Mobile AppSec World
5.29K subscribers
142 photos
8 videos
19 files
675 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
Новая атака на цепочку поставок: Java и Android под ударом!

Буквально на днях компания Oversecured выпустила потрясающую статью про новую атаку на цепочку поставок. В этот раз под ударом оказались Java-пакеты и, конечно, под раздачу попал и Android...

Способ атаки крайне прост и изящен. Для того, чтобы загрузить новую версию или измененную старую в репозиторий, например, MavenCentral необходимо подтвердить, что ты это ты. Как это сделать? Перевернуть имя пакета и на указанном домене разместить dns-запись.

К примеру, пакет com.stingray.mobile превращается в домен mobile.stingray.com. И, добавив несколько полей в TXT-запись мы получаем верифицированный аккаунт, который может загружать новые и обновлять существующие версии.

Но как правило, при смене имени пакета случается так, что про старый домен забывают.. Или вообще домен уже давно разделегирован.

Суть атаки в покупке домена, регистрации себя, как собственника библиотеки и заливанию новой/обновленной версии с зловредной нагрузкой в репозиторий. Вуаля, и все проекты использующие эту зависимость или выкачивающие ее как транзитивную получают к себе бомбу замедленного действия...

Идеальный план и более того, ребята провели исследование всех библиотек в нескольких репозиториях и получили крайне интересные цифры по уязвимым либам:
1. По доменам: 3,710 or 14.18%
2. На основании приватных github-репо: 291 or 3.86%

Крайне интересные цифры.

Снимаю шляпу перед исследователями такого уровня :)

Я думаю, что скоро нас ждет интересное продолжение :)

#oversecured #supplychain #android
Mobile AppSec World
Новая атака на цепочку поставок: Java и Android под ударом! Буквально на днях компания Oversecured выпустила потрясающую статью про новую атаку на цепочку поставок. В этот раз под ударом оказались Java-пакеты и, конечно, под раздачу попал и Android... Способ…
И снова про MavenGate!

Я не смог устоять перед такой изящной атакой и не рассказать о ней более подробно.

И как мне показалось, ее недостаточно осветили и скорее всего не так поняли. Многих ввёл в заблуждение ответ Sonatype, который утверждает, что атака невозможна. Дело в том, что на самом деле один репозиторий пока не в состоянии решить эту проблему. До тех пор, пока можно будет загружать любые компоненты в любые репозитории - она будет актуальна и ещё как возможна!

И на самом деле, уязвимы не только 18% компонент, но и многие проекты по цепочке, которые используют уязвимые либы как зависимости. И дальше, паровозиком транзитивных зависимостей и попадёт скомпрометированная библиотека в проект конечного разработчика.

На момент вчерашнего дня уже было куплено 15 доменов и потихоньку эта цифра растет. Кто их покупает и для чего, хороший вопрос, но я уверен, что эта атака обязательно стрельнет где-то :)

Ну а мы в свою очередь добавили к себе анализ SBOM-файла для Android приложений, для того чтобы определить, есть ли проблемные зависимости в приложениях, которые мы анализируем. Уверен, что мы сможем помочь выявить «шпиона» :D

Всем приятного чтения, мы очень старались!

#habr #sca #supplychain
Защита от атак на Supply Chain, пособие для gradle

Всем привет!
В начале года была новость про атаку на цепочку поставок под названием MavenGate. И мы в своем продукте Стингрей очень быстро добавили возможность анализа на эту атаку.

И спустя некоторое время нашел очень подробную статью про техники защиты от подобных атак. Конечно, мы тоже давали рекомендации, но тут они максимально подробно расписаны и на примерах показано как и что нужно сделать.

На практике я пока ни разу не видел применение этих техник, но надеюсь, что в ближайшем будущем это станет обязательным при разработке приложений.

Всем, кто использует gradle рекомендую и советую.

#gradle #supplychain #defence