Forwarded from Android Guards
Произошло целых два события: отгремела Google I/O 2021 и у меня нашлось время собрать всякую интересную инфу по privacy & security фишкам, которые там показали. Обзор получился довольно объемный, поэтому в описании вас традиционно ждут таймкоды и куча тематических ссылок. Смотрите, комментируйте, задавайте вопросы. Там есть что обсудить!
https://youtu.be/2Mtdo84dI4M
https://youtu.be/2Mtdo84dI4M
YouTube
🕵️♂️ По следам Google I/O 2021: Безопасность и приватность 😎
На Google I/O 2021 нам прямо со сцены заявили, что теперь "privacy by default" и вообще все будет хорошо. В этом видео я расскажу про плюшки для пользователей, проблемы для разработчиков и покажу немного кода для иллюстрации изменений в Android 12.
Полезные…
Полезные…
Анализ безопасности приложений Samsung
Бери Samsung, говорили они, он безопасный, говорили они 😃
И по итогу, установка произвольных приложений (при этом им система еще выдает административные права), кража СМС, контактов, кража данных из нотификаций и много чего еще. Что-то уже не кажется, что все так хорошо))
И все это описано в потрясающей статье от великолепного @bagipro про исследование безопасности предустановленных приложений в Samsung. Все уязвимости найдены при помощи сканнера Oversecured ;)
В статье подробно изложены методики анализа и причины возникновения уязвимостей, а также представлены PoC для последующего изучения и повторения техник) Ну а что мне больше нравится, это название статьи "...Part 1", которое подразумевает продолжение.
Очень ждем продолжения и больше-больше крутых техник и уязвимостей!
#OverSecured #bagipro #vulnerabilities
Бери Samsung, говорили они, он безопасный, говорили они 😃
И по итогу, установка произвольных приложений (при этом им система еще выдает административные права), кража СМС, контактов, кража данных из нотификаций и много чего еще. Что-то уже не кажется, что все так хорошо))
И все это описано в потрясающей статье от великолепного @bagipro про исследование безопасности предустановленных приложений в Samsung. Все уязвимости найдены при помощи сканнера Oversecured ;)
В статье подробно изложены методики анализа и причины возникновения уязвимостей, а также представлены PoC для последующего изучения и повторения техник) Ну а что мне больше нравится, это название статьи "...Part 1", которое подразумевает продолжение.
Очень ждем продолжения и больше-больше крутых техник и уязвимостей!
#OverSecured #bagipro #vulnerabilities
News, Techniques & Guides
Two weeks of securing Samsung devices: Part 1
After spending two weeks looking for security bugs in the pre-installed apps on Samsung devices, we were able to find multiple dangerous vulnerabilities.
Запуск приложений Mac на Jailbreaked iPhone
Пока кто-то пытается запускать любые iOS-приложения на M1 и обойти ограничения Apple на запуск неподписанного кода, другие пытаются запустить приложения для Mac на айфоне. Зачем? Ну не знаю, например, чтобы проверить предположение, что mac и ios взаимодополняют друг-друга и могут спокойно запускать приложения друг-друга. Ну или просто just-for-fun)
На самом деле очень интересная статья, которая может помочьт во внутреннем изучении системы и понимании логики работы обеих систем.
#iOS #MacOS #M1 #iPhone
Пока кто-то пытается запускать любые iOS-приложения на M1 и обойти ограничения Apple на запуск неподписанного кода, другие пытаются запустить приложения для Mac на айфоне. Зачем? Ну не знаю, например, чтобы проверить предположение, что mac и ios взаимодополняют друг-друга и могут спокойно запускать приложения друг-друга. Ну или просто just-for-fun)
На самом деле очень интересная статья, которая может помочьт во внутреннем изучении системы и понимании логики работы обеих систем.
#iOS #MacOS #M1 #iPhone
Worth Doing Badly
Jailbroken iOS can’t run macOS apps. I spent a week to find out why.
I ran command line macOS tools, such as Bash and Geekbench, on a jailbroken iPhone by replacing iOS’s dyld shared cache (all of iOS’s code) with macOS’s. However, graphical apps will never work: macOS’s WindowServer won’t start, since iOS’s drivers are too…
Уязвимость в Mattermost приложении под Android
Уязвимость Persistant Arbitrary code execution в приложении Mattermost под Android. Очень интересная бага, учитывая, что это OpenSource проект, и на его основе многие компании строят свои внутренние мессенджеры. Так что, если вы используете в компании Mattermost, то обновитесь на свеженькую версию)
Суть атаки в наличии уязвимости Path Traversal в одном из параметров, который принимает ContentProvider. Благодаря этому можно перезаписать одну из нативных библиотек в приложении и при следующем запуске будет выполнен код, который атакующий зашил в метод OnLoad внутри натива.
