Forwarded from Виктория Тикун Kinetica agency
Пентестер, аппсекер, аналитик и заказчик заходят в бар…
Когда и где? — 20 июня 2024, в 17.00 в одном из баров Москвы, точную локацию пришлет ТГ-бот после регистрации.
Никакого хардкора, пиара и продуктов. От комьюнити для комьюнити. За кружкой пенного и закусками поговорим про:
● Смарт-криты или опасный Web3
● Goлангский штурвал
● Unexpected end of token security (или категория Crypto не на CTF)
Хочешь тоже выступить со своей темой? Пожалуйста! Присылай тему и описание в бота — отберем пару интересных докладов 😎
Регистрация: через ТГ-бота @PentestMeetupBot. Там же вся полезная информация.
Количество мест ограничено, успевай забронировать 📱
Когда и где? — 20 июня 2024, в 17.00 в одном из баров Москвы, точную локацию пришлет ТГ-бот после регистрации.
Никакого хардкора, пиара и продуктов. От комьюнити для комьюнити. За кружкой пенного и закусками поговорим про:
● Смарт-криты или опасный Web3
● Goлангский штурвал
● Unexpected end of token security (или категория Crypto не на CTF)
Хочешь тоже выступить со своей темой? Пожалуйста! Присылай тему и описание в бота — отберем пару интересных докладов 😎
Регистрация: через ТГ-бота @PentestMeetupBot. Там же вся полезная информация.
Количество мест ограничено, успевай забронировать 📱
Интересный подкаст про Android!
Ох, поздновато, но может кто успеет :)
В любом случае, ждем запись)
Ох, поздновато, но может кто успеет :)
В любом случае, ждем запись)
Forwarded from ITRadio
Анонс №4. Безопасность Android
Пришла пора поговорить на такую волнующую всех тему как безопасность Android и наконец-то понять, откуда берётся выдача рекламы, некогда случайно озвученная вполголоса рядом с включённым устройством.
В гостях как дома:
Александр Вир. Независимый исследователь. Автор проекта @rutheniumos – ОС, нацеленной не только на безопасность, но также приватность и защиту данных пользователя, созданной на базе AOSP и лучших наработок в области безопасности Android и ориентированной на российский рынок. И по совместительству автор канала @theaftertimes.
Алексей Теплов. Действующий инструктор в телекоме в англоязычной среде (Juniper), в нашей среде бывший (додевопсный) сетевой инженер, а нынче энтузиаст в сфере защиты от утечек со смартфонов и ноутбуков. Местами продвинутый пользователь Android и QubesOS, консультирует по ИБ и обучает заинтересованных лиц, нынче это преимущественно военные связисты (начсвязи).
О чём:
• История появления Андроида: как все начиналось в 200x и во что все превратилось в 202x?
• AOSP и архитектура современных андроидов/сборок
• Что не так с фабричными Андроидами в плане безопасности для обычного (рандомного) пользователя?
• Нужен ли рут и опасно ли наличие рута?
• Что такое дегуглофикация и почему она необходима инженеру?
• Bloatware, adware, трекеры/сборщики данных, etc – почему это зло, где его корни и как с ним бороться?
• Проект RutheniumOS – что, зачем и для чего? За что боремся, каковы высокие цели, в какой точке находимся, чего не хватает?
• Как сделать свой форк AOSP и нужно ли/сложно ли этому научиться? (может, академию открыть?! база (инженерная настройка) + адвансед (мейнтейнерство))
• Прочее интересное и полезное
Когда: 12.06.2024 11:00
Обязательно задаём свои вопросы в чате подкаста с тегом #вопрос4, за лучшие из них будут разыграны призы!
Трансляция будет здесь
Пришла пора поговорить на такую волнующую всех тему как безопасность Android и наконец-то понять, откуда берётся выдача рекламы, некогда случайно озвученная вполголоса рядом с включённым устройством.
В гостях как дома:
Александр Вир. Независимый исследователь. Автор проекта @rutheniumos – ОС, нацеленной не только на безопасность, но также приватность и защиту данных пользователя, созданной на базе AOSP и лучших наработок в области безопасности Android и ориентированной на российский рынок. И по совместительству автор канала @theaftertimes.
