Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом

Очень часто и много вопросов в разных чатах и на тренингах вызывает тема защиты канала связи, а именно SSL Pinning. Попробовать рассказать, что это такое, а также, к чему может привести отстутствие этого механизма я попробовал в статье "Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом".

Но на самом деле, прежде чем говорить о пиннинге, нужно понимать, что вообще происходит при взаимодействии клиента и сервера, как проходит установка безопасного соединения и еще несколько базовых вещей.
Я постарался описать все эти вещи максимально просто, так, как сам их понимаю, и надеюсь, что этот материал будет полезен тем, кто хочет сделать свой продукт более безопасным и разобраться, как работает этот механизм.

Я старался, так что, надеюсь, вам понравится!

Всех с понедельником и хорошей недели!

#Habr #SSL #Pinning

Как работают обновления в Android

Очень подробная и крутая статья про то, как работают обновления внутри Android.

Много сказано про механизм TREBLE (способ разделения Android на две независимые части, призванные решить проблемы фрагментации Android и доставки патчей на устройства различных производителей), про тестирование обновлений, в принципе про процесс , про производителей и много-много других очень интересных вещей.

Тем, кто интересуется, как устроена система внутри и что происходит «за сценой» обязательно к прочтению. Да и всем остальным, тоже, думаю будет полезно почитать. Кода в статье нет, это чисто описание различных процессов и технологий (да и автор уверяет, что многие вещи под NDA, так что публиковать это нельзя).

Приятного чтения!

#Android #Trebble #updates #article

Анализ приложения под DexGuard

Очень мне понравилась статья про анализ приложения для MDM (Mobile Device Management), которое оказалось защищено при помощи DexGuard.

В статье автор очень подробно рассказывает про все этапы анализа, особенности DexGuard, различие имплементации AES классического и в исполнении DexGuard и многое другое, что очень интересно почитать и поизучать.

Ну и вывод, который можно сделать из всего этого, даже если ты используешь DexGuard, и с его помощью шифруешь строки, то не стоит забывать, что оставлять креды в конфигах приложения не стоит в любом случае, особенно администраторские 😉

Так что шифруйте и храните свои данные правильно!

#Android #dexguard

Разбор очередного калькулятора для шифрования фото.

В прошлый раз, под маской калькулятора для хранения фотографий скрывался DES с вшитым в код паролем «12345678» и более чем 10 млн установок.

Посмотрим, что на этот раз скрывается под капотом.

Статья, подробно разбирающая используемые технологии и механизмы шифрования, используемые в приложении «Secret Calculator Photo Vault». А внутри использование Facebook Conceal API в связке с получением ключа из пина пользователя на основе PBKDF2.

Достаточно прикольная статья, описывающая процесс понимания того, как именно зашифрованы данные и что нужно сделать, чтобы их расшифровать. Ну и вишенкой на торте, репозиторий автора со скриптами для брутфорса пина и расшифровкой медиа файлов,

И всё таки меня не покидает вопрос, почему именно калькуляторы? Почему в большинстве случаев именно они призваны скрывать фото? :)

#calculator #photovault #android #encryption

Сборник WriteUp по уязвимостям приложений Facebook

Нашел занятный репозиторий, который собирает в себе все описания найденных багов в приложениях Facebook, включая WhatsUp, Instagram и прочие сервисы компании.

Сразу в едином месте можно посмотреть всё, что было найдено в разных версиях и сколько за это получили исследователи :) ну и там не только приложения, но и любые баги в Web в том числе.

Так что, если вы нашли багу в приложениях этой компании и написали WriteUp, можно смело создавать PR 😉

#writeup #facebook #bugbounty

Вторая серия подборки

Всем хорошего вечера пятницы, выпустил, как обещал вторую версию дайджеста с подборкой материалов за неделю.

Эксперимент оказался вполне успешным, по крайнере мере негатива не было =)

И у меня возник вопрос, а стоит ли это публиковать на канале и добавилось в репозитории, раз уж это все равно по факту сборник того, что уже было на неделе, просто на другой площадке?

Если не сложно