Крайне знакомая техника, где же я о ней читал? 🤔
#Mattermost #Vulnerability #ACE
Уязвимость Persistant Arbitrary code execution в приложении Mattermost под Android. Очень интересная бага, учитывая, что это OpenSource проект, и на его основе многие компании строят свои внутренние мессенджеры. Так что, если вы используете в компании Mattermost, то обновитесь на свеженькую версию)
Суть атаки в наличии уязвимости Path Traversal в одном из параметров, который принимает ContentProvider. Благодаря этому можно перезаписать одну из нативных библиотек в приложении и при следующем запуске будет выполнен код, который атакующий зашил в метод OnLoad внутри натива.
Крайне знакомая техника, где же я о ней читал? 🤔
#Mattermost #Vulnerability #ACE
HackerOne
Mattermost disclosed on HackerOne: Persistant Arbitrary code...
## Summary:
Activity `com.mattermost.share.ShareActivity` is is exported and is designed to allow file sharing from third party application to mattermost android app.
```
<activity...
Activity `com.mattermost.share.ShareActivity` is is exported and is designed to allow file sharing from third party application to mattermost android app.
```
<activity...
ZeroNights 2021
Всем любителям конференций :)
Уже очень скоро, 30 июня в Питере пройдет одна из основных конференций по информационной безопасности - ZeroNights 2021. Мне лично очень нравится и сама конфа и атмосфера, которой она сопровождается.
Мы в этом году, к сожалению не выступаем, но надеюсь, что к следующему году мы уж точно наберем достаточно материала и времени для нескольких выступлений 😉 так что в этом году просто послушаю доклады и пообщаюсь с друзьями за бутылочкой Club Mate)
По нашей теме, будет как минимум один интересный доклад об уязвимостях в Samsung (опять) и о построении собственных эмуляторов на базе QEMU. Обязательно пойду послушать :)
Если кто-то соберется поехать, то увидимся на конференции!
#zeronights #conference
Всем любителям конференций :)
Уже очень скоро, 30 июня в Питере пройдет одна из основных конференций по информационной безопасности - ZeroNights 2021. Мне лично очень нравится и сама конфа и атмосфера, которой она сопровождается.
Мы в этом году, к сожалению не выступаем, но надеюсь, что к следующему году мы уж точно наберем достаточно материала и времени для нескольких выступлений 😉 так что в этом году просто послушаю доклады и пообщаюсь с друзьями за бутылочкой Club Mate)
По нашей теме, будет как минимум один интересный доклад об уязвимостях в Samsung (опять) и о построении собственных эмуляторов на базе QEMU. Обязательно пойду послушать :)
Если кто-то соберется поехать, то увидимся на конференции!
#zeronights #conference
Forwarded from Cybred
Мне наконец-то удалось плотно поработать с реверсом Android-приложений. Если раньше хватало Burp'а для анализа трафика, чтобы посмотреть простенькие запросы к API (для OSINT'а, например), а дальше заглядывать было лень, то в этот раз сама жизнь заставила и пришлось немного углубиться в тему.
В основном, я использовал Frid'у (просто незаменимый и очень-очень удобный фреймворк) и некоторые тулзы для сборки/декомпиляции/подписи/просмотра исходного кода, о которых, возможно, напишу в следующих постах.
Для тех, кто хотел вкатиться, вот все ресурсы, которые были мною использованы для обучения, думаю, будет полезно.
