Доклад про философию Android от Александра
А вот и материалы поспели)
Спасибо!
А вот и материалы поспели)
Спасибо!
Forwarded from Александр Вир
История и философия ОС Android
Forwarded from Александр Вир
Философия_и_история_операционной_системы_Android.pdf
141.8 KB
Кстати, неплохая тема с регой через бота, надо взять на вооружение. Ну а так, коллеги из комьюнити проводят митап в баре, присоединяйтесь ;)
Forwarded from Виктория Тикун Kinetica agency
Пентестер, аппсекер, аналитик и заказчик заходят в бар…
Когда и где? — 20 июня 2024, в 17.00 в одном из баров Москвы, точную локацию пришлет ТГ-бот после регистрации.
Никакого хардкора, пиара и продуктов. От комьюнити для комьюнити. За кружкой пенного и закусками поговорим про:
● Смарт-криты или опасный Web3
● Goлангский штурвал
● Unexpected end of token security (или категория Crypto не на CTF)
Хочешь тоже выступить со своей темой? Пожалуйста! Присылай тему и описание в бота — отберем пару интересных докладов 😎
Регистрация: через ТГ-бота @PentestMeetupBot. Там же вся полезная информация.
Количество мест ограничено, успевай забронировать 📱
Когда и где? — 20 июня 2024, в 17.00 в одном из баров Москвы, точную локацию пришлет ТГ-бот после регистрации.
Никакого хардкора, пиара и продуктов. От комьюнити для комьюнити. За кружкой пенного и закусками поговорим про:
● Смарт-криты или опасный Web3
● Goлангский штурвал
● Unexpected end of token security (или категория Crypto не на CTF)
Хочешь тоже выступить со своей темой? Пожалуйста! Присылай тему и описание в бота — отберем пару интересных докладов 😎
Регистрация: через ТГ-бота @PentestMeetupBot. Там же вся полезная информация.
Количество мест ограничено, успевай забронировать 📱
Интересный подкаст про Android!
Ох, поздновато, но может кто успеет :)
В любом случае, ждем запись)
Ох, поздновато, но может кто успеет :)
В любом случае, ждем запись)
Forwarded from ITRadio
Анонс №4. Безопасность Android
Пришла пора поговорить на такую волнующую всех тему как безопасность Android и наконец-то понять, откуда берётся выдача рекламы, некогда случайно озвученная вполголоса рядом с включённым устройством.
В гостях как дома:
Александр Вир. Независимый исследователь. Автор проекта @rutheniumos – ОС, нацеленной не только на безопасность, но также приватность и защиту данных пользователя, созданной на базе AOSP и лучших наработок в области безопасности Android и ориентированной на российский рынок. И по совместительству автор канала @theaftertimes.
Алексей Теплов. Действующий инструктор в телекоме в англоязычной среде (Juniper), в нашей среде бывший (додевопсный) сетевой инженер, а нынче энтузиаст в сфере защиты от утечек со смартфонов и ноутбуков. Местами продвинутый пользователь Android и QubesOS, консультирует по ИБ и обучает заинтересованных лиц, нынче это преимущественно военные связисты (начсвязи).
О чём:
• История появления Андроида: как все начиналось в 200x и во что все превратилось в 202x?
• AOSP и архитектура современных андроидов/сборок
• Что не так с фабричными Андроидами в плане безопасности для обычного (рандомного) пользователя?
• Нужен ли рут и опасно ли наличие рута?
• Что такое дегуглофикация и почему она необходима инженеру?
• Bloatware, adware, трекеры/сборщики данных, etc – почему это зло, где его корни и как с ним бороться?
• Проект RutheniumOS – что, зачем и для чего? За что боремся, каковы высокие цели, в какой точке находимся, чего не хватает?
• Как сделать свой форк AOSP и нужно ли/сложно ли этому научиться? (может, академию открыть?! база (инженерная настройка) + адвансед (мейнтейнерство))
• Прочее интересное и полезное
Когда: 12.06.2024 11:00
Обязательно задаём свои вопросы в чате подкаста с тегом #вопрос4, за лучшие из них будут разыграны призы!
Трансляция будет здесь
Пришла пора поговорить на такую волнующую всех тему как безопасность Android и наконец-то понять, откуда берётся выдача рекламы, некогда случайно озвученная вполголоса рядом с включённым устройством.
В гостях как дома:
Александр Вир. Независимый исследователь. Автор проекта @rutheniumos – ОС, нацеленной не только на безопасность, но также приватность и защиту данных пользователя, созданной на базе AOSP и лучших наработок в области безопасности Android и ориентированной на российский рынок. И по совместительству автор канала @theaftertimes.
