Уязвимости в приложениях Xiaomi

Всем привет!

Тут как-то мимо меня прошла очередная статья про анализ безопасности приложений различных вендоров от знаменитого OverSecured!

На этот раз, после разгрома Samsung пришла очередь Xiaomi. Я даже писать ничего не хочу, на это стоит посмотреть самим!
Более 20-ти различных уязвимостей критического уровня, которые позволяют получать файлы, выполнять произвольный код, получать данные Mi-аккаунта и осуществлять другие не менее серьезные вектора атак.

Что сказать, как обычно, уровень профессионализма на высоте!

Ну а от себя хочу сказать, что такая ситуация неудивительна и сколько бы Google не боролся с фрагментацией и сколько бы сил не прикладывал к обеспечению безопасности своих сервисов, все равно каждый вендор накладывает свои особенности. Так что андроид от Сяоми сильно отличаются от того же Пикселя.

И тем, кто разрабатывает приложения, необходимо учитывать, что выполняться они могут где угодно и на чем угодно и можно получить доступ к тем вещам, которые, как казалось, защищены самой системой. Например, хранение паролей, персональных данных в песочнице в открытом виде и всего того, что мы встречаем каждый день.

Будьте в безопасности и приятного чтения!

Ждем, кто из вендоров на очереди :)

#oversecured #xiaomi #cve

Вторая премия для пентестеров отAwillix

Всем привет!

Коллеги из Awillix второй раз проводят премию среди пентестеров и делают это очень классно!

Всем, кому есть, что рассказать, предлагаю принять участие, думаю, что будет весело) По крайней мере в прошлый раз мне очень понравилась подача и подход ребят, так держать!

Очередной обход проверок на Jailbreak

Всем таким же, как и я любителям видео с индуским английским посвящается!

Видео про обход нескольких проверок на Jailbreak:
- ptrace
- sysctl
- getppid
- dyld_get_image_name
- strstr

Все обходы реализованы через Frida, также есть и репозиторий с приложением и скриптами обхода, показанными в видео.

Как показывает мой опыт, реализовывать обход проверки только через Frida крайне проблематично. Это хорошо работает для небольших и легких проверок, но когда в ход идут более серьёзные способы защиты, обойти их через Frida можно, но это очень сильно замедляет работу приложения.

Хорошим способом является сочетание методов, например через твики (Shadow, A-ByPass и т.д.), и реализация дополнительных обходов уже через фрида.

В любом случае, полезное видео и скрипты неплохие, могут помочь в ряде случаев.

«халлоу, туудэй ви вилл лёрн хау ту байпась мост жеилбрек детекшн»

#ios #jailbreak #bypass

Обход проверок на Fridа

На том же канале у того же индуса есть и видео про техники детекта Frida в приложении. И аналогично, рядышком гитхаб репозиторий вместе со всеми скриптами и приложениями ( в том числе и не только Frida, но и байпас root).

Конечно, скрипт для рута во многом заточен конкретно под приложение, но все равно механики и сами скрипты обхода очень даже неплохие.

Так что рекомендую посмотреть и ознакомиться, если вдруг какие-то приложения будут вас детектить. Да и в целом канал его достаточно неплохой, а еще есть чат в телеге.

#Frida #root

Фокус на безопасность мобильных приложений

Всем привет!

Давно ничего не писал, аж целых два месяца)) Но взял себя в руки и теперь и канал оживает, будут всегда свежие посты и новости и на Хабр вышла новая статья.

Статья не совсем техническая, она посвящена особенностям мобильных приложений, которые часто упускают из вида и забывают при построении процесса безопасной разработки. Да и просто при планировании мероприятий по анализу защищенности ресурсов мобилки всегда отодвигают "на потом". Возможно это связано с тем, что не все до конца понимают нюансы при релизе мобилок и всех векторов атак. И что устранение уязвимости в мобилке это немного не тоже самое, что устранение в серверной части.

Можно считать, что это некоторое логическое продолжение статьи "Мифы о безопасности мобильных приложений", только затрагивает она не заблуждения о мобилках, а их особенности.

Я постарался изложить свои мысли по этому поводу, надеюсь это поможет кому-то по новому взглянуть на мобильные приложения, и запланировать мероприятия по регулярному анализу их защищенности (ну а мы поможем). Ну или просто посмотреть на взгляд со стороны, как это воспринимаем мы, по свою сторону баррикад, возможно я просто чего-то не понимаю, поэтому пожалуйста, не стесняйтесь писать комментарии.