Вводные статьи по Java:
https://docs.oracle.com/javase/tutorial/
https://beginnersbook.com/java-tutorial-for-beginners-with-examples/
https://www.tutorialspoint.com/java/java_tutorial.pdf
Шпаргалка по Smali на русском:
*выше на канале*
Цикл видосов по Android Reverse Engineering:
https://www.youtube.com/watch?v=BijZmutY0CQ
Канал "Android AppSec" на Youtube:
https://www.youtube.com/channel/UC5bY16WSEa_ttTPqj8aTeIw/videos
Подробнейшая инструкция по настройке рабочего окружения:
https://blog.cobalt.io/getting-started-with-android-application-security-6f20b76d795b
Документация Frida + Codeshare и сниппеты:
https://frida.re/docs/javascript-api/
https://codeshare.frida.re/
https://github.com/iddoeldor/frida-snippets
Бложики со статьями, наполненные одами о Frida:
https://grepharder.github.io/blog/
https://neo-geo2.gitbook.io/adventures-on-security/
https://joshspicer.com/android-frida-1
https://11x256.github.io/
(на русском: https://forum.reverse4you.org/t/android-frida/1128)
Статья на Zennolab о Frida:
https://zennolab.com/discussion/threads/android-na-post-get-s-pomoschju-frida-server-burpsuite-i-bonus.79264/
Статья на Xakep о Frida:
https://xakep.ru/2018/03/19/android-frida/
Самые полезные и полные гайды с большим количеством примеров (Tiktok и Frida):
https://www.fatalerrors.org/a/code-and-example.html
https://www.fatalerrors.org/a/0d901j8.html
Райтапы ØxOPOSɆC, связанные с криптографией:
https://inesmartins.github.io/oposec-don-joe/
https://inesmartins.github.io/oposec-secrets/
https://inesmartins.github.io/htb-crypto-challenge-call/
https://inesmartins.github.io/htb-crypto-challenge/
https://inesmartins.github.io/oxopos-c-summer-challenge-2020-web-challenges-write-up/
https://inesmartins.github.io/0xoposec/
Отдельно выделю их же цикл статей "Undeground Leaks":
https://inesmartins.github.io/oposec-underground-leaks/
https://inesmartins.github.io/oposec-underground-leaks-part-ii/
https://inesmartins.github.io/opoleaks-underground-leaks-part-iii/
Если есть что добавить, кидайте в обратную связь, - запилю отдельный пост.
В основном, я использовал Frid'у (просто незаменимый и очень-очень удобный фреймворк) и некоторые тулзы для сборки/декомпиляции/подписи/просмотра исходного кода, о которых, возможно, напишу в следующих постах.
Для тех, кто хотел вкатиться, вот все ресурсы, которые были мною использованы для обучения, думаю, будет полезно.
Вводные статьи по Java:
https://docs.oracle.com/javase/tutorial/
https://beginnersbook.com/java-tutorial-for-beginners-with-examples/
https://www.tutorialspoint.com/java/java_tutorial.pdf
Шпаргалка по Smali на русском:
*выше на канале*
Цикл видосов по Android Reverse Engineering:
https://www.youtube.com/watch?v=BijZmutY0CQ
Канал "Android AppSec" на Youtube:
https://www.youtube.com/channel/UC5bY16WSEa_ttTPqj8aTeIw/videos
Подробнейшая инструкция по настройке рабочего окружения:
https://blog.cobalt.io/getting-started-with-android-application-security-6f20b76d795b
Документация Frida + Codeshare и сниппеты:
https://frida.re/docs/javascript-api/
https://codeshare.frida.re/
https://github.com/iddoeldor/frida-snippets
Бложики со статьями, наполненные одами о Frida:
https://grepharder.github.io/blog/
https://neo-geo2.gitbook.io/adventures-on-security/
https://joshspicer.com/android-frida-1
https://11x256.github.io/
(на русском: https://forum.reverse4you.org/t/android-frida/1128)
Статья на Zennolab о Frida:
https://zennolab.com/discussion/threads/android-na-post-get-s-pomoschju-frida-server-burpsuite-i-bonus.79264/
Статья на Xakep о Frida:
https://xakep.ru/2018/03/19/android-frida/
Самые полезные и полные гайды с большим количеством примеров (Tiktok и Frida):
https://www.fatalerrors.org/a/code-and-example.html
https://www.fatalerrors.org/a/0d901j8.html
Райтапы ØxOPOSɆC, связанные с криптографией:
https://inesmartins.github.io/oposec-don-joe/
https://inesmartins.github.io/oposec-secrets/
https://inesmartins.github.io/htb-crypto-challenge-call/
https://inesmartins.github.io/htb-crypto-challenge/
https://inesmartins.github.io/oxopos-c-summer-challenge-2020-web-challenges-write-up/
https://inesmartins.github.io/0xoposec/
Отдельно выделю их же цикл статей "Undeground Leaks":
https://inesmartins.github.io/oposec-underground-leaks/
https://inesmartins.github.io/oposec-underground-leaks-part-ii/
https://inesmartins.github.io/opoleaks-underground-leaks-part-iii/
Если есть что добавить, кидайте в обратную связь, - запилю отдельный пост.
