Mobile AppSec World
5.29K subscribers
142 photos
8 videos
19 files
675 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
​​Чем меня радует Android - он не прекращает развиваться, и с каждой новой версией становится всё интереснее и безопаснее (надеюсь) 😁

Вот, например, небольшое описание нововведений, касающихся разрешений. Особенно интересными, на мой взгляд, являются одноразовые разрешения и автоматический "отзыв", если приложение долго не используется. Более подробно рассказывали в видео.

И ещё, помимо безопасности пользователя, разработчики Android работают и над усилением самой платформы, добавляя различные механизмы защиты.

Хочется верить, что так будет и дальше 😎

#Android #Security #Permissions #Release #Android11
Подменяем Runtime Permissions в Android

Очень прикольную багу нашел наш соотечественник из компании MobileUp. Возможность подмены текста и иконки в всплывающем диалоге Runtime Permissions.

Похожую технику любят использовать различные малвари, перекрывая собой экран, только они использовали для этого механизм SYSTEMALERTWINDOW, но тут всё интереснее.

В данном случае, приложение может запросить доступ к смс и звонкам, перекрыть системное уведомление и написать любой текст! 😁 Шикарная штука)

Что мне непонятно, почему этот трюк работает только с 7-й версии Android, а в 6-й, когда появился механизм Runtime Permissions, система запрещает перекрывать системные диалоги. Поменялся механизм или просто решили, что эта мера защиты не нужна?))

И кстати, в конце статьи есть ссылка на библиотеку, которая сделает всё за вас и поможет в несколько кликов "украсить" ваши запросы на доступ к чему либо.

Так что тщательно проверяйте в настройках, какие именно разрешения есть у приложения. Вполне может оказаться, что фонарик, который попросил разрешение на доступ к камере, чтобы помогать вам правильно настроить свет, на самом деле в тайне читает ваши СМС 😏

#Vulnerability #Android #Permissions
Основные ошибки, которые можно допустить в Android Permissions

Сегодня просто отличная новостная пятница :) Статья от Oversecured про ошибки, которые можно допустить при работе Permissions в Android.

И что самое важное, это не какая-то абстрактная статья, как обычно читаешь про разрешения, и не какие-то срабатывания в сканерах про "Unused Permissions", а очень подробная и правильная статья о реальных ошибках, которые можно допустить, если недостаточно внимательно знаешь все особенности Android и его работу с разрешениями.

Наверное, это самая полезная статья о Permissions, которую я читал. Переведу ее и буду время от времени перечитывать и скидывать в качестве рекомендаций.

Так что очень рекомендую всем прочитать в прекрасный пятничный вечер!

Спасибо @bagipro!

#Oversecured #Android #Permissions
Разрешения в Android

Вдохновлённые одной из статей Oversecured про типичные ошибки в разрешениях, которые присутствуют при разработке приложений мы решили собрать чек-лист чуть побольше и дать немного больше описания и теории всем, кто хотел бы узнать что-то новое или освежить воспоминания об этом инструменте.

По итогу родилась статья на Хабр.
Прошу вашего внимания и, надеюсь, что информация окажется полезной!

Всем приятного чтения и хорошего настроения!

#habr #android #permissions
Очень классная статья про системные приложения в Android

Статья очень понятно объясняет классификацию и привилегии приложений Android. Если кратко, то на самом деле есть пять основных групп приложений:
- недоверенные приложения
- предустановленные приложения
- привилегированные приложения
- приложения с подписью платформы
- приложения с системным UID.

Каждая категория имеет свои специфические разрешения и правила в SELinux, которые определяют их возможности.

Очень рекомендую почитать!

#android #apps #permissions