Доклад про философию Android от Александра

А вот и материалы поспели)

Спасибо!

История и философия ОС Android

Кстати, неплохая тема с регой через бота, надо взять на вооружение. Ну а так, коллеги из комьюнити проводят митап в баре, присоединяйтесь ;)

Пентестер, аппсекер, аналитик и заказчик заходят в бар…

Когда и где? — 20 июня 2024, в 17.00 в одном из баров Москвы, точную локацию пришлет ТГ-бот после регистрации.

Никакого хардкора, пиара и продуктов. От комьюнити для комьюнити. За кружкой пенного и закусками поговорим про:

● Смарт-криты или опасный Web3
● Goлангский штурвал
● Unexpected end of token security (или категория Crypto не на CTF)

Хочешь тоже выступить со своей темой? Пожалуйста! Присылай тему и описание в бота — отберем пару интересных докладов 😎

Регистрация: через ТГ-бота @PentestMeetupBot. Там же вся полезная информация.

Количество мест ограничено, успевай забронировать 📱

Интересный подкаст про Android!

Ох, поздновато, но может кто успеет :)

В любом случае, ждем запись)

Анонс №4. Безопасность Android

Пришла пора поговорить на такую волнующую всех тему как безопасность Android и наконец-то понять, откуда берётся выдача рекламы, некогда случайно озвученная вполголоса рядом с включённым устройством.

В гостях как дома:

Александр Вир. Независимый исследователь. Автор проекта @rutheniumos – ОС, нацеленной не только на безопасность, но также приватность и защиту данных пользователя, созданной на базе AOSP и лучших наработок в области безопасности Android и ориентированной на российский рынок. И по совместительству автор канала @theaftertimes.

Алексей Теплов. Действующий инструктор в телекоме в англоязычной среде (Juniper), в нашей среде бывший (додевопсный) сетевой инженер, а нынче энтузиаст в сфере защиты от утечек со смартфонов и ноутбуков. Местами продвинутый пользователь Android и QubesOS, консультирует по ИБ и обучает заинтересованных лиц, нынче это преимущественно военные связисты (начсвязи).

О чём:

• История появления Андроида: как все начиналось в 200x и во что все превратилось в 202x?
• AOSP и архитектура современных андроидов/сборок
• Что не так с фабричными Андроидами в плане безопасности для обычного (рандомного) пользователя?
• Нужен ли рут и опасно ли наличие рута?
• Что такое дегуглофикация и почему она необходима инженеру?
• Bloatware, adware, трекеры/сборщики данных, etc – почему это зло, где его корни и как с ним бороться?
• Проект RutheniumOS – что, зачем и для чего? За что боремся, каковы высокие цели, в какой точке находимся, чего не хватает?
• Как сделать свой форк AOSP и нужно ли/сложно ли этому научиться? (может, академию открыть?! база (инженерная настройка) + адвансед (мейнтейнерство))
• Прочее интересное и полезное


Когда: 12.06.2024 11:00

Обязательно задаём свои вопросы в чате подкаста с тегом #вопрос4, за лучшие из них будут разыграны призы!

Трансляция будет здесь

Что ваш телефон знает о вас

Это они еще Xiaomi на стоковой прошивке, наверное не трогали, там вообще, говорят жесть :)

Ну а сам эксперимент лишь подтверждает, что не всему можно верить (особенно политике Google по обработке данных пользователей, которые они так трясут с разработчиков, но которые по факту никто не проверяет).

И сколько данных сливают приложения, можно только догадываться (ну а скорее всего всё, до чего можно дотянуться, данных мало не бывает).

Ну и очень хорошо вспоминается сам Google :) В тот момент, когда Apple ввёл обязательную политику регистрации и описания данных, которые собирает приложение, великая корпорация добра несколько месяцев не обновляла свои приложения (интересно почему)🤔

Так что будьте аккуратны, никогда не знаешь, кто и какие данные может получить с наших устройств ;)

Ну и очень хорошо вписывается сюда подкаст из предыдущего сообщения, там тоже много интересного про передачу данных, информации и прочих вещей, но уже от самой ОС Android.

Да и в целом, у нас два выбора, Google, Apple или любой другой корпоративный гигант, типо Samsung или Xiaomi, каждый из которых гребет все данные подряд..

Но вот вопрос, а стоит ли тогда вообще париться, если все равно каждый вендор что-то, но собирает. И есть ли способ этого избежать, сохранив при этом работоспособность приложений, да и самого устройства?

​Кому все-таки нужны наши данные

Тут ребята из СайберНьюс (не путать с нашей любимой Cyber Media) провели достаточно интересный эксперимент – они установили на тестовый смартфон 100 самых популярных бесплатных мобильных приложений из Google Play Store. Эти приложения они запустили, дали им все запрашиваемые разрешения и зарегистрировали в них аккаунты.

Сделано это всё было для того, чтобы проследить и вычислить, кто пользуется нашими сокровенными данными, куда они отправляются и кто за нами может следить. Собственно, эксперимент удался, так как всего за 3 дня было зафиксировано более 6 000 запросов на различные сервера со смартфона.