Вступительная статья по статическому анализу Android-приложений
Весьма неплохая вступительная статья о статическом анализе Android-приложений с видео и текстовым описанием того, что происходит.
Заядлым реверсерам и опытным безопасникам она мало поможет, так как ничего особо нового там нет. Но тем, кто начинает свой путь и хочет более подробно разобраться на конкретном примере - может быть полезно.
В примере разобрана одна из уязвимостей приложения InsecureBankV2
#SAST #Reverse #decompile #junior
Весьма неплохая вступительная статья о статическом анализе Android-приложений с видео и текстовым описанием того, что происходит.
Заядлым реверсерам и опытным безопасникам она мало поможет, так как ничего особо нового там нет. Но тем, кто начинает свой путь и хочет более подробно разобраться на конкретном примере - может быть полезно.
В примере разобрана одна из уязвимостей приложения InsecureBankV2
#SAST #Reverse #decompile #junior
Penetration Testing and CyberSecurity Solution - SecureLayer7
Mitigate OWASP Top 10 Android Risks with Static Analysis
With the widespread use of mobile applications and the growing concern for mobile app security, it has become crucial for developers to ensure the integrity and security of their Android...
Разбор уязвимости в Android Verified Boot Process на примере... велотренажера
В Android есть процесс доверенной загрузки, который впервые появился в Android 4.4 (но был настолько ужасным, что им никто не пользовался), и в последствии был существенно доработан в 6-й и 7-й версиях Android. И хотя он недотягивает до цепочки доверия в iOS, но тем не менее работает 😃
И вот, в компании McAfee обнаружили инересну багу в велотренажерах, на которых установлен тот самый Android) Что позволяло при физическом доступе перезалить модифицированный образ загрузчика и получить удаленный root-доступ к велотренажерам. А там и запись видео со звуком, слив информации и прочие веселые вещи.
На самом деле статья интересна не конкретно велотренажерами, а тем, как в ней описан процесс доверенной загрузки, как он работает и шаги, которые были предприняты, чтобы выявить проблемы.
Можно почитать, интересный материал за чашкой кофе с утра ☕️
#Android #VerifiedBoot #Vulnerability #Sport
В Android есть процесс доверенной загрузки, который впервые появился в Android 4.4 (но был настолько ужасным, что им никто не пользовался), и в последствии был существенно доработан в 6-й и 7-й версиях Android. И хотя он недотягивает до цепочки доверия в iOS, но тем не менее работает 😃
И вот, в компании McAfee обнаружили инересну багу в велотренажерах, на которых установлен тот самый Android) Что позволяло при физическом доступе перезалить модифицированный образ загрузчика и получить удаленный root-доступ к велотренажерам. А там и запись видео со звуком, слив информации и прочие веселые вещи.
На самом деле статья интересна не конкретно велотренажерами, а тем, как в ней описан процесс доверенной загрузки, как он работает и шаги, которые были предприняты, чтобы выявить проблемы.
Можно почитать, интересный материал за чашкой кофе с утра ☕️
#Android #VerifiedBoot #Vulnerability #Sport
Telegram
Mobile AppSec World
Chain of Trust в iOS. Часть первая - Boot ROM
Очень неплохая статья недавно вышла на Хабр про процесс доверенной загрузки в iOS, которая не позволяет запускать неподписанный код на устройствах APlle и гарантирует, что программная часть iPhone будет запущена…
Очень неплохая статья недавно вышла на Хабр про процесс доверенной загрузки в iOS, которая не позволяет запускать неподписанный код на устройствах APlle и гарантирует, что программная часть iPhone будет запущена…
Выполнение произвольного кода в приложении Google
Отличная пятничная статья (хоть она и вышла несколько дней назад, но для меня она пятничная) про очень крутую уязвимость в приложении Google от уникальной компании Oversecured!
Уязвимость persistent local code execution. позволяет выполнить произвольный код в контексте приложения Google, а это значит получить очень и очень широкие возможности в системе. При этом достаточно всего одного запуска вредоносного приложения, для того, чтобы зловредный модуль остался в системе и делал свои темные дела.
