Обход проверок на Fridа

На том же канале у того же индуса есть и видео про техники детекта Frida в приложении. И аналогично, рядышком гитхаб репозиторий вместе со всеми скриптами и приложениями ( в том числе и не только Frida, но и байпас root).

Конечно, скрипт для рута во многом заточен конкретно под приложение, но все равно механики и сами скрипты обхода очень даже неплохие.

Так что рекомендую посмотреть и ознакомиться, если вдруг какие-то приложения будут вас детектить. Да и в целом канал его достаточно неплохой, а еще есть чат в телеге.

#Frida #root

Фокус на безопасность мобильных приложений

Всем привет!

Давно ничего не писал, аж целых два месяца)) Но взял себя в руки и теперь и канал оживает, будут всегда свежие посты и новости и на Хабр вышла новая статья.

Статья не совсем техническая, она посвящена особенностям мобильных приложений, которые часто упускают из вида и забывают при построении процесса безопасной разработки. Да и просто при планировании мероприятий по анализу защищенности ресурсов мобилки всегда отодвигают "на потом". Возможно это связано с тем, что не все до конца понимают нюансы при релизе мобилок и всех векторов атак. И что устранение уязвимости в мобилке это немного не тоже самое, что устранение в серверной части.

Можно считать, что это некоторое логическое продолжение статьи "Мифы о безопасности мобильных приложений", только затрагивает она не заблуждения о мобилках, а их особенности.

Я постарался изложить свои мысли по этому поводу, надеюсь это поможет кому-то по новому взглянуть на мобильные приложения, и запланировать мероприятия по регулярному анализу их защищенности (ну а мы поможем). Ну или просто посмотреть на взгляд со стороны, как это воспринимаем мы, по свою сторону баррикад, возможно я просто чего-то не понимаю, поэтому пожалуйста, не стесняйтесь писать комментарии.

Приятного чтения, надеюсь, вам понравится!

#android #ios #mobile #habr

Первый подкаст Сергея!

Ну что же, с почином! И очень хорошим :)

QEMU-iOS для эмуляции старых девайсов Apple.

А вот это прям классный доклад про проект эмуляции на базе qemu для старых iOS-устройств (например iPod touch 2g).

Очень крутой доклад, который будет интересен как тем, кто занимается реверсом, так и тем, кому близка тема эмуляции. Да и просто для общего развития посмотреть крайне занятно.

Возможно из этого проекта потом родится полноценный эмулятор последних версий iOS? Те, что есть сейчас крайне убогие))

Будем следить :)

#ios #emulation #qemu

И снова Path Traversal в Android-приложениях

Теперь под атакой Path Traversal оказались такие популярные приложения, как файл менеджер от Сяоми и WPS Office. Многие из нас пользуются ими или хотя бы слышали про них. При этом в Сяоми удалось выполнить произвольный код через замену .so файла.

Суть все также, что и раньше, отправляем в Intent путь к внутреннему файлу через ../../

Статья очень подробно рассказывает про этот тип атаки, объясняет причины и дает рекомендации, как не допустить такого в дальнейшем. Очень советую тем, кто хочет побольше узнать об этом типе уязвимостей.

При этом, ребята из Microsoft (те, кто обнаружил проблемы), подошли основательно, написав еще и в Google, благодаря чему появилась еще одна статья в документации (знакомо, правда @OxFi5t?).

Но скольких проблем можно было бы избежать, если использовать правильную санитизацию и валидацию.

Помните, что ваше приложение исполняется во враждебной и недоверенной среде, которую вы не можете контролировать. Написание приложения с этой аксиомой в голове поможет избежать многих ошибок!

Будьте в безопасности и хорошего кодинга :)

#android #pathtraversal #xiaomo

Детект эмулятора и обход этих проверок

Всем привет!

Возможно эти статьи уже были в канале, но точно когда-то давным давно и это неточно :)

Автор перенес из личного блога три статьи по способам обнаружения работы на эмуляторе и способы обхода этих проверок:
- часть первая, про проверки
- вторая про отключение проверок через пересборку
- третья про тоже самое, что и вторая :)

Не сказать, что прям очень подробно, но для старта и понимания, как можно проверить запуск на эмуляторе и как потенциально будут обходить, очень полезно.