Алексей Теплов. Действующий инструктор в телекоме в англоязычной среде (Juniper), в нашей среде бывший (додевопсный) сетевой инженер, а нынче энтузиаст в сфере защиты от утечек со смартфонов и ноутбуков. Местами продвинутый пользователь Android и QubesOS, консультирует по ИБ и обучает заинтересованных лиц, нынче это преимущественно военные связисты (начсвязи).
О чём:
• История появления Андроида: как все начиналось в 200x и во что все превратилось в 202x?
• AOSP и архитектура современных андроидов/сборок
• Что не так с фабричными Андроидами в плане безопасности для обычного (рандомного) пользователя?
• Нужен ли рут и опасно ли наличие рута?
• Что такое дегуглофикация и почему она необходима инженеру?
• Bloatware, adware, трекеры/сборщики данных, etc – почему это зло, где его корни и как с ним бороться?
• Проект RutheniumOS – что, зачем и для чего? За что боремся, каковы высокие цели, в какой точке находимся, чего не хватает?
• Как сделать свой форк AOSP и нужно ли/сложно ли этому научиться? (может, академию открыть?! база (инженерная настройка) + адвансед (мейнтейнерство))
• Прочее интересное и полезное
Когда: 12.06.2024 11:00
Обязательно задаём свои вопросы в чате подкаста с тегом #вопрос4, за лучшие из них будут разыграны призы!
Трансляция будет здесь
ITRadio
Анонс №4. Безопасность Android
Пришла пора поговорить на такую волнующую всех тему как безопасность Android и наконец-то понять, откуда берётся выдача рекламы, некогда случайно озвученная вполголоса рядом с включённым устройством.
В гостях как дома:
Александр Вир. Независимый исследователь.…
В гостях как дома:
Александр Вир. Независимый исследователь.…
Что ваш телефон знает о вас
Это они еще Xiaomi на стоковой прошивке, наверное не трогали, там вообще, говорят жесть :)
Ну а сам эксперимент лишь подтверждает, что не всему можно верить (особенно политике Google по обработке данных пользователей, которые они так трясут с разработчиков, но которые по факту никто не проверяет).
И сколько данных сливают приложения, можно только догадываться (ну а скорее всего всё, до чего можно дотянуться, данных мало не бывает).
Ну и очень хорошо вспоминается сам Google :) В тот момент, когда Apple ввёл обязательную политику регистрации и описания данных, которые собирает приложение, великая корпорациядобра несколько месяцев не обновляла свои приложения (интересно почему)🤔
Так что будьте аккуратны, никогда не знаешь, кто и какие данные может получить с наших устройств ;)
Ну и очень хорошо вписывается сюда подкаст из предыдущего сообщения, там тоже много интересного про передачу данных, информации и прочих вещей, но уже от самой ОС Android.
Да и в целом, у нас два выбора, Google, Apple или любой другой корпоративный гигант, типо Samsung или Xiaomi, каждый из которых гребет все данные подряд..
Но вот вопрос, а стоит ли тогда вообще париться, если все равно каждый вендор что-то, но собирает. И есть ли способ этого избежать, сохранив при этом работоспособность приложений, да и самого устройства?
Это они еще Xiaomi на стоковой прошивке, наверное не трогали, там вообще, говорят жесть :)
Ну а сам эксперимент лишь подтверждает, что не всему можно верить (особенно политике Google по обработке данных пользователей, которые они так трясут с разработчиков, но которые по факту никто не проверяет).
И сколько данных сливают приложения, можно только догадываться (ну а скорее всего всё, до чего можно дотянуться, данных мало не бывает).
Ну и очень хорошо вспоминается сам Google :) В тот момент, когда Apple ввёл обязательную политику регистрации и описания данных, которые собирает приложение, великая корпорация
Так что будьте аккуратны, никогда не знаешь, кто и какие данные может получить с наших устройств ;)
Ну и очень хорошо вписывается сюда подкаст из предыдущего сообщения, там тоже много интересного про передачу данных, информации и прочих вещей, но уже от самой ОС Android.
Да и в целом, у нас два выбора, Google, Apple или любой другой корпоративный гигант, типо Samsung или Xiaomi, каждый из которых гребет все данные подряд..