Что мне нравится в этой статье, так это реально крутая связка уязвимостей, которая привела к возможности проведения подобной атаки. И более того, про каждый элемент этой цепочки можно прочитать в соответствующей статье от Oversecured. И это действительно круто. Если вы еще не читали про различные техники эксплуатации - советую начать с этой статьи и прочитать все кросс-ссылки, это безумно интересно.
Всем приятного чтения и хороших выходных!
#Google #Vulnerability #Oversecured
Отличная пятничная статья (хоть она и вышла несколько дней назад, но для меня она пятничная) про очень крутую уязвимость в приложении Google от уникальной компании Oversecured!
Уязвимость persistent local code execution. позволяет выполнить произвольный код в контексте приложения Google, а это значит получить очень и очень широкие возможности в системе. При этом достаточно всего одного запуска вредоносного приложения, для того, чтобы зловредный модуль остался в системе и делал свои темные дела.
Что мне нравится в этой статье, так это реально крутая связка уязвимостей, которая привела к возможности проведения подобной атаки. И более того, про каждый элемент этой цепочки можно прочитать в соответствующей статье от Oversecured. И это действительно круто. Если вы еще не читали про различные техники эксплуатации - советую начать с этой статьи и прочитать все кросс-ссылки, это безумно интересно.
Всем приятного чтения и хороших выходных!
#Google #Vulnerability #Oversecured
News, Techniques & Guides
Why dynamic code loading could be dangerous for your apps: a Google example
Almost every Android app dynamically loads code from native .so libraries or .dex files. There are also some special libraries like Google Play Core to simplify this process.
Отключение WiFi в iOS
В Android 12 сделали программное отключение доступа к камере и микрофону для всех приложений, iOS не мог этого так оставить и допустил функционал по отключению WiFi. Правда, скорее всего случайно и с использованием бага в форматной строке 😄
Всё очень просто, если на iPhone подключиться к сети с SSID “%p%s%s%s%s%n”, то устройство полностью отключит модуль WiFi :))
К сожалению, не увидел, на каких именно устройствах и версиях ОС это работает, но чем не повод проверить и создать такую открытую сеть? 😉 например на какой-нибудь конференции….
#iOS #WiFi #Bug
В Android 12 сделали программное отключение доступа к камере и микрофону для всех приложений, iOS не мог этого так оставить и допустил функционал по отключению WiFi. Правда, скорее всего случайно и с использованием бага в форматной строке 😄
Всё очень просто, если на iPhone подключиться к сети с SSID “%p%s%s%s%s%n”, то устройство полностью отключит модуль WiFi :))
К сожалению, не увидел, на каких именно устройствах и версиях ОС это работает, но чем не повод проверить и создать такую открытую сеть? 😉 например на какой-нибудь конференции….
#iOS #WiFi #Bug
CodeColorist
Quick Analysis for the SSID Format String Bug
Days ago a twitter post revealed a bug in iOS Wi-Fi service:
Занятные CTF под Android
Нашёл тут серию статей про прохождению CTF при помощи Frida. Пока что есть первая и вторая части, но вроде автор собирается писать ещё.
В целом, writeup неплохие, с подробными комментами и описанием того, что и почему нужно делать для прохождения заданий.
Но больше всего мне понравились задания и сам CTF под названием hpandro. Распространяются через Google Play, есть большое количество самых различных задач в виде отдельных приложений, а на сайте можно зарегистрироваться и отправлять флаги и даже есть scoreboard!
Но больше всего мне запомнился комментарий под одним из приложений, наверное человек не смог его решить 😂
#android #ctf
Нашёл тут серию статей про прохождению CTF при помощи Frida. Пока что есть первая и вторая части, но вроде автор собирается писать ещё.
В целом, writeup неплохие, с подробными комментами и описанием того, что и почему нужно делать для прохождения заданий.
Но больше всего мне понравились задания и сам CTF под названием hpandro. Распространяются через Google Play, есть большое количество самых различных задач в виде отдельных приложений, а на сайте можно зарегистрироваться и отправлять флаги и даже есть scoreboard!
Но больше всего мне запомнился комментарий под одним из приложений, наверное человек не смог его решить 😂
#android #ctf
Вебинар по безопасной разработке
30-го июня в 21:00 по московскому времени (или в 14:00 по eastern time) пройдет двухчасовой вебинар по лучшим практикам в написании безопасного кода для мобильных приложений от компании NowSecure.