Приятного чтения, надеюсь, вам понравится!

#android #ios #mobile #habr

Первый подкаст Сергея!

Ну что же, с почином! И очень хорошим :)

QEMU-iOS для эмуляции старых девайсов Apple.

А вот это прям классный доклад про проект эмуляции на базе qemu для старых iOS-устройств (например iPod touch 2g).

Очень крутой доклад, который будет интересен как тем, кто занимается реверсом, так и тем, кому близка тема эмуляции. Да и просто для общего развития посмотреть крайне занятно.

Возможно из этого проекта потом родится полноценный эмулятор последних версий iOS? Те, что есть сейчас крайне убогие))

Будем следить :)

#ios #emulation #qemu

И снова Path Traversal в Android-приложениях

Теперь под атакой Path Traversal оказались такие популярные приложения, как файл менеджер от Сяоми и WPS Office. Многие из нас пользуются ими или хотя бы слышали про них. При этом в Сяоми удалось выполнить произвольный код через замену .so файла.

Суть все также, что и раньше, отправляем в Intent путь к внутреннему файлу через ../../

Статья очень подробно рассказывает про этот тип атаки, объясняет причины и дает рекомендации, как не допустить такого в дальнейшем. Очень советую тем, кто хочет побольше узнать об этом типе уязвимостей.

При этом, ребята из Microsoft (те, кто обнаружил проблемы), подошли основательно, написав еще и в Google, благодаря чему появилась еще одна статья в документации (знакомо, правда @OxFi5t?).

Но скольких проблем можно было бы избежать, если использовать правильную санитизацию и валидацию.

Помните, что ваше приложение исполняется во враждебной и недоверенной среде, которую вы не можете контролировать. Написание приложения с этой аксиомой в голове поможет избежать многих ошибок!

Будьте в безопасности и хорошего кодинга :)

#android #pathtraversal #xiaomo

Детект эмулятора и обход этих проверок

Всем привет!

Возможно эти статьи уже были в канале, но точно когда-то давным давно и это неточно :)

Автор перенес из личного блога три статьи по способам обнаружения работы на эмуляторе и способы обхода этих проверок:
- часть первая, про проверки
- вторая про отключение проверок через пересборку
- третья про тоже самое, что и вторая :)

Не сказать, что прям очень подробно, но для старта и понимания, как можно проверить запуск на эмуляторе и как потенциально будут обходить, очень полезно.

#emulator #bypass #android

И снова про приложения, сторы и условия публикации

По мотивам статьи, в которой мы опубликовали наш эксперимент с загрузкой максимально уязвимого приложения во все доступные Android-магазины вышло интервью для Cyber Media.

В нем поговорили про многое, касаемо проверок магазинов, как их видят разработчики, обычные пользователи и эксперты по безопасности, где их сильные и слабые стороны. А также, как можно занести в стор функционал, который может нести полезную нагрузку и какие средства для этого применяют злоумышленники.

На мой взгляд, получилось достаточно интересно, я много чего прикольного вспомнил, много чего узнал при подготовке. И есть два момента, которые мне бы хотелось отдельно выделить:

Первый момент. Я очень рад, что отечественные магазины приложений задумываются не только о соблюдении их правил, как это делают их зарубежные коллеги, но и о безопасности конечных пользователей. И делается это через проверку мобильных приложений и предоставлении результатов анализа для разработчиков. Ну или если уже не реализовали, то точно об этом задумываются. Это очень-очень круто, такого сервиса я не видел нигде и это по настоящему здорово.

Второй момент, это то, что я осознал, что мне так мозолит глаз последний год. А именно это ослабление бдительности пользователей. Из-за массовых удалений из сторов компании приучили пользователей к тому, что за рандомным приложением, например, «Помощь на дороге», может скрываться переделанный банковский сервис. То есть мы сначала из года в год повторяем одно и тоже, "не ставьте приложения из неизвестных источников", "тщательно проверяйте компанию-автора мобильного приложения", "читайте отзывы", "не отдавайте свой телефон в чужие руки" и други подобные вещи. А сейчас из-за необходимости скрываться мы сами же и разрушаем все эти принципы. Что с установкой приложений в отделении Банка, что со скачиванием приложений через сайт и т.д. Это прям большая проблема, которой уже пользуются нехорошие люди.

В общем, я надеюсь, что вам понравится, что в итоге получилось) ПРиятного чтения и хорошей недели!

Подкаст про мобильную безопасность!