Но вот вопрос, а стоит ли тогда вообще париться, если все равно каждый вендор что-то, но собирает. И есть ли способ этого избежать, сохранив при этом работоспособность приложений, да и самого устройства?
Forwarded from Пакет Безопасности
Кому все-таки нужны наши данные
Тут ребята из СайберНьюс (не путать с нашей любимой Cyber Media) провели достаточно интересный эксперимент – они установили на тестовый смартфон 100 самых популярных бесплатных мобильных приложений из Google Play Store. Эти приложения они запустили, дали им все запрашиваемые разрешения и зарегистрировали в них аккаунты.
Сделано это всё было для того, чтобы проследить и вычислить, кто пользуется нашими сокровенными данными, куда они отправляются и кто за нами может следить. Собственно, эксперимент удался, так как всего за 3 дня было зафиксировано более 6 000 запросов на различные сервера со смартфона.
Из интересного – достаточно большое количество запросов было на сервера в Китае, России (не без участия Яндекса, хоть его приложений и не было установлено) и Вьетнаме, хотя сам телефон находился вообще в Европе. Рекордсменами по изъятию данных, по классике, стали мастодонты США – Google, Microsoft и Facebook (да-да, тот самый, который признан экстремистским и запрещенным на территории РФ ).
При этом, за время исследования (а это всего 3 дня) было пропущено порядка 500 Мб данных по сети, с учетом того, что после установки и настройки приложений телефон никто не трогал. А еще, часть разрешений, который приложения запрашивали при запуске, так и не были использованы, что выглядит достаточно подозрительно. Если кому-то интересно и вы не любите английский, то вот тут можно почитать про эксперимент на русском языке – ссылка.
В общем, продолжаем и дальше жить в этом враждебном мире, где все охотятся на наши с вами данными.
#Кибергигиена
Твой Пакет Безопасности
Тут ребята из СайберНьюс (не путать с нашей любимой Cyber Media) провели достаточно интересный эксперимент – они установили на тестовый смартфон 100 самых популярных бесплатных мобильных приложений из Google Play Store. Эти приложения они запустили, дали им все запрашиваемые разрешения и зарегистрировали в них аккаунты.
Сделано это всё было для того, чтобы проследить и вычислить, кто пользуется нашими сокровенными данными, куда они отправляются и кто за нами может следить. Собственно, эксперимент удался, так как всего за 3 дня было зафиксировано более 6 000 запросов на различные сервера со смартфона.
Из интересного – достаточно большое количество запросов было на сервера в Китае, России (не без участия Яндекса, хоть его приложений и не было установлено) и Вьетнаме, хотя сам телефон находился вообще в Европе. Рекордсменами по изъятию данных, по классике, стали мастодонты США – Google, Microsoft и Facebook (
При этом, за время исследования (а это всего 3 дня) было пропущено порядка 500 Мб данных по сети, с учетом того, что после установки и настройки приложений телефон никто не трогал. А еще, часть разрешений, который приложения запрашивали при запуске, так и не были использованы, что выглядит достаточно подозрительно. Если кому-то интересно и вы не любите английский, то вот тут можно почитать про эксперимент на русском языке – ссылка.
В общем, продолжаем и дальше жить в этом враждебном мире, где все охотятся на наши с вами данными.
#Кибергигиена
Твой Пакет Безопасности
А что, так можно было?
Блин, а за это можно CVE получить?
DOS мобильного приложения при обработке неверного интента...
Учитывая, что мы постоянно это выявляем автоматически, пойду посмотрю, что там на площадках у нас с такого рода багами.
Кстати, а за такое платят на ББ вооще?
Блин, а за это можно CVE получить?
DOS мобильного приложения при обработке неверного интента...
Учитывая, что мы постоянно это выявляем автоматически, пойду посмотрю, что там на площадках у нас с такого рода багами.
Кстати, а за такое платят на ББ вооще?