Алексей Теплов. Действующий инструктор в телекоме в англоязычной среде (Juniper), в нашей среде бывший (додевопсный) сетевой инженер, а нынче энтузиаст в сфере защиты от утечек со смартфонов и ноутбуков. Местами продвинутый пользователь Android и QubesOS, консультирует по ИБ и обучает заинтересованных лиц, нынче это преимущественно военные связисты (начсвязи).
О чём:
• История появления Андроида: как все начиналось в 200x и во что все превратилось в 202x?
• AOSP и архитектура современных андроидов/сборок
• Что не так с фабричными Андроидами в плане безопасности для обычного (рандомного) пользователя?
• Нужен ли рут и опасно ли наличие рута?
• Что такое дегуглофикация и почему она необходима инженеру?
• Bloatware, adware, трекеры/сборщики данных, etc – почему это зло, где его корни и как с ним бороться?
• Проект RutheniumOS – что, зачем и для чего? За что боремся, каковы высокие цели, в какой точке находимся, чего не хватает?
• Как сделать свой форк AOSP и нужно ли/сложно ли этому научиться? (может, академию открыть?! база (инженерная настройка) + адвансед (мейнтейнерство))
• Прочее интересное и полезное
Когда: 12.06.2024 11:00
Обязательно задаём свои вопросы в чате подкаста с тегом #вопрос4, за лучшие из них будут разыграны призы!
Трансляция будет здесь
ITRadio
Анонс №4. Безопасность Android
Пришла пора поговорить на такую волнующую всех тему как безопасность Android и наконец-то понять, откуда берётся выдача рекламы, некогда случайно озвученная вполголоса рядом с включённым устройством.
В гостях как дома:
Александр Вир. Независимый исследователь.…
В гостях как дома:
Александр Вир. Независимый исследователь.…
Что ваш телефон знает о вас
Это они еще Xiaomi на стоковой прошивке, наверное не трогали, там вообще, говорят жесть :)
Ну а сам эксперимент лишь подтверждает, что не всему можно верить (особенно политике Google по обработке данных пользователей, которые они так трясут с разработчиков, но которые по факту никто не проверяет).
И сколько данных сливают приложения, можно только догадываться (ну а скорее всего всё, до чего можно дотянуться, данных мало не бывает).
Ну и очень хорошо вспоминается сам Google :) В тот момент, когда Apple ввёл обязательную политику регистрации и описания данных, которые собирает приложение, великая корпорациядобра несколько месяцев не обновляла свои приложения (интересно почему)🤔
Так что будьте аккуратны, никогда не знаешь, кто и какие данные может получить с наших устройств ;)
Ну и очень хорошо вписывается сюда подкаст из предыдущего сообщения, там тоже много интересного про передачу данных, информации и прочих вещей, но уже от самой ОС Android.
Да и в целом, у нас два выбора, Google, Apple или любой другой корпоративный гигант, типо Samsung или Xiaomi, каждый из которых гребет все данные подряд..
Но вот вопрос, а стоит ли тогда вообще париться, если все равно каждый вендор что-то, но собирает. И есть ли способ этого избежать, сохранив при этом работоспособность приложений, да и самого устройства?
Это они еще Xiaomi на стоковой прошивке, наверное не трогали, там вообще, говорят жесть :)
Ну а сам эксперимент лишь подтверждает, что не всему можно верить (особенно политике Google по обработке данных пользователей, которые они так трясут с разработчиков, но которые по факту никто не проверяет).
И сколько данных сливают приложения, можно только догадываться (ну а скорее всего всё, до чего можно дотянуться, данных мало не бывает).
Ну и очень хорошо вспоминается сам Google :) В тот момент, когда Apple ввёл обязательную политику регистрации и описания данных, которые собирает приложение, великая корпорация
Так что будьте аккуратны, никогда не знаешь, кто и какие данные может получить с наших устройств ;)
Ну и очень хорошо вписывается сюда подкаст из предыдущего сообщения, там тоже много интересного про передачу данных, информации и прочих вещей, но уже от самой ОС Android.
Да и в целом, у нас два выбора, Google, Apple или любой другой корпоративный гигант, типо Samsung или Xiaomi, каждый из которых гребет все данные подряд..
Но вот вопрос, а стоит ли тогда вообще париться, если все равно каждый вендор что-то, но собирает. И есть ли способ этого избежать, сохранив при этом работоспособность приложений, да и самого устройства?
