Продолжая тему различных malware под Android 🤓
Никогда не устареет техника полного копирования интерфейса приложения с добавлением некоторого количества "дополнительного" функционала. И ведь каждый раз Google Play пропускает эти приложения 🤦♂️
В Индии после выпуска официального приложения от правительства, в Google Play появились десятки клонов с вирусом на борту. Если я правильно помню, несколько раз фейковые приложения набирали больше скачиваний, чем оригинал, благодаря проплаченному продвижению в топ 😃
#Android #malware #GooglePlay #Phishing
Никогда не устареет техника полного копирования интерфейса приложения с добавлением некоторого количества "дополнительного" функционала. И ведь каждый раз Google Play пропускает эти приложения 🤦♂️
В Индии после выпуска официального приложения от правительства, в Google Play появились десятки клонов с вирусом на борту. Если я правильно помню, несколько раз фейковые приложения набирали больше скачиваний, чем оригинал, благодаря проплаченному продвижению в топ 😃
#Android #malware #GooglePlay #Phishing
Опасная уязвимость в Google Play Core Library
Нередко приложения могут быть уязвимы не из-за того, что кто-то допустил ошибку в коде или что-то не учёл при разработке, а совсем по другим причинам. Одной из них могут быть уязвимые open-source библиотеки, которые мы используем при разработке. Даже если на момент подключения новой библиотеки она была безопасна, нет никакой гарантии, что завтра в ней не обнаружат какой-то адский баг 👹
Поддерживать версии используемых бибилиотек в актуальном состоянии - это очень важная задача. В процессе безопасной разработки даже есть отдельная практика для этого - SCA (Software Composition Analisys). И конечно, есть достаточное количество инструментов, которые позволяют это сделать, от бесплатных до энтерпрайз решений.
Это все к тому, что вчера вышел отчет о найденной уязвимости в библиотеке Google Play Core Library, которая довольно часто используется при разработке. Суть уязвимости заключается в возможности выполнения произвольного кода в контексте приложения, которое использует данную библиотеку.😱
В качестве PoC было выбрано приложение Google Chrome, которое в результате эксплуатирования уязвимости выполняло команду "chmod -R 777 /data/user/0/com.android.chrome", то есть, давало право чтения и записи любому приложению в директорию хрома. С помощью данной уязвимости можно производить любые операции с файлами на устройстве, копировать, отсылать на свой сервер, изменять и в целом все, что угодно)
Согласно присвоенной CVE уязвимы все версии Android's Play Core Library до версии 1.7.2. Так что настоятельно рекомендую обновиться как минимум до этой версии, если вы этого еще не сделали. Согласно Release Notes версия, исправляющая данную уязвимость вышла в марте, а текущая актуальная - 1.8.1
#Android #GooglePlay #Vulnerability #Exploit #PoC
Нередко приложения могут быть уязвимы не из-за того, что кто-то допустил ошибку в коде или что-то не учёл при разработке, а совсем по другим причинам. Одной из них могут быть уязвимые open-source библиотеки, которые мы используем при разработке. Даже если на момент подключения новой библиотеки она была безопасна, нет никакой гарантии, что завтра в ней не обнаружат какой-то адский баг 👹
Поддерживать версии используемых бибилиотек в актуальном состоянии - это очень важная задача. В процессе безопасной разработки даже есть отдельная практика для этого - SCA (Software Composition Analisys). И конечно, есть достаточное количество инструментов, которые позволяют это сделать, от бесплатных до энтерпрайз решений.
Это все к тому, что вчера вышел отчет о найденной уязвимости в библиотеке Google Play Core Library, которая довольно часто используется при разработке. Суть уязвимости заключается в возможности выполнения произвольного кода в контексте приложения, которое использует данную библиотеку.😱
В качестве PoC было выбрано приложение Google Chrome, которое в результате эксплуатирования уязвимости выполняло команду "chmod -R 777 /data/user/0/com.android.chrome", то есть, давало право чтения и записи любому приложению в директорию хрома. С помощью данной уязвимости можно производить любые операции с файлами на устройстве, копировать, отсылать на свой сервер, изменять и в целом все, что угодно)
Согласно присвоенной CVE уязвимы все версии Android's Play Core Library до версии 1.7.2. Так что настоятельно рекомендую обновиться как минимум до этой версии, если вы этого еще не сделали. Согласно Release Notes версия, исправляющая данную уязвимость вышла в марте, а текущая актуальная - 1.8.1
#Android #GooglePlay #Vulnerability #Exploit #PoC
Инструмент для загрузки приложений из систем дистрибуции и магазинов приложений
Всем привет!
Очень часто возникает необходимость загрузить что-то из Google Play или Apple Appstore.
А бывает и такое, что нужно автоматизировать загрузку промежуточных версий из какого-то Firebase, например или AppCenter.
Мы тоже сталкиваемся постоянно с этими задачами, поэтому решили их автоматизировать и оформить в виде репо на гитхаб, а также питоновского пакета и докер-образа :)
Вообще, это наш cli для автоматического сканирования приложений, но если вам нужно просто приложение, достаточно указать флаг —download_only
И если интересно почитать, как мы это разрабатывали - прошу на Хабр!
Пользуйтесь на здоровье :)
#habr #integratios #firebase #googleplay #appstore
Всем привет!