Forwarded from Android Security & Malware
DoS McAfee VPN app via deeplink
McAfee Security: Antivirus VPN for Android before 8.3.0 could allow an attacker to cause a denial of service through the use of a malformed deep link (CVE-2024-34406)
https://www.mcafee.com/support/?articleId=000002403&page=shell&shell=article-view
McAfee Security: Antivirus VPN for Android before 8.3.0 could allow an attacker to cause a denial of service through the use of a malformed deep link (CVE-2024-34406)
https://www.mcafee.com/support/?articleId=000002403&page=shell&shell=article-view
Forwarded from Android Guards
Попался мне тут свежий репорт по уязвимости в одном известном продукте 🌚 Старый добрый path traversal с перезаписью файла.
Стоит сказать, что приложение написано довольно свежо и современно. Это не какая-то поделка времен Android 4.0.1. Kotlin, Single activity, Compose, архитектура(!). Все по взрослому 🙃 Но идеальных систем не бывает и ошибки случаются. Никогда об этом не забывайте, и не опускайте руки. Даже если вам кажется, что "в приложении багов нет", это означает ровно одно — вы уделили недостаточно времени анализу.
Обязательно попробуйте найти что-нибудь в этом приложении. Там есть много интересных мест 😉
Стоит сказать, что приложение написано довольно свежо и современно. Это не какая-то поделка времен Android 4.0.1. Kotlin, Single activity, Compose, архитектура(!). Все по взрослому 🙃 Но идеальных систем не бывает и ошибки случаются. Никогда об этом не забывайте, и не опускайте руки. Даже если вам кажется, что "в приложении багов нет", это означает ровно одно — вы уделили недостаточно времени анализу.
Обязательно попробуйте найти что-нибудь в этом приложении. Там есть много интересных мест 😉
GitHub
Malicious App Can Write/Delete Arbitrary Files in App Internal Storage · Issue #877 · flipperdevices/Flipper-Android-App
Describe the bug There is a security issue in the way how the app handles shared files via a android.intent.action.SEND intent. The DeepLinkFileUriCopy.kt class trusts an attacker controlled filena...
Персональные данные и мобильные приложения, как они связаны?
Всем привет!
Я наконец выплыл из отпуска и возвращаюсь в рабочее русло 😄
И на повестке дня сегодня не что иное, как персональные данные и их утечки.
Меня очень давно интересовал этот вопрос, можно ли считать хранение или утечку ПДн через мобилку на самом деле утечкой, чем это может грозить и вообще, что же такое мобильное приложение с точки зрения нашего законодательства?
Я потратил достаточно много времени и экспертизой своих коллег чтобы разобраться в этом вопросе и вот результат - статья на Хабр.
Как мне кажется получилось достаточно неплохо, по крайней мере для себя я определился и с понятиями ПДн в мобилках и с определением приложений вообще в законах. Надеюсь, вам тоже это будет интересно. Особенно, учитывая, что сейчас на рассмотрении закон о введении оборотных штрафов для компаний, допустивших утечки.
Приятного чтения!
#habr #ПДн
Всем привет!
Я наконец выплыл из отпуска и возвращаюсь в рабочее русло 😄
И на повестке дня сегодня не что иное, как персональные данные и их утечки.
Меня очень давно интересовал этот вопрос, можно ли считать хранение или утечку ПДн через мобилку на самом деле утечкой, чем это может грозить и вообще, что же такое мобильное приложение с точки зрения нашего законодательства?
Я потратил достаточно много времени и экспертизой своих коллег чтобы разобраться в этом вопросе и вот результат - статья на Хабр.
Как мне кажется получилось достаточно неплохо, по крайней мере для себя я определился и с понятиями ПДн в мобилках и с определением приложений вообще в законах. Надеюсь, вам тоже это будет интересно. Особенно, учитывая, что сейчас на рассмотрении закон о введении оборотных штрафов для компаний, допустивших утечки.
Приятного чтения!
#habr #ПДн
Хабр
Защита персональных данных в мобильных приложениях: как не нарушить закон
Всем привет! На связи снова Юрий Шабалин, генеральный директор «Стингрей Технолоджиз». В предыдущей статье я рассказывал о влиянии Профиля защиты ЦБ РФ на мобильные приложения. В продолжение темы...
Как построить процесс безопасной разработки и не сойти с ума
Всем привет!
Буквально через 10 минут пообщаемся с очень уважаемыми и умными людьми на тему процессов безопасной разработки!
