Хотели сдампить приложение, но не знали как?

Не так давно один мой коллега столкнулся с тем, что приложение, которое он анализировал, было защищено с помощью одного из пакеров (Dexprotector вроде бы).

Попытки получить dex-файлы стандартными методами не увенчались успехом, любая попытка использовать Frida жестко пресекалась.

Нашли на просторах интересный инструмент, который позволяет из памяти dex без Frida!

И да, он прекрасно сработал!

Так что, если будет такая необходимость, используйте!

#Frida #dex #Dexprotector #packer #dump

iOS URL Scheme Hijacking

А вот это уже интересно, давненько не было новостей про iOS и вот крайне занятная статья. В ней, конечно, много допущений, но это и правда интересно.

Если кратко, в статье описывается атака, использующая уязвимости в протоколе OAuth и обработке URL-схем. Атакующий может зарегистрировать собственную схему URL, используя ASWebAuthenticationSession, которая получает доступ к сессиям Safari. Через поддельный сайт жертву перенаправляют на нужный OAuth клиент, где сессия авторизации завершается без вмешательства пользователя (используя параметр prompt=none). Это позволяет злоумышленнику перехватить код аутентификации и получить доступ к аккаунту жертвы.

Как обычно, много допущений и условий, но тем не менее, авторы нашли как минимум 30 приложений, подверженных этой проблеме.

Приятного чтения!

#ios #urlscheme #oauth

Еще один сканер Android-приложений

Достаточно часто встречаю различные инструменты для анализа приложений. Какие-то из них прям интересные, некоторые совсем простенькие.

Ко второй категории относится проект APKDeepLens. Это весьма несложный парсер декомпилированного кода. Несмотря на достаточно красивое описание в репозитории, при анализе его кода становится понятно, что он только парсит манифест, выдёргивает URL из приложения, ищет секреты по регуляркам.

Неплохой для старта, легко кастомизируется и можно добавить свои наработки, если они у вас есть.

Так что, если кто искал проект для кастомизации, это самое то :)

#android #analysis

Очень классная статья про системные приложения в Android

Статья очень понятно объясняет классификацию и привилегии приложений Android. Если кратко, то на самом деле есть пять основных групп приложений:
- недоверенные приложения
- предустановленные приложения
- привилегированные приложения
- приложения с подписью платформы
- приложения с системным UID.

Каждая категория имеет свои специфические разрешения и правила в SELinux, которые определяют их возможности.

Очень рекомендую почитать!

#android #apps #permissions

Как вызвать Java из C++ в Android.

Всем привет!

Я несколько раз перечитал статью, но так и не понял прикола, зачем это делать-то и кому это нужно?

Статья описывает, как создать и использовать экземпляры JVM (Java Virtual Machine) в приложениях на Android, написанных на C/C++.

Автор объясняет, как интегрировать JVM в приложения с использованием JNI (Java Native Interface), чтобы вызывать Java-методы из нативного кода.

Я понимаю из Java вызывать натив, но зачем наоборот? Еще больше запутать логику?

Интересный подход, но пока непонятно 😅

#android #native #c++

Статья для начинающих свой путь в Android

Всем привет!

Статейка для тех, кто только начинает свое знакомство с Android и хотел бы попробовать свои силы на нескольких CTF, чтобы понять какого это.

В статье описаны шаги для настройки окружения:
- Создание эмулятора
- Настройка Burpsuite
- Установка Frida
- Решение двух задачек с HackTheBox

В целом ничего особо примечательного, но как базовая точка для самого популярного вопроса «Как снять пиннинг» подойдет. Конечно, далеко не на всех приложениях эти шаги и этот скрипт сработают, но тем не менее, для старта неплохо.

Ну а дальше только снимать пиннинг и другие вещи с более сложных и не учебных приложений.

Добро пожаловать в мир безопасности мобилок»

#android #frida #ctf #burp

Разбираемся с уязвимостью в Jetpack Navigation

Всем привет!

Относительно недавно многоуважаемый @OxFi5t подсветил исследование коллег из Positive Technologies про новый вектор атаки на Android через проблемы в библиотеке Jetpack . Спасибо огромное им за исследование, оно реально крутое!

Мы не смогли остаться в стороне, тоже немного покапались в исследовании, нашли пару интересных вещей, не освещенных в оригинальном материале и сегодня я представляю вашему вниманию результат наших трудов, статью "Разбираемся с новой уязвимостью в Android-библиотеке Jetpack Navigation".

Кроме технических деталей самой проблемы мы еще дополнительно проанализировали 1000 приложений из различных маркетов и собрали интересную статистику по подверженности данной проблеме. Если кратко, то 21% из исследованых нами приложений содержит уязвимую навигацию. Эксплуатабельны ли они это отдельный вопрос, который, я надеюсь, мы разберем в дальнейшем обязательно))

Если интересно исследование с цифрами, какие категории оказались наиболее подвержены данной проблеме - можно посмотреть у нас на сайте.

А пока - приятного чтения и спасибо еще раз коллегам за шикарную уязвимость!

#jetpack #stingray #navigation #issue #research

Управление уязвимостями или как быть в курсе всего

Всем привет!

