые позволяют получать файлы, выполнять произвольный код, получать данные Mi-аккаунта и осуществлять другие не менее серьезные вектора атак.

Что сказать, как обычно, уровень профессионализма на высоте!

Ну а от себя хочу сказать, что такая ситуация неудивительна и сколько бы Google не боролся с фрагментацией и сколько бы сил не прикладывал к обеспечению безопасности своих сервисов, все равно каждый вендор накладывает свои особенности. Так что андроид от Сяоми сильно отличаются от того же Пикселя.

И тем, кто разрабатывает приложения, необходимо учитывать, что выполняться они могут где угодно и на чем угодно и можно получить доступ к тем вещам, которые, как казалось, защищены самой системой. Например, хранение паролей, персональных данных в песочнице в открытом виде и всего того, что мы встречаем каждый день.

Будьте в безопасности и приятного чтения!

Ждем, кто из вендоров на очереди :)

#oversecured #xiaomi #cve

Вторая премия для пентестеров отAwillix

Всем привет!

Коллеги из Awillix второй раз проводят премию среди пентестеров и делают это очень классно!

Всем, кому есть, что рассказать, предлагаю принять участие, думаю, что будет весело) По крайней мере в прошлый раз мне очень понравилась подача и подход ребят, так держать!

Очередной обход проверок на Jailbreak

Всем таким же, как и я любителям видео с индуским английским посвящается!

Видео про обход нескольких проверок на Jailbreak:
- ptrace
- sysctl
- getppid
- dyld_get_image_name
- strstr

Все обходы реализованы через Frida, также есть и репозиторий с приложением и скриптами обхода, показанными в видео.

Как показывает мой опыт, реализовывать обход проверки только через Frida крайне проблематично. Это хорошо работает для небольших и легких проверок, но когда в ход идут более серьёзные способы защиты, обойти их через Frida можно, но это очень сильно замедляет работу приложения.

Хорошим способом является сочетание методов, например через твики (Shadow, A-ByPass и т.д.), и реализация дополнительных обходов уже через фрида.

В любом случае, полезное видео и скрипты неплохие, могут помочь в ряде случаев.

«халлоу, туудэй ви вилл лёрн хау ту байпась мост жеилбрек детекшн»

#ios #jailbreak #bypass

Обход проверок на Fridа

На том же канале у того же индуса есть и видео про техники детекта Frida в приложении. И аналогично, рядышком гитхаб репозиторий вместе со всеми скриптами и приложениями ( в том числе и не только Frida, но и байпас root).

Конечно, скрипт для рута во многом заточен конкретно под приложение, но все равно механики и сами скрипты обхода очень даже неплохие.

Так что рекомендую посмотреть и ознакомиться, если вдруг какие-то приложения будут вас детектить. Да и в целом канал его достаточно неплохой, а еще есть чат в телеге.

#Frida #root

Фокус на безопасность мобильных приложений

Всем привет!

Давно ничего не писал, аж целых два месяца)) Но взял себя в руки и теперь и канал оживает, будут всегда свежие посты и новости и на Хабр вышла новая статья.

Статья не совсем техническая, она посвящена особенностям мобильных приложений, которые часто упускают из вида и забывают при построении процесса безопасной разработки. Да и просто при планировании мероприятий по анализу защищенности ресурсов мобилки всегда отодвигают "на потом". Возможно это связано с тем, что не все до конца понимают нюансы при релизе мобилок и всех векторов атак. И что устранение уязвимости в мобилке это немного не тоже самое, что устранение в серверной части.

Можно считать, что это некоторое логическое продолжение статьи "Мифы о безопасности мобильных приложений", только затрагивает она не заблуждения о мобилках, а их особенности.

Я постарался изложить свои мысли по этому поводу, надеюсь это поможет кому-то по новому взглянуть на мобильные приложения, и запланировать мероприятия по регулярному анализу их защищенности (ну а мы поможем). Ну или просто посмотреть на взгляд со стороны, как это воспринимаем мы, по свою сторону баррикад, возможно я просто чего-то не понимаю, поэтому пожалуйста, не стесняйтесь писать комментарии.

Приятного чтения, надеюсь, вам понравится!

#android #ios #mobile #habr

Первый подкаст Сергея!