Уверен, будет интересно)
Если интересно, подключайтесь!
Всем привет!
Буквально через 10 минут пообщаемся с очень уважаемыми и умными людьми на тему процессов безопасной разработки!
Уверен, будет интересно)
Если интересно, подключайтесь!
Код ИБ
Внедрение DevSecOps: какие препятствия могут возникнуть и как их преод
На эфире мы расскажем, на что стоит обратить внимание при внедрении DevSecOps, а также приведем примеры кейсов.
Кто жаловался, что весь движ проходит в Москве?
Специально для Питера - Summer Mobile Party в Санкт-Петербурге, встречка для мобильных разработчиков без хардовых докладов, но зато с лайтнингами и новым форматом PeerLab (будут решать реальные кейсы от людей из зала в реальном времени).
В прошлом году они делали такую вечеринку в Москве, теперь по вашим просьбам и там)
ПРиходите и задавайте задачки по безопасности, посмотрим, смогут ли они их решить в реальном времени 😉
Специально для Питера - Summer Mobile Party в Санкт-Петербурге, встречка для мобильных разработчиков без хардовых докладов, но зато с лайтнингами и новым форматом PeerLab (будут решать реальные кейсы от людей из зала в реальном времени).
В прошлом году они делали такую вечеринку в Москве, теперь по вашим просьбам и там)
ПРиходите и задавайте задачки по безопасности, посмотрим, смогут ли они их решить в реальном времени 😉
Forwarded from Yandex for Mobile (Ксения Дегтярева)
19 июля пройдёт Yandex Summer Mobile Party — это встреча без хардовых докладов, мы проводим её в более лёгком, но не менее интересном формате.
В программе:
Подписывайтесь:
Please open Telegram to view this post
VIEW IN TELEGRAM
Встретимся на OFFZONE!
Уже очень скоро в Москве пройдет одна из моих самых любимых конференций - OFFZONE!
Очень ждем докладов про мобилки и новые атаки =)
Уже очень скоро в Москве пройдет одна из моих самых любимых конференций - OFFZONE!
Очень ждем докладов про мобилки и новые атаки =)
Forwarded from OFFZONE
This media is not supported in your browser
VIEW IN TELEGRAM
Пятый OFFZONE пройдет 22–23 августа в Москве, в Культурном центре ЗИЛ.
В этом году у нас еще больше зон для выступлений: добавились AI.Zone и Threat.Zone.
Ждем доклады на самые разные темы: open-source, применение AI/ML в кибербезопасности, уязвимости в парсерах, пентест Wi-Fi и не только. Не бойтесь предложить что-то свое :)
Спикеры, которые пройдут отбор, получат: бесплатные проходки на конфу и Speaker party, наш мерч, а также другие плюшки в зависимости от зоны.
Присылайте заявки на доклады до 12 июля.
Узнать больше и подать заявку
Please open Telegram to view this post
VIEW IN TELEGRAM
Поиск контактов QA
Всем привет!
Давно не было слышно, дела захватили сильно :)
Но материал копится, посты скоро будут, обещаю)
А пока есть просьба, если кто-то знает компании, которые осуществляют тестирование мобильных приложений на аутсорсе и предлагают комплексные решения по тестированию мобилок (ручное тестирование, автоматическое и т.д.), напишите мне, пожалуйста!
Мне есть что им предложить и я хотел бы писать не на общий ящик, а напрямую в людей :)
Если вы знаете кого-то, а может и сами работаете в таких компаниях, не стесняйтесь, напишите, пожалуйста, буду крайне благодарен!
Всем хорошей и плодотворной рабочей недели!
Всем привет!
Давно не было слышно, дела захватили сильно :)
Но материал копится, посты скоро будут, обещаю)
А пока есть просьба, если кто-то знает компании, которые осуществляют тестирование мобильных приложений на аутсорсе и предлагают комплексные решения по тестированию мобилок (ручное тестирование, автоматическое и т.д.), напишите мне, пожалуйста!
Мне есть что им предложить и я хотел бы писать не на общий ящик, а напрямую в людей :)
Если вы знаете кого-то, а может и сами работаете в таких компаниях, не стесняйтесь, напишите, пожалуйста, буду крайне благодарен!