Как многие из вас знают, недавно была опубликована уязвимость в Telegram, которая при должном уровне подготовки с небольшой примесью социальной инженерии превращалась в возможность установки произвольного приложения на устройство пользователя!

Эту новость я впервые увидел на канале "Управление Уязвимостями и прочее" моего друга, Саши Леонова, который делится новостями из мира ИБ, своими мыслями, комментариями и идеями.

Всем, кто интересуется миром ИБ, рекомендовал бы подписаться, так как сам с удовольствием читаю и много нового узнаю :)

Например о том, что есть такая замечательная штука, как Vulristics, которая может очень хорошо помочь собрать и агрегировать дополнительную информацию по обнаруженным CVE идентификатором, чтобы понять насколько они действительно критичны. В канале выходят ежемесячные обзоры Microsoft Patch Tuesday и Linux Patch Wednesday уязвимостей, проанализированных с помощью Vulristics.

Так что, приятного чтения!

#vulristics #leonov #telegram #cve

А интересные темы ребята рассказывать будут :)

21 августа в 19:00 зовём в московский офис Купера (ex СберМаркет) на митап о том, как строить процессы безопасности приложений. Послушать в онлайне тоже можно.

В программе:

🔥 Как выстроить DAST на Open-Source: гибкое использование Nuclei и ZAP под сервисы компании. Алексей Крохин из RuStore

🔥 Несколько вредных советов для вашего ASPM. Артём Пузанков и Артём Кармазин из Positive Technologies

🔥 Мы написали свою DSO-платформу, но все равно купили ASOC. Да как так-то?… Семён Барышников из Купер.тех

🔥 Как мы Defect Dojo SASTами тестировали. Кирилл Самосадный из SolidLab

🔥 Какой должен быть SAST? Алексей Федулаев из MTS Web Services

Регистрируйся, чтобы попасть в офлайн и получить ссылку на онлайн-трансляцию!

Мерч-мерч :)

Тут у Похек'а подъехал мерч :)

На самом деле мне перепала футболка “RCE” и мне очень понравился фасон, прям очень удобная, так что рекомендую :)

Шифрование!

Вот это прям реально круто! И чтобы Apple, да в openSource. Это внушает надежды, что проект будет поддерживаться.

Однако, судя по тому, что мы видим, редко кто обычное шифрование использует, почти никогда не встретишь использование Security Enclave, что говорить о гомоморфном шифровании (всегда два раза проверяю написание этого слова).

Но очень хочется верить, что если это правильно донести до разработки, очень надеюсь, что мы скоро сможем увидеть использование этого подхода в приложениях.

Так что изучаем, продвигаем и используем! :D

Это лучшее, что я читал и слышал за последнее время!

Спасибо @OxFi5t за прекрасный ресерч!

Если честно, боюсь представить, сколько приложений подвержено этой проблеме.. Учитывая, что согласно нашему последнему анализу, примерно каждое 4-е приложение использует Jetpack :)

Но думаю, очень скоро мы это узнаем))

Опять Android, опять навигация. Я уже рассказывал вам про интересную технику эксплуатации уязвимости в библиотеке Jetpack Navigation, которую обнаружил мой коллега. Кто не читал, обязательно ознакомьтесь. В той статье шла речь про навигацию для приложений использующих фрагменты. Но проблема не только в них. Поэтому я решил посмотреть что там с расширением для Jetpack Compose и оказалось, что там все еще веселее. Техники эксплуатации этой уязвимости даже более простые, чем в предыдущем варианте. Исследование вышло в двух вариантах:
1. На английском языке в блоге PT SWARM
2. На русском языке в моем личном блоге

Надеюсь вам понравится.

Маленький гайд по jailbreak :)

Когда-то писал гайд о том как собрать iphone без ssl pinning. И вот случился момент, когда тестовое приложение не может работать ниже ios 16. Пришлось суетить. На помощь пришел старенький iphoneX. Оказывается его можно сделать rootfull практически без боли и страданий.
1) Берем iphone X. И обновляем до последней версии ios 16.7.10 стандартным обновлением. Можно и вручную накатить последнюю подписанную версию https://ipsw.me/
2) Дальше берем Macbook с разъемом usb-A и подключаем iphone через lightning провод. Пришлось поискать оригинальный.
3) После ставим Palera1n по инструкции на компьютер.
4) Запускаем в режиме palera1n -cf следуя инстркциям по зажиманию клавиш телефона. Потом мне еще потребовалось повторить palera1n -f.
5) Айфон получил palera1n app и возможность установить Sileo package manager.
6) Качаем последний релиз ssl-kill-switch3 , открываем через Sileo и выполняем установку пакета.
7) Ставим бурповый сертификат из http://bupr
Буквально спустя пару часов нашел critical. Все было не зря 🦾

До встречи на OFFZone 2024

А мы активно готовимся к стенду на OFFZone 2024 :)

У MAW снова будет свой стенд в Community Zone!

А это значит, что вас ждут мобильный CTF, Своя Игра, Викторина и приятное общение!

Приходите все, я буду очень очень рад увидеться и поболтать!