Судя по описанию должно быть достаточно интересно и познавательно, обещают осветить вопросы по следующим темам:
- Данные, хранящиеся в небезопасном месте
- Некорректная реализация сетевого взаимодействия
- Небезопасная аутентификация и авторизация
- Небезопасные практики кодинга (интересно, что они имеют ввиду)
- Защита от реверса
Я постараюсь быть, хоть время и позднее для нашего часового пояса. Всегда полезно ходить на подобные мероприятия, что-то новое определенно узнаешь и где-то тебя натолкнут на правильные мысли.
Ну или будем надеяться, что будет запись 😃
#webinar #securecoding
30-го июня в 21:00 по московскому времени (или в 14:00 по eastern time) пройдет двухчасовой вебинар по лучшим практикам в написании безопасного кода для мобильных приложений от компании NowSecure.
Судя по описанию должно быть достаточно интересно и познавательно, обещают осветить вопросы по следующим темам:
- Данные, хранящиеся в небезопасном месте
- Некорректная реализация сетевого взаимодействия
- Небезопасная аутентификация и авторизация
- Небезопасные практики кодинга (интересно, что они имеют ввиду)
- Защита от реверса
Я постараюсь быть, хоть время и позднее для нашего часового пояса. Всегда полезно ходить на подобные мероприятия, что-то новое определенно узнаешь и где-то тебя натолкнут на правильные мысли.
Ну или будем надеяться, что будет запись 😃
#webinar #securecoding
Nowsecure
Free mobile app developer training on secure coding
Tools, tips and tactics from leading DevSecOps experts who are working to align software, security and operations resources so organizations can innovate faster with less risk.
Обновление курсов и книг по безопасности и анализу мобильных приложений
Очередное обновление библиотеки!
На этот раз были добавлены книги по Android / iOS и два больших курса (спасибо @wusero)!
Книги:
- Android глазами хакера
- Android Security Cookbook
- iOS Application Security
- The Mac Handbook
- Beginner Guide to Exploitation on ARM 1
- Beginner Guide to Exploitation on ARM 2
Курсы:
- Pentester Academy - Pentesting iOS Applications
- GeekBrains - Безопасность мобильных приложений
Приятного чтения и просмотра!
#Books #Security #Android #iOS #Cources
Очередное обновление библиотеки!
На этот раз были добавлены книги по Android / iOS и два больших курса (спасибо @wusero)!
Книги:
- Android глазами хакера
- Android Security Cookbook
- iOS Application Security
- The Mac Handbook
- Beginner Guide to Exploitation on ARM 1
- Beginner Guide to Exploitation on ARM 2
Курсы:
- Pentester Academy - Pentesting iOS Applications
- GeekBrains - Безопасность мобильных приложений
Приятного чтения и просмотра!
#Books #Security #Android #iOS #Cources
Telegram
Mobile AppSec World
Большое обновление курсов по анализу мобильных приложений
Всем привет!
На драйве из предыдущего поста произошло глобальное обновление курсов, лекций и практических материалов по анализу защищенности и пентесту мобильных приложений.
За весь этот замечательныый…
Всем привет!
На драйве из предыдущего поста произошло глобальное обновление курсов, лекций и практических материалов по анализу защищенности и пентесту мобильных приложений.
За весь этот замечательныый…
Развитие механизмов безопасности Android
Я наконец-то доделал статью по развитию безопасности в Android от версии к версии, что добавлялось, что улучшалось, а может и ухудшалось в каждой новой версии этой замечательной операционной системы.
Статья получилось достаточно интересного, на мой взгляд, формата. Изначально она планировалась, как техническая с большим количеством различных деталей, но в итоге, по мере написания, я понял, что стоит уделить внимание и более общим вещам.
В этой статье можно найти информацию и про технические вещи и про изменения для пользователей.
Для себя отметил несколько новых и интересных деталей, о которых не подозревал до написания 😁
Необычный формат, посмотрим, насколько это зайдет, но надеюсь, что понравится!
#Habr #Android #Security
Я наконец-то доделал статью по развитию безопасности в Android от версии к версии, что добавлялось, что улучшалось, а может и ухудшалось в каждой новой версии этой замечательной операционной системы.
Статья получилось достаточно интересного, на мой взгляд, формата. Изначально она планировалась, как техническая с большим количеством различных деталей, но в итоге, по мере написания, я понял, что стоит уделить внимание и более общим вещам.
В этой статье можно найти информацию и про технические вещи и про изменения для пользователей.