Forwarded from Пакет Безопасности
Кому все-таки нужны наши данные
Тут ребята из СайберНьюс (не путать с нашей любимой Cyber Media) провели достаточно интересный эксперимент – они установили на тестовый смартфон 100 самых популярных бесплатных мобильных приложений из Google Play Store. Эти приложения они запустили, дали им все запрашиваемые разрешения и зарегистрировали в них аккаунты.
Сделано это всё было для того, чтобы проследить и вычислить, кто пользуется нашими сокровенными данными, куда они отправляются и кто за нами может следить. Собственно, эксперимент удался, так как всего за 3 дня было зафиксировано более 6 000 запросов на различные сервера со смартфона.
Из интересного – достаточно большое количество запросов было на сервера в Китае, России (не без участия Яндекса, хоть его приложений и не было установлено) и Вьетнаме, хотя сам телефон находился вообще в Европе. Рекордсменами по изъятию данных, по классике, стали мастодонты США – Google, Microsoft и Facebook (да-да, тот самый, который признан экстремистским и запрещенным на территории РФ ).
При этом, за время исследования (а это всего 3 дня) было пропущено порядка 500 Мб данных по сети, с учетом того, что после установки и настройки приложений телефон никто не трогал. А еще, часть разрешений, который приложения запрашивали при запуске, так и не были использованы, что выглядит достаточно подозрительно. Если кому-то интересно и вы не любите английский, то вот тут можно почитать про эксперимент на русском языке – ссылка.
В общем, продолжаем и дальше жить в этом враждебном мире, где все охотятся на наши с вами данными.
#Кибергигиена
Твой Пакет Безопасности
Тут ребята из СайберНьюс (не путать с нашей любимой Cyber Media) провели достаточно интересный эксперимент – они установили на тестовый смартфон 100 самых популярных бесплатных мобильных приложений из Google Play Store. Эти приложения они запустили, дали им все запрашиваемые разрешения и зарегистрировали в них аккаунты.
Сделано это всё было для того, чтобы проследить и вычислить, кто пользуется нашими сокровенными данными, куда они отправляются и кто за нами может следить. Собственно, эксперимент удался, так как всего за 3 дня было зафиксировано более 6 000 запросов на различные сервера со смартфона.
Из интересного – достаточно большое количество запросов было на сервера в Китае, России (не без участия Яндекса, хоть его приложений и не было установлено) и Вьетнаме, хотя сам телефон находился вообще в Европе. Рекордсменами по изъятию данных, по классике, стали мастодонты США – Google, Microsoft и Facebook (
При этом, за время исследования (а это всего 3 дня) было пропущено порядка 500 Мб данных по сети, с учетом того, что после установки и настройки приложений телефон никто не трогал. А еще, часть разрешений, который приложения запрашивали при запуске, так и не были использованы, что выглядит достаточно подозрительно. Если кому-то интересно и вы не любите английский, то вот тут можно почитать про эксперимент на русском языке – ссылка.
В общем, продолжаем и дальше жить в этом враждебном мире, где все охотятся на наши с вами данными.
#Кибергигиена
Твой Пакет Безопасности
А что, так можно было?
Блин, а за это можно CVE получить?
DOS мобильного приложения при обработке неверного интента...
Учитывая, что мы постоянно это выявляем автоматически, пойду посмотрю, что там на площадках у нас с такого рода багами.
Кстати, а за такое платят на ББ вооще?
Блин, а за это можно CVE получить?
DOS мобильного приложения при обработке неверного интента...
Учитывая, что мы постоянно это выявляем автоматически, пойду посмотрю, что там на площадках у нас с такого рода багами.
Кстати, а за такое платят на ББ вооще?
Forwarded from Android Security & Malware
DoS McAfee VPN app via deeplink
McAfee Security: Antivirus VPN for Android before 8.3.0 could allow an attacker to cause a denial of service through the use of a malformed deep link (CVE-2024-34406)
https://www.mcafee.com/support/?articleId=000002403&page=shell&shell=article-view
McAfee Security: Antivirus VPN for Android before 8.3.0 could allow an attacker to cause a denial of service through the use of a malformed deep link (CVE-2024-34406)
https://www.mcafee.com/support/?articleId=000002403&page=shell&shell=article-view
Forwarded from Android Guards
Попался мне тут свежий репорт по уязвимости в одном известном продукте 🌚 Старый добрый path traversal с перезаписью файла.