Очень часто возникает необходимость загрузить что-то из Google Play или Apple Appstore.
А бывает и такое, что нужно автоматизировать загрузку промежуточных версий из какого-то Firebase, например или AppCenter.
Мы тоже сталкиваемся постоянно с этими задачами, поэтому решили их автоматизировать и оформить в виде репо на гитхаб, а также питоновского пакета и докер-образа :)
Вообще, это наш cli для автоматического сканирования приложений, но если вам нужно просто приложение, достаточно указать флаг —download_only
И если интересно почитать, как мы это разрабатывали - прошу на Хабр!
Пользуйтесь на здоровье :)
#habr #integratios #firebase #googleplay #appstore
Хабр
Один в поле не воин. Полезные интеграции для инструментов анализа мобильных приложений
Привет, Хабр! Как вы уже наверняка помните, меня зовут Юрий Шабалин и я занимаюсь разработкой динамического анализатора мобильных приложений Стингрей. Сегодня мне хотелось бы затронуть тему...
Как на самом деле магазины приложений проверяют ваше приложение на уязвимости перед публикацией.
Всем привет!
Не могу не поделиться, хоть и из отпуска, нашим исследованием.
Как вы помните, на OFFZONE мы проводили CTF, в котором было представлено приложение с реальными уязвимостями. Тогда я обещал, что мы о нем еще поговорим. Время пришло 🙂
Мы загрузили наше уязвимое приложение во все популярные магазины, наблюдали за процессом их публикации и тому, какие проверки наше приложение проходило.
Исследование призвано ответить на несколько вопросов. Первый - это доказать, что надеется на проверку сторов при публикации и замещать этим аудиты безопасности приложений и средства по анализу защищенности нельзя.
Второй - выяснить, насколько магазины приложений выполняют свои обещания по проверке приложений на безопасность.
Сразу скажу, что к тем сторам, где нет ни слова об анализе приложений на безопасность, вопросов никаких и нет. Однако к тем, которые эту проверку обещают, есть большой вопрос.
Исследование касалось именно проверки на уязвимости и недостатки в приложении, но никак не проверке на вирусы, рекламу и прочее, что любой уважающий себя магазин и так делает.
Статья выше разделена на две части:
- Первая рассказывает о нашем приложении, как оно устроено, какие проблемы мы в него закладывали, к чему они могут привести. Давно планировали это написать, но решили совместить, так что всем, кто решал наш CTF и хотел посмотреть, что было еще, добро пожаловать!
- Вторая часть касается уже непосредственно анализу проверок магазинами, что они обещают и как это выглядит на самом деле. С датами заявки, проверок и публикаций.
Выводы делайте сами, но на мой взгляд, все достаточно просто, нельзя доверять проверку своего приложения на безопасность магазинам приложений, чтобы они не обещали.
И если когда-то вам скажут о том, что аудит не нужен, так как есть проверки на стороне магазинов, просто покажите им эту статью.
Лайки, репосты и прочие активности очень приветствуются!
Ну а я дальше отдыхать 🌴🏝️
#research #android #googleplay #ctf
Всем привет!
Не могу не поделиться, хоть и из отпуска, нашим исследованием.
Как вы помните, на OFFZONE мы проводили CTF, в котором было представлено приложение с реальными уязвимостями. Тогда я обещал, что мы о нем еще поговорим. Время пришло 🙂
Мы загрузили наше уязвимое приложение во все популярные магазины, наблюдали за процессом их публикации и тому, какие проверки наше приложение проходило.
Исследование призвано ответить на несколько вопросов. Первый - это доказать, что надеется на проверку сторов при публикации и замещать этим аудиты безопасности приложений и средства по анализу защищенности нельзя.
Второй - выяснить, насколько магазины приложений выполняют свои обещания по проверке приложений на безопасность.
Сразу скажу, что к тем сторам, где нет ни слова об анализе приложений на безопасность, вопросов никаких и нет. Однако к тем, которые эту проверку обещают, есть большой вопрос.
Исследование касалось именно проверки на уязвимости и недостатки в приложении, но никак не проверке на вирусы, рекламу и прочее, что любой уважающий себя магазин и так делает.
Статья выше разделена на две части:
- Первая рассказывает о нашем приложении, как оно устроено, какие проблемы мы в него закладывали, к чему они могут привести. Давно планировали это написать, но решили совместить, так что всем, кто решал наш CTF и хотел посмотреть, что было еще, добро пожаловать!
- Вторая часть касается уже непосредственно анализу проверок магазинами, что они обещают и как это выглядит на самом деле. С датами заявки, проверок и публикаций.
Выводы делайте сами, но на мой взгляд, все достаточно просто, нельзя доверять проверку своего приложения на безопасность магазинам приложений, чтобы они не обещали.
И если когда-то вам скажут о том, что аудит не нужен, так как есть проверки на стороне магазинов, просто покажите им эту статью.
Лайки, репосты и прочие активности очень приветствуются!
Ну а я дальше отдыхать 🌴🏝️
#research #android #googleplay #ctf
Хабр
Разрушители легенд: Как на самом деле магазины проверяют приложения на уязвимости
Intro Всем привет! Снова с вами Юрий Шабалин. Уже много лет я занимаюсь безопасностью мобильных приложений и в своих исследованиях доношу важность этого направления для бизнеса. В одной из прошлых...