Для себя отметил несколько новых и интересных деталей, о которых не подозревал до написания 😁
Необычный формат, посмотрим, насколько это зайдет, но надеюсь, что понравится!
#Habr #Android #Security
Хабр
Развитие механизмов безопасности Android (от версии к версии)
Привет, Хабр!Я занимаюсь безопасностью мобильных приложений и с удовольствием слежу за развитием платформ Android и iOS, которые с каждым новым релизом становятс...
Подкаст про динамический анализ приложений
И еще одна отличная новость)
Поучаствовали с нашим ведущим разработчиком (@jd7drw) в подкасте про системы динамического анализа мобилок. Спасибо большое за приглашение каналу Android Guards и лично @OxFi5t, было очень здорово! 😎
В выпуске постарались рассказать много интересных вещей, но как это обычно бывает - много чего осталось за кадром и кучу вещей хочется после выпуска сказать немного по другому. Ну и вечный синдром самозванца - кажется, что это всё очевидно и никому не интересно 😁
Надеюсь, что вам понравится и обязательно оставляйте комментарии и вопросы) Очень интересно, что вы думаете обо всех этих очередных "сканилках" 😉
#Podcast #Android #Stingray
И еще одна отличная новость)
Поучаствовали с нашим ведущим разработчиком (@jd7drw) в подкасте про системы динамического анализа мобилок. Спасибо большое за приглашение каналу Android Guards и лично @OxFi5t, было очень здорово! 😎
В выпуске постарались рассказать много интересных вещей, но как это обычно бывает - много чего осталось за кадром и кучу вещей хочется после выпуска сказать немного по другому. Ну и вечный синдром самозванца - кажется, что это всё очевидно и никому не интересно 😁
Надеюсь, что вам понравится и обязательно оставляйте комментарии и вопросы) Очень интересно, что вы думаете обо всех этих очередных "сканилках" 😉
#Podcast #Android #Stingray
Telegram
Android Guards
Статьи, исследования, полезные ссылки и многое другое из мира безопасности Android платформы и приложений. Только проверенный контент!
Еще больше интересного можно найти на YouTube канале: https://www.youtube.com/c/AndroidGuards
Еще больше интересного можно найти на YouTube канале: https://www.youtube.com/c/AndroidGuards
Forwarded from Android Guards
Бывает смотришь на девушку и думаешь — DAST или не DAST... Впрочем о чем это я... А, подкаст новый записали. На этот раз обсуждаем все прелести DAST анализа с ребятами, которые неплохо в этом разбираются. В выпуске присутствует жесткая критика MobSF, поэтому слабонервных прошу поаккуратнее с прослушиванием 😉
Послушать выпуск можно в Google/Apple подкастах и на Youtube:
🎥 YouTube: https://youtu.be/imrlMLVOTRY
🎙 Google Podcasts: https://bit.ly/360XYIi
🍏 Apple Podcasts: https://apple.co/3vWFYte
Послушать выпуск можно в Google/Apple подкастах и на Youtube:
🎥 YouTube: https://youtu.be/imrlMLVOTRY
🎙 Google Podcasts: https://bit.ly/360XYIi
🍏 Apple Podcasts: https://apple.co/3vWFYte
YouTube
🎙 Community Podcast #3: Травим баги DAST-ом
Продолжая тему анализаторов приложений говорим про Dynamic Analysis Security Testing (DAST) или попросту "динамику". А чтобы не говорить ерунды, я решил позвать ребят из компании Stingray, которые как раз пилят такой анализатор. Зачем они вообще за это взялись…
Конференция Mobius
Я думаю, что очень многие, кто занимается разработкой или безопасностью мобильных приложений знает о конференции Mobius. Мне к сожалению, не доводилось принимать в ней участие, но мы постараемся это исправить :)
Ребята попросили сделать пост и уверен, среди нас много тех, кому есть что рассказать 😁
Так что, если вы хотите выступить с какой-то интересной темой, особенно по безопасности, то пишите в контакты из сообщения ниже)
Ну и ждем интересных докладов по безопасности :)
#Mobius #conference
Я думаю, что очень многие, кто занимается разработкой или безопасностью мобильных приложений знает о конференции Mobius. Мне к сожалению, не доводилось принимать в ней участие, но мы постараемся это исправить :)
Ребята попросили сделать пост и уверен, среди нас много тех, кому есть что рассказать 😁
Так что, если вы хотите выступить с какой-то интересной темой, особенно по безопасности, то пишите в контакты из сообщения ниже)
Ну и ждем интересных докладов по безопасности :)
#Mobius #conference
Forwarded from Anna Ivanishcheva (Kurilo)
Конференция по мобильной разработке #Mobius ищет спикеров 🎙
Если вы давно хотите рассказать о чем-то из мира мобильной разработки и готовы поделиться знаниями с другими, то подавайте заявку!