Всем хорошей и плодотворной рабочей недели!
Хотели сдампить приложение, но не знали как?
Не так давно один мой коллега столкнулся с тем, что приложение, которое он анализировал, было защищено с помощью одного из пакеров (Dexprotector вроде бы).
Попытки получить dex-файлы стандартными методами не увенчались успехом, любая попытка использовать Frida жестко пресекалась.
Нашли на просторах интересный инструмент, который позволяет из памяти dex без Frida!
И да, он прекрасно сработал!
Так что, если будет такая необходимость, используйте!
#Frida #dex #Dexprotector #packer #dump
Не так давно один мой коллега столкнулся с тем, что приложение, которое он анализировал, было защищено с помощью одного из пакеров (Dexprotector вроде бы).
Попытки получить dex-файлы стандартными методами не увенчались успехом, любая попытка использовать Frida жестко пресекалась.
Нашли на просторах интересный инструмент, который позволяет из памяти dex без Frida!
И да, он прекрасно сработал!
Так что, если будет такая необходимость, используйте!
#Frida #dex #Dexprotector #packer #dump
GitHub
GitHub - P4nda0s/panda-dex-dumper: A dynamic dex dumper, implemented in rust, no frida.
A dynamic dex dumper, implemented in rust, no frida. - P4nda0s/panda-dex-dumper
iOS URL Scheme Hijacking
А вот это уже интересно, давненько не было новостей про iOS и вот крайне занятная статья. В ней, конечно, много допущений, но это и правда интересно.
Если кратко, в статье описывается атака, использующая уязвимости в протоколе OAuth и обработке URL-схем. Атакующий может зарегистрировать собственную схему URL, используя
Как обычно, много допущений и условий, но тем не менее, авторы нашли как минимум 30 приложений, подверженных этой проблеме.
Приятного чтения!
#ios #urlscheme #oauth
А вот это уже интересно, давненько не было новостей про iOS и вот крайне занятная статья. В ней, конечно, много допущений, но это и правда интересно.
Если кратко, в статье описывается атака, использующая уязвимости в протоколе OAuth и обработке URL-схем. Атакующий может зарегистрировать собственную схему URL, используя
ASWebAuthenticationSession, которая получает доступ к сессиям Safari. Через поддельный сайт жертву перенаправляют на нужный OAuth клиент, где сессия авторизации завершается без вмешательства пользователя (используя параметр prompt=none). Это позволяет злоумышленнику перехватить код аутентификации и получить доступ к аккаунту жертвы.Как обычно, много допущений и условий, но тем не менее, авторы нашли как минимум 30 приложений, подверженных этой проблеме.
Приятного чтения!
#ios #urlscheme #oauth
evanconnelly.github.io
Mobile OAuth Attacks - iOS URL Scheme Hijacking Revamped
Summary We (Julien Ahrens @MrTuxracer and myself @Evan_Connelly) identified nearly 30 popular apps, as well as a feature within iOS itself, vulnerable to an attack in which any installed iOS app from the Apple App Store could perform an account takeover of…
Еще один сканер Android-приложений
Достаточно часто встречаю различные инструменты для анализа приложений. Какие-то из них прям интересные, некоторые совсем простенькие.
Ко второй категории относится проект APKDeepLens. Это весьма несложный парсер декомпилированного кода. Несмотря на достаточно красивое описание в репозитории, при анализе его кода становится понятно, что он только парсит манифест, выдёргивает URL из приложения, ищет секреты по регуляркам.
Неплохой для старта, легко кастомизируется и можно добавить свои наработки, если они у вас есть.
Так что, если кто искал проект для кастомизации, это самое то :)
#android #analysis
Достаточно часто встречаю различные инструменты для анализа приложений. Какие-то из них прям интересные, некоторые совсем простенькие.
Ко второй категории относится проект APKDeepLens. Это весьма несложный парсер декомпилированного кода. Несмотря на достаточно красивое описание в репозитории, при анализе его кода становится понятно, что он только парсит манифест, выдёргивает URL из приложения, ищет секреты по регуляркам.
Неплохой для старта, легко кастомизируется и можно добавить свои наработки, если они у вас есть.