#emulator #bypass #android

И снова про приложения, сторы и условия публикации

По мотивам статьи, в которой мы опубликовали наш эксперимент с загрузкой максимально уязвимого приложения во все доступные Android-магазины вышло интервью для Cyber Media.

В нем поговорили про многое, касаемо проверок магазинов, как их видят разработчики, обычные пользователи и эксперты по безопасности, где их сильные и слабые стороны. А также, как можно занести в стор функционал, который может нести полезную нагрузку и какие средства для этого применяют злоумышленники.

На мой взгляд, получилось достаточно интересно, я много чего прикольного вспомнил, много чего узнал при подготовке. И есть два момента, которые мне бы хотелось отдельно выделить:

Первый момент. Я очень рад, что отечественные магазины приложений задумываются не только о соблюдении их правил, как это делают их зарубежные коллеги, но и о безопасности конечных пользователей. И делается это через проверку мобильных приложений и предоставлении результатов анализа для разработчиков. Ну или если уже не реализовали, то точно об этом задумываются. Это очень-очень круто, такого сервиса я не видел нигде и это по настоящему здорово.

Второй момент, это то, что я осознал, что мне так мозолит глаз последний год. А именно это ослабление бдительности пользователей. Из-за массовых удалений из сторов компании приучили пользователей к тому, что за рандомным приложением, например, «Помощь на дороге», может скрываться переделанный банковский сервис. То есть мы сначала из года в год повторяем одно и тоже, "не ставьте приложения из неизвестных источников", "тщательно проверяйте компанию-автора мобильного приложения", "читайте отзывы", "не отдавайте свой телефон в чужие руки" и други подобные вещи. А сейчас из-за необходимости скрываться мы сами же и разрушаем все эти принципы. Что с установкой приложений в отделении Банка, что со скачиванием приложений через сайт и т.д. Это прям большая проблема, которой уже пользуются нехорошие люди.

В общем, я надеюсь, что вам понравится, что в итоге получилось) ПРиятного чтения и хорошей недели!

Подкаст про мобильную безопасность!

Недавно пригласили меня на подкаст одни классные ребята, а я взял и согласился поболтать) Думаю они немного пожалели, что позвали меня, потому что болтали мы около двух часов))

Что сказать, мне очень понравилось, приятная атмосфера, отличный собеседник, любимая тема. Поговорили о многом, о том, почему важно защищать мобильные приложения, почему на них часто не обращают внимания или забывают о них, про различные типы атак, модели нарушителя и злоумышленников, вспомнили прошлые времена, как мы нашли уязвимость в Android и ее исправляли аж целых 4 года, про наш продукт и много о чем еще.

Получилось очень разнообразно и всеобъемлюще, с примерами из жизни и воспоминаниями. В общем, очень надеюсь, что вам понравится и вы сможете найти для себя что-то новое в моих байках =)

Ну а в описании видео на Youtube куча ссылочек на разные материалы, инструменты, книги по мобильной безе, можт тоже пригодится!

Приятного просмотра или прослушивания)

Использование Nuclei для поиска секретов в мобильных приложениях

Всем привет!
Честно говоря, смотря на заголовок статьи я ожидал что-то крутое с трафиком, автоматическую генерацию темплейтов для Nuclei и т.д.

Но реальность меня немного озадачила, статья про использование Nuclei для поиска паттернов в коде. Для Android это поиск ключей FCM, для iOS это поиск некорректно настроенного AppTransport Security. Я, конечно знал, что этот инструмент можно использовать для работы с кодом, но выглядит как оверкил. Тот же grep справился бы быстрее и привычнее.

Возможно, это будет полезно тем, кто и так использует Nuclei для работы и хотел бы получать все данные из единого источника и в одном формате. А может просто узнать чуть больше про возможности этого правда интересного инструмента.

Еще нашел рядышком репозиторий с правилами для поиска ключей. Их там, кстати, довольно много.

В любом случае, приятного чтения :)

#nuclei #android #ios

Интересный инструмент для изменения ресурсов

Интересный инструмент APKEditor, никогда с ним ранее не сталкивался. Хорошо умеет изменять ресурсы внутри APK, собирать из нескольких split один standalone и прикольная штука с защитой ресурсов от дальнейшей модификации.