Ну что же, с почином! И очень хорошим :)

QEMU-iOS для эмуляции старых девайсов Apple.

А вот это прям классный доклад про проект эмуляции на базе qemu для старых iOS-устройств (например iPod touch 2g).

Очень крутой доклад, который будет интересен как тем, кто занимается реверсом, так и тем, кому близка тема эмуляции. Да и просто для общего развития посмотреть крайне занятно.

Возможно из этого проекта потом родится полноценный эмулятор последних версий iOS? Те, что есть сейчас крайне убогие))

Будем следить :)

#ios #emulation #qemu

И снова Path Traversal в Android-приложениях

Теперь под атакой Path Traversal оказались такие популярные приложения, как файл менеджер от Сяоми и WPS Office. Многие из нас пользуются ими или хотя бы слышали про них. При этом в Сяоми удалось выполнить произвольный код через замену .so файла.

Суть все также, что и раньше, отправляем в Intent путь к внутреннему файлу через ../../

Статья очень подробно рассказывает про этот тип атаки, объясняет причины и дает рекомендации, как не допустить такого в дальнейшем. Очень советую тем, кто хочет побольше узнать об этом типе уязвимостей.

При этом, ребята из Microsoft (те, кто обнаружил проблемы), подошли основательно, написав еще и в Google, благодаря чему появилась еще одна статья в документации (знакомо, правда @OxFi5t?).

Но скольких проблем можно было бы избежать, если использовать правильную санитизацию и валидацию.

Помните, что ваше приложение исполняется во враждебной и недоверенной среде, которую вы не можете контролировать. Написание приложения с этой аксиомой в голове поможет избежать многих ошибок!

Будьте в безопасности и хорошего кодинга :)

#android #pathtraversal #xiaomo

Детект эмулятора и обход этих проверок

Всем привет!

Возможно эти статьи уже были в канале, но точно когда-то давным давно и это неточно :)

Автор перенес из личного блога три статьи по способам обнаружения работы на эмуляторе и способы обхода этих проверок:
- часть первая, про проверки
- вторая про отключение проверок через пересборку
- третья про тоже самое, что и вторая :)

Не сказать, что прям очень подробно, но для старта и понимания, как можно проверить запуск на эмуляторе и как потенциально будут обходить, очень полезно.

#emulator #bypass #android

И снова про приложения, сторы и условия публикации

По мотивам статьи, в которой мы опубликовали наш эксперимент с загрузкой максимально уязвимого приложения во все доступные Android-магазины вышло интервью для Cyber Media.

В нем поговорили про многое, касаемо проверок магазинов, как их видят разработчики, обычные пользователи и эксперты по безопасности, где их сильные и слабые стороны. А также, как можно занести в стор функционал, который может нести полезную нагрузку и какие средства для этого применяют злоумышленники.

На мой взгляд, получилось достаточно интересно, я много чего прикольного вспомнил, много чего узнал при подготовке. И есть два момента, которые мне бы хотелось отдельно выделить:

Первый момент. Я очень рад, что отечественные магазины приложений задумываются не только о соблюдении их правил, как это делают их зарубежные коллеги, но и о безопасности конечных пользователей. И делается это через проверку мобильных приложений и предоставлении результатов анализа для разработчиков. Ну или если уже не реализовали, то точно об этом задумываются. Это очень-очень круто, такого сервиса я не видел нигде и это по настоящему здорово.

Второй момент, это то, что я осознал, что мне так мозолит глаз последний год. А именно это ослабление бдительности пользователей. Из-за массовых удалений из сторов компании приучили пользователей к тому, что за рандомным приложением, например, «Помощь на дороге», может скрываться переделанный банковский сервис. То есть мы сначала из года в год повторяем одно и тоже, "не ставьте приложения из неизвестных источников", "тщательно проверяйте компанию-автора мобильного приложения", "читайте отзывы", "не отдавайте свой телефон в чужие руки" и други подобные вещи. А сейчас из-за необходимости скрываться мы сами же и разрушаем все эти принципы. Что с установкой приложений в отделении Банка, что со скачиванием приложений через сайт и т.д. Это прям большая проблема, которой уже пользуются нехорошие люди.

В общем, я надеюсь, что вам понравится, что в итоге получилось) ПРиятного чтения и хорошей недели!