Из интересного – достаточно большое количество запросов было на сервера в Китае, России (не без участия Яндекса, хоть его приложений и не было установлено) и Вьетнаме, хотя сам телефон находился вообще в Европе. Рекордсменами по изъятию данных, по классике, стали мастодонты США – Google, Microsoft и Facebook (да-да, тот самый, который признан экстремистским и запрещенным на территории РФ).

При этом, за время исследования (а это всего 3 дня) было пропущено порядка 500 Мб данных по сети, с учетом того, что после установки и настройки приложений телефон никто не трогал. А еще, часть разрешений, который приложения запрашивали при запуске, так и не были использованы, что выглядит достаточно подозрительно. Если кому-то интересно и вы не любите английский, то вот тут можно почитать про эксперимент на русском языке – ссылка.

В общем, продолжаем и дальше жить в этом враждебном мире, где все охотятся на наши с вами данными.

#Кибергигиена

Твой Пакет Безопасности

А что, так можно было?

Блин, а за это можно CVE получить?
DOS мобильного приложения при обработке неверного интента...

Учитывая, что мы постоянно это выявляем автоматически, пойду посмотрю, что там на площадках у нас с такого рода багами.

Кстати, а за такое платят на ББ вооще?

DoS McAfee VPN app via deeplink
McAfee Security: Antivirus VPN for Android before 8.3.0 could allow an attacker to cause a denial of service through the use of a malformed deep link (CVE-2024-34406)
https://www.mcafee.com/support/?articleId=000002403&page=shell&shell=article-view

Попался мне тут свежий репорт по уязвимости в одном известном продукте 🌚 Старый добрый path traversal с перезаписью файла.
Стоит сказать, что приложение написано довольно свежо и современно. Это не какая-то поделка времен Android 4.0.1. Kotlin, Single activity, Compose, архитектура(!). Все по взрослому 🙃 Но идеальных систем не бывает и ошибки случаются. Никогда об этом не забывайте, и не опускайте руки. Даже если вам кажется, что "в приложении багов нет", это означает ровно одно — вы уделили недостаточно времени анализу.

Обязательно попробуйте найти что-нибудь в этом приложении. Там есть много интересных мест 😉

Персональные данные и мобильные приложения, как они связаны?

Всем привет!

Я наконец выплыл из отпуска и возвращаюсь в рабочее русло 😄

И на повестке дня сегодня не что иное, как персональные данные и их утечки.
Меня очень давно интересовал этот вопрос, можно ли считать хранение или утечку ПДн через мобилку на самом деле утечкой, чем это может грозить и вообще, что же такое мобильное приложение с точки зрения нашего законодательства?

Я потратил достаточно много времени и экспертизой своих коллег чтобы разобраться в этом вопросе и вот результат - статья на Хабр.

Как мне кажется получилось достаточно неплохо, по крайней мере для себя я определился и с понятиями ПДн в мобилках и с определением приложений вообще в законах. Надеюсь, вам тоже это будет интересно. Особенно, учитывая, что сейчас на рассмотрении закон о введении оборотных штрафов для компаний, допустивших утечки.

Приятного чтения!

#habr #ПДн

Как построить процесс безопасной разработки и не сойти с ума

Всем привет!

Буквально через 10 минут пообщаемся с очень уважаемыми и умными людьми на тему процессов безопасной разработки!

Уверен, будет интересно)

Если интересно, подключайтесь!

Кто жаловался, что весь движ проходит в Москве?

Специально для Питера - Summer Mobile Party в Санкт-Петербурге, встречка для мобильных разработчиков без хардовых докладов, но зато с лайтнингами и новым форматом PeerLab (будут решать реальные кейсы от людей из зала в реальном времени).

В прошлом году они делали такую вечеринку в Москве, теперь по вашим просьбам и там)

ПРиходите и задавайте задачки по безопасности, посмотрим, смогут ли они их решить в реальном времени 😉

Встретимся на OFFZONE!

Уже очень скоро в Москве пройдет одна из моих самых любимых конференций - OFFZONE!

Очень ждем докладов про мобилки и новые атаки =)

Поиск контактов QA

Всем привет!
Давно не было слышно, дела захватили сильно :)
Но материал копится, посты скоро будут, обещаю)

А пока есть просьба, если кто-то знает компании, которые осуществляют тестирование мобильных приложений на аутсорсе и предлагают комплексные решения по тестированию мобилок (ручное тестирование, автоматическое и т.д.), напишите мне, пожалуйста!

Мне есть что им предложить и я хотел бы писать не на общий ящик, а напрямую в людей :)

Если вы знаете кого-то, а может и сами работаете в таких компаниях, не стесняйтесь, напишите, пожалуйста, буду крайне благодарен!

Всем хорошей и плодотворной рабочей недели!

Хотели сдампить приложение, но не знали как?

Не так давно один мой коллега столкнулся с тем, что приложение, которое он анализировал, было защищено с помощью одного из пакеров (Dexprotector вроде бы).

Попытки получить dex-файлы стандартными методами не увенчались успехом, любая попытка использовать Frida жестко пресекалась.

Нашли на просторах интересный инструмент, который позволяет из памяти dex без Frida!

И да, он прекрасно сработал!

Так что, если будет такая необходимость, используйте!

#Frida #dex #Dexprotector #packer #dump