Инструмент активно дорабатывается и коммиты еще идут (23 апреля, 1 мая, 11 мая), так что есть надежда, что инструмент еще поживет какое-то время, а может даже будет развиваться!

В любом случае, может быть полезным, если нужно что-то быстренько поправить только в ресурсах.

Если кто-то его использует, отпишитесь, как оно, пожалуйста?

#android #smali #APK #tools

Использование Frida - функция memory.scan()

Крайне занятная статья, которая рассказывает, как и зачем можно применять функции поиска в памяти через Frida.

В статье эта функция используется для поиска захардкожкнного пинкода в нативной либе и замене значения по адресу на нужное.

Я никогда раньше не использовал такой подход, весьма интересная функция, думаю, что в ряде случаев может пригодиться.

Может и вы найдете это интересным :)

#frida #memory #scan #android

Встреча Mobile AppSec Club в Москве!

Всем привет!

В прошлый раз мы с вами встречались в октябре прошлого года и, как мне кажется, все прошло очень круто! Я был очень рад видеть всех вживую, пообщаться, рассказать свои истории, послушать других) Очень классный стендапчик получился с @szybnev

В общем, все прошло просто потрясно и мне бы хотелось повторить это классное мероприятие!

На этот раз оно пройдет в солнечную, прекрасную погоду, в баре с огромным выбором пива и отличным местоположением (да, я учел пожелания по напиткам 😄)

В программе будет рассказ о нашем исследовании, что мы проводили в прошлом году, о его результатах, о том как и зачем мы это делали и какие интересные тренды получилось заметить и о многом другом. Также расскажу про смешные случаи, интересные находки и вместе посмотрим на различные уязвимости, которые встречались нам в мобильных приложениях и рядом с ними.

Постараюсь найти еще спикеров, которые, уверен, тоже расскажут и покажут что-то крайне интересное и не только по мобилкам =)

Mobile AppSec Club #2 состоится 06.06.2024 в баре AXIOM PUB (Спартаковская площадь, 16/15 ст2, м. Бауманская, Красносельская). Начало вечером, предположительно в 19 / 20 часов

Очень жду всех, кто сможет придти и поболтать/послушать, а главное выпить с нами в этот солнечный и яркий день!

#сходка #appsecmeetup #mobileappsecclub

Про хранение Third-party секретов в мобилках и неправильно настроенные Security-политики внешних сервисов

Настраиваем проксирование Windows-Flutter приложений

И снова про флаттер) Как-тов моей копилке собралось много материала по нему…

Но на этот раз это будут приложения, которые написаны под Windows. Весьма необычно и крайне мало информации про это.

Статья рассказывает, как устроены Flutter приложения, когда они собраны в exe файл. И главное, как настроить перехват трафика и как отключить SSL Pinning при помощи Frida. Автор любезно выложил проект на гитхаб, помимо детального описания работы в самой статье.

Конечно, не все так гладко у автора прошло и он не смог решить несколько вещей, которые (возможно), оставил на потом. Но как минимум одно рабочее решение точно есть 😅

Быть может, кому-то это будет полезно, особенно, если нужно собрать трафик, но нет опыта работы с мобильными приложениями.

Приятного чтения!

#flutter #windows #proxy #sslpinning

Не про мобилки, но про контейнеры

Всем привет!

Знаю, что у вас широкий кругозор и разные интересы, которые не ограничиваются одними мобильными приложениями.

Поэтому, представляю вашему вниманию отличный вебинар от моих коллег по Container Security!

Приятного просмотра!

Друзья, запись вебинара «Container Security: как обеспечить безопасность контейнеров в жизненном цикле разработки ПО» уже ждет вас на нашем YouTube-канале ▶️

Также предлагаем вам закрепить полученные знания и навыки с помощью бесплатного демо-тренинга по Container Security.

🧑‍💻Программа тренинга:

1. Основы безопасности контейнеров.
2. Практики и нюансы.
3. Основные уязвимости и механики атак.
4. Тестирование для самопроверки.

Чтобы получить демо-доступ программы обучения на нашей платформе, укажите ключевое слово «контейнер» в форме для связи на нашем сайте.

Благодарим вас за участие и надеемся увидеть вас на наших следующих мероприятиях!

Запись доступна по ссылке 👈