Стоит сказать, что приложение написано довольно свежо и современно. Это не какая-то поделка времен Android 4.0.1. Kotlin, Single activity, Compose, архитектура(!). Все по взрослому 🙃 Но идеальных систем не бывает и ошибки случаются. Никогда об этом не забывайте, и не опускайте руки. Даже если вам кажется, что "в приложении багов нет", это означает ровно одно — вы уделили недостаточно времени анализу.
Обязательно попробуйте найти что-нибудь в этом приложении. Там есть много интересных мест 😉
Стоит сказать, что приложение написано довольно свежо и современно. Это не какая-то поделка времен Android 4.0.1. Kotlin, Single activity, Compose, архитектура(!). Все по взрослому 🙃 Но идеальных систем не бывает и ошибки случаются. Никогда об этом не забывайте, и не опускайте руки. Даже если вам кажется, что "в приложении багов нет", это означает ровно одно — вы уделили недостаточно времени анализу.
Обязательно попробуйте найти что-нибудь в этом приложении. Там есть много интересных мест 😉
GitHub
Malicious App Can Write/Delete Arbitrary Files in App Internal Storage · Issue #877 · flipperdevices/Flipper-Android-App
Describe the bug There is a security issue in the way how the app handles shared files via a android.intent.action.SEND intent. The DeepLinkFileUriCopy.kt class trusts an attacker controlled filena...
Персональные данные и мобильные приложения, как они связаны?
Всем привет!
Я наконец выплыл из отпуска и возвращаюсь в рабочее русло 😄
И на повестке дня сегодня не что иное, как персональные данные и их утечки.
Меня очень давно интересовал этот вопрос, можно ли считать хранение или утечку ПДн через мобилку на самом деле утечкой, чем это может грозить и вообще, что же такое мобильное приложение с точки зрения нашего законодательства?
Я потратил достаточно много времени и экспертизой своих коллег чтобы разобраться в этом вопросе и вот результат - статья на Хабр.
Как мне кажется получилось достаточно неплохо, по крайней мере для себя я определился и с понятиями ПДн в мобилках и с определением приложений вообще в законах. Надеюсь, вам тоже это будет интересно. Особенно, учитывая, что сейчас на рассмотрении закон о введении оборотных штрафов для компаний, допустивших утечки.
Приятного чтения!
#habr #ПДн
Всем привет!
Я наконец выплыл из отпуска и возвращаюсь в рабочее русло 😄
И на повестке дня сегодня не что иное, как персональные данные и их утечки.
Меня очень давно интересовал этот вопрос, можно ли считать хранение или утечку ПДн через мобилку на самом деле утечкой, чем это может грозить и вообще, что же такое мобильное приложение с точки зрения нашего законодательства?
Я потратил достаточно много времени и экспертизой своих коллег чтобы разобраться в этом вопросе и вот результат - статья на Хабр.
Как мне кажется получилось достаточно неплохо, по крайней мере для себя я определился и с понятиями ПДн в мобилках и с определением приложений вообще в законах. Надеюсь, вам тоже это будет интересно. Особенно, учитывая, что сейчас на рассмотрении закон о введении оборотных штрафов для компаний, допустивших утечки.
Приятного чтения!
#habr #ПДн
Хабр
Защита персональных данных в мобильных приложениях: как не нарушить закон
Всем привет! На связи снова Юрий Шабалин, генеральный директор «Стингрей Технолоджиз». В предыдущей статье я рассказывал о влиянии Профиля защиты ЦБ РФ на мобильные приложения. В продолжение темы...
Как построить процесс безопасной разработки и не сойти с ума
Всем привет!
Буквально через 10 минут пообщаемся с очень уважаемыми и умными людьми на тему процессов безопасной разработки!
Уверен, будет интересно)
Если интересно, подключайтесь!
Всем привет!
Буквально через 10 минут пообщаемся с очень уважаемыми и умными людьми на тему процессов безопасной разработки!
Уверен, будет интересно)
Если интересно, подключайтесь!
Код ИБ
Внедрение DevSecOps: какие препятствия могут возникнуть и как их преод
На эфире мы расскажем, на что стоит обратить внимание при внедрении DevSecOps, а также приведем примеры кейсов.
Кто жаловался, что весь движ проходит в Москве?
Специально для Питера - Summer Mobile Party в Санкт-Петербурге, встречка для мобильных разработчиков без хардовых докладов, но зато с лайтнингами и новым форматом PeerLab (будут решать реальные кейсы от людей из зала в реальном времени).