Так что, если кто искал проект для кастомизации, это самое то :)
#android #analysis
GitHub
GitHub - d78ui98/APKDeepLens: Android security insights in full spectrum.
Android security insights in full spectrum. Contribute to d78ui98/APKDeepLens development by creating an account on GitHub.
Очень классная статья про системные приложения в Android
Статья очень понятно объясняет классификацию и привилегии приложений Android. Если кратко, то на самом деле есть пять основных групп приложений:
- недоверенные приложения
- предустановленные приложения
- привилегированные приложения
- приложения с подписью платформы
- приложения с системным UID.
Каждая категория имеет свои специфические разрешения и правила в SELinux, которые определяют их возможности.
Очень рекомендую почитать!
#android #apps #permissions
Статья очень понятно объясняет классификацию и привилегии приложений Android. Если кратко, то на самом деле есть пять основных групп приложений:
- недоверенные приложения
- предустановленные приложения
- привилегированные приложения
- приложения с подписью платформы
- приложения с системным UID.
Каждая категория имеет свои специфические разрешения и правила в SELinux, которые определяют их возможности.
Очень рекомендую почитать!
#android #apps #permissions
Meta Red Team X
The many meanings of “system app” in modern Android
Not all Android apps are created equal. The Settings app on an Android device, for example, can change numerous things that no “normal” app can, regardless of how many permissions that app requests. Apps with special privileges like Settings are often called…
Как вызвать Java из C++ в Android.
Всем привет!
Я несколько раз перечитал статью, но так и не понял прикола, зачем это делать-то и кому это нужно?
Статья описывает, как создать и использовать экземпляры JVM (Java Virtual Machine) в приложениях на Android, написанных на C/C++.
Автор объясняет, как интегрировать JVM в приложения с использованием JNI (Java Native Interface), чтобы вызывать Java-методы из нативного кода.
Я понимаю из Java вызывать натив, но зачем наоборот? Еще больше запутать логику?
Интересный подход, но пока непонятно 😅
#android #native #c++
Всем привет!
Я несколько раз перечитал статью, но так и не понял прикола, зачем это делать-то и кому это нужно?
Статья описывает, как создать и использовать экземпляры JVM (Java Virtual Machine) в приложениях на Android, написанных на C/C++.
Автор объясняет, как интегрировать JVM в приложения с использованием JNI (Java Native Interface), чтобы вызывать Java-методы из нативного кода.
Я понимаю из Java вызывать натив, но зачем наоборот? Еще больше запутать логику?
Интересный подход, но пока непонятно 😅
#android #native #c++
Medium
Creating and using JVM instances in Android C/C++ applications
Considering the reader’s interest in this post, it’s reasonable to assume a certain level of familiarity with JNI and its usage. For those…
Статья для начинающих свой путь в Android
Всем привет!
Статейка для тех, кто только начинает свое знакомство с Android и хотел бы попробовать свои силы на нескольких CTF, чтобы понять какого это.
В статье описаны шаги для настройки окружения:
- Создание эмулятора
- Настройка Burpsuite
- Установка Frida
- Решение двух задачек с HackTheBox
В целом ничего особо примечательного, но как базовая точка для самого популярного вопроса «Как снять пиннинг» подойдет. Конечно, далеко не на всех приложениях эти шаги и этот скрипт сработают, но тем не менее, для старта неплохо.
Ну а дальше только снимать пиннинг и другие вещи с более сложных и не учебных приложений.
Добро пожаловать в мир безопасности мобилок»
#android #frida #ctf #burp
Всем привет!
Статейка для тех, кто только начинает свое знакомство с Android и хотел бы попробовать свои силы на нескольких CTF, чтобы понять какого это.
В статье описаны шаги для настройки окружения:
- Создание эмулятора
- Настройка Burpsuite
- Установка Frida
- Решение двух задачек с HackTheBox
В целом ничего особо примечательного, но как базовая точка для самого популярного вопроса «Как снять пиннинг» подойдет. Конечно, далеко не на всех приложениях эти шаги и этот скрипт сработают, но тем не менее, для старта неплохо.
Ну а дальше только снимать пиннинг и другие вещи с более сложных и не учебных приложений.
Добро пожаловать в мир безопасности мобилок»
#android #frida #ctf #burp