Недавно пригласили меня на подкаст одни классные ребята, а я взял и согласился поболтать) Думаю они немного пожалели, что позвали меня, потому что болтали мы около двух часов))

Что сказать, мне очень понравилось, приятная атмосфера, отличный собеседник, любимая тема. Поговорили о многом, о том, почему важно защищать мобильные приложения, почему на них часто не обращают внимания или забывают о них, про различные типы атак, модели нарушителя и злоумышленников, вспомнили прошлые времена, как мы нашли уязвимость в Android и ее исправляли аж целых 4 года, про наш продукт и много о чем еще.

Получилось очень разнообразно и всеобъемлюще, с примерами из жизни и воспоминаниями. В общем, очень надеюсь, что вам понравится и вы сможете найти для себя что-то новое в моих байках =)

Ну а в описании видео на Youtube куча ссылочек на разные материалы, инструменты, книги по мобильной безе, можт тоже пригодится!

Приятного просмотра или прослушивания)

Использование Nuclei для поиска секретов в мобильных приложениях

Всем привет!
Честно говоря, смотря на заголовок статьи я ожидал что-то крутое с трафиком, автоматическую генерацию темплейтов для Nuclei и т.д.

Но реальность меня немного озадачила, статья про использование Nuclei для поиска паттернов в коде. Для Android это поиск ключей FCM, для iOS это поиск некорректно настроенного AppTransport Security. Я, конечно знал, что этот инструмент можно использовать для работы с кодом, но выглядит как оверкил. Тот же grep справился бы быстрее и привычнее.

Возможно, это будет полезно тем, кто и так использует Nuclei для работы и хотел бы получать все данные из единого источника и в одном формате. А может просто узнать чуть больше про возможности этого правда интересного инструмента.

Еще нашел рядышком репозиторий с правилами для поиска ключей. Их там, кстати, довольно много.

В любом случае, приятного чтения :)

#nuclei #android #ios

Интересный инструмент для изменения ресурсов

Интересный инструмент APKEditor, никогда с ним ранее не сталкивался. Хорошо умеет изменять ресурсы внутри APK, собирать из нескольких split один standalone и прикольная штука с защитой ресурсов от дальнейшей модификации.

Инструмент активно дорабатывается и коммиты еще идут (23 апреля, 1 мая, 11 мая), так что есть надежда, что инструмент еще поживет какое-то время, а может даже будет развиваться!

В любом случае, может быть полезным, если нужно что-то быстренько поправить только в ресурсах.

Если кто-то его использует, отпишитесь, как оно, пожалуйста?

#android #smali #APK #tools

Использование Frida - функция memory.scan()

Крайне занятная статья, которая рассказывает, как и зачем можно применять функции поиска в памяти через Frida.

В статье эта функция используется для поиска захардкожкнного пинкода в нативной либе и замене значения по адресу на нужное.

Я никогда раньше не использовал такой подход, весьма интересная функция, думаю, что в ряде случаев может пригодиться.

Может и вы найдете это интересным :)

#frida #memory #scan #android

Встреча Mobile AppSec Club в Москве!

Всем привет!

В прошлый раз мы с вами встречались в октябре прошлого года и, как мне кажется, все прошло очень круто! Я был очень рад видеть всех вживую, пообщаться, рассказать свои истории, послушать других) Очень классный стендапчик получился с @szybnev

В общем, все прошло просто потрясно и мне бы хотелось повторить это классное мероприятие!

На этот раз оно пройдет в солнечную, прекрасную погоду, в баре с огромным выбором пива и отличным местоположением (да, я учел пожелания по напиткам 😄)

В программе будет рассказ о нашем исследовании, что мы проводили в прошлом году, о его результатах, о том как и зачем мы это делали и какие интересные тренды получилось заметить и о многом другом. Также расскажу про смешные случаи, интересные находки и вместе посмотрим на различные уязвимости, которые встречались нам в мобильных приложениях и рядом с ними.

Постараюсь найти еще спикеров, которые, уверен, тоже расскажут и покажут что-то крайне интересное и не только по мобилкам =)

Mobile AppSec Club #2 состоится 06.06.2024 в баре AXIOM PUB (Спартаковская площадь, 16/15 ст2, м. Бауманская, Красносельская). Начало вечером, предположительно в 19 / 20 часов

Очень жду всех, кто сможет придти и поболтать/послушать, а главное выпить с нами в этот солнечный и яркий день!

#сходка #appsecmeetup #mobileappsecclub