В прошлом году они делали такую вечеринку в Москве, теперь по вашим просьбам и там)
ПРиходите и задавайте задачки по безопасности, посмотрим, смогут ли они их решить в реальном времени 😉
Специально для Питера - Summer Mobile Party в Санкт-Петербурге, встречка для мобильных разработчиков без хардовых докладов, но зато с лайтнингами и новым форматом PeerLab (будут решать реальные кейсы от людей из зала в реальном времени).
В прошлом году они делали такую вечеринку в Москве, теперь по вашим просьбам и там)
ПРиходите и задавайте задачки по безопасности, посмотрим, смогут ли они их решить в реальном времени 😉
Forwarded from Yandex for Mobile (Ксения Дегтярева)
19 июля пройдёт Yandex Summer Mobile Party — это встреча без хардовых докладов, мы проводим её в более лёгком, но не менее интересном формате.
В программе:
Подписывайтесь:
Please open Telegram to view this post
VIEW IN TELEGRAM
Встретимся на OFFZONE!
Уже очень скоро в Москве пройдет одна из моих самых любимых конференций - OFFZONE!
Очень ждем докладов про мобилки и новые атаки =)
Уже очень скоро в Москве пройдет одна из моих самых любимых конференций - OFFZONE!
Очень ждем докладов про мобилки и новые атаки =)
Forwarded from OFFZONE
This media is not supported in your browser
VIEW IN TELEGRAM
Пятый OFFZONE пройдет 22–23 августа в Москве, в Культурном центре ЗИЛ.
В этом году у нас еще больше зон для выступлений: добавились AI.Zone и Threat.Zone.
Ждем доклады на самые разные темы: open-source, применение AI/ML в кибербезопасности, уязвимости в парсерах, пентест Wi-Fi и не только. Не бойтесь предложить что-то свое :)
Спикеры, которые пройдут отбор, получат: бесплатные проходки на конфу и Speaker party, наш мерч, а также другие плюшки в зависимости от зоны.
Присылайте заявки на доклады до 12 июля.
Узнать больше и подать заявку
Please open Telegram to view this post
VIEW IN TELEGRAM
Поиск контактов QA
Всем привет!
Давно не было слышно, дела захватили сильно :)
Но материал копится, посты скоро будут, обещаю)
А пока есть просьба, если кто-то знает компании, которые осуществляют тестирование мобильных приложений на аутсорсе и предлагают комплексные решения по тестированию мобилок (ручное тестирование, автоматическое и т.д.), напишите мне, пожалуйста!
Мне есть что им предложить и я хотел бы писать не на общий ящик, а напрямую в людей :)
Если вы знаете кого-то, а может и сами работаете в таких компаниях, не стесняйтесь, напишите, пожалуйста, буду крайне благодарен!
Всем хорошей и плодотворной рабочей недели!
Всем привет!
Давно не было слышно, дела захватили сильно :)
Но материал копится, посты скоро будут, обещаю)
А пока есть просьба, если кто-то знает компании, которые осуществляют тестирование мобильных приложений на аутсорсе и предлагают комплексные решения по тестированию мобилок (ручное тестирование, автоматическое и т.д.), напишите мне, пожалуйста!
Мне есть что им предложить и я хотел бы писать не на общий ящик, а напрямую в людей :)
Если вы знаете кого-то, а может и сами работаете в таких компаниях, не стесняйтесь, напишите, пожалуйста, буду крайне благодарен!
Всем хорошей и плодотворной рабочей недели!
Хотели сдампить приложение, но не знали как?
Не так давно один мой коллега столкнулся с тем, что приложение, которое он анализировал, было защищено с помощью одного из пакеров (Dexprotector вроде бы).
Попытки получить dex-файлы стандартными методами не увенчались успехом, любая попытка использовать Frida жестко пресекалась.
Нашли на просторах интересный инструмент, который позволяет из памяти dex без Frida!
И да, он прекрасно сработал!
Так что, если будет такая необходимость, используйте!
#Frida #dex #Dexprotector #packer #dump
Не так давно один мой коллега столкнулся с тем, что приложение, которое он анализировал, было защищено с помощью одного из пакеров (Dexprotector вроде бы).
Попытки получить dex-файлы стандартными методами не увенчались успехом, любая попытка использовать Frida жестко пресекалась.
Нашли на просторах интересный инструмент, который позволяет из памяти dex без Frida!
И да, он прекрасно сработал!
Так что, если будет такая необходимость, используйте!
#Frida #dex #Dexprotector #packer #dump
GitHub
GitHub - P4nda0s/panda-dex-dumper: A dynamic dex dumper, implemented in rust, no frida.
A dynamic dex dumper, implemented in rust, no frida. - P4nda0s/panda-dex-dumper