В осеннем сезоне Mobius пройдет с 22 по 25 ноября, онлайн (гибридный формат решили отложить из-за непредсказуемости ввода ограничений на офлайн мероприятия).
Темы, которые ждут:
✔️ Платформы под капотом;
✔️ Software Craftsmanship;
✔️ Архитектура;
✔️ Качество продукта;
✔️ Тренды в мобильной разработке;
✔️ Инфраструктура.
Но не ограничивайтесь этим списком — вы можете подать заявку с любой темой из области мобильной разработки.
Если все-таки сомневаетесь, то программный комитет всегда готов обсудить актуальность темы и помочь выбрать правильный вектор доклада.
Отправить заявку можно на сайте, а задать вопросы — по почте program@mobiusconf.com
И уже сейчас можно купить билет по самой низкой цене, ведь с каждым месяцем она будет увеличиваться.
Если вы давно хотите рассказать о чем-то из мира мобильной разработки и готовы поделиться знаниями с другими, то подавайте заявку!
В осеннем сезоне Mobius пройдет с 22 по 25 ноября, онлайн (гибридный формат решили отложить из-за непредсказуемости ввода ограничений на офлайн мероприятия).
Темы, которые ждут:
✔️ Платформы под капотом;
✔️ Software Craftsmanship;
✔️ Архитектура;
✔️ Качество продукта;
✔️ Тренды в мобильной разработке;
✔️ Инфраструктура.
Но не ограничивайтесь этим списком — вы можете подать заявку с любой темой из области мобильной разработки.
Если все-таки сомневаетесь, то программный комитет всегда готов обсудить актуальность темы и помочь выбрать правильный вектор доклада.
Отправить заявку можно на сайте, а задать вопросы — по почте program@mobiusconf.com
И уже сейчас можно купить билет по самой низкой цене, ведь с каждым месяцем она будет увеличиваться.
Security проверки для релизных сборок
@dtereshin написал очень удобную и крутую штуку для проверки релизных сборок перед выкладкой в магазины приложений. И назвал её CheckKarlMarx (все совпадения случайны). Доступна как в виде исходного кода, так и докер-образа.
Что умеет сейчас и как работает:
- принимает на вход apk или ipa файл релизной сборки
- проверет некорректные настройки сети
- небезопасные (http), тестовые или внутренние URL (список задается при запуске)
- хранение различных ключей
- экспортируемые компоненты для Android-приложений
- небезопасные настройки Webview для Android приложений
На выходе получаем отчет с находками, его можно положить в ваш CI/CD инструмент рядом с другими линтерами и статус сканирования (exit code), на основе которого можно строить дальнейшие действия).
Просто, удобно и позволяет быстро определить, что в релиз приехало что-то не то)
Кстати, в том числе про этот инструмент будет доклад от автора на ZeroNights. Я точно приду послушать, все предыдущие выступления были отличными, думаю это тоже порадует.
Ну и отдельный лайк от меня за ник на GitHub 😂
#tools #android #ios
@dtereshin написал очень удобную и крутую штуку для проверки релизных сборок перед выкладкой в магазины приложений. И назвал её CheckKarlMarx (все совпадения случайны). Доступна как в виде исходного кода, так и докер-образа.
Что умеет сейчас и как работает:
- принимает на вход apk или ipa файл релизной сборки
- проверет некорректные настройки сети
- небезопасные (http), тестовые или внутренние URL (список задается при запуске)
- хранение различных ключей
- экспортируемые компоненты для Android-приложений
- небезопасные настройки Webview для Android приложений
На выходе получаем отчет с находками, его можно положить в ваш CI/CD инструмент рядом с другими линтерами и статус сканирования (exit code), на основе которого можно строить дальнейшие действия).
Просто, удобно и позволяет быстро определить, что в релиз приехало что-то не то)
Кстати, в том числе про этот инструмент будет доклад от автора на ZeroNights. Я точно приду послушать, все предыдущие выступления были отличными, думаю это тоже порадует.
Ну и отдельный лайк от меня за ник на GitHub 😂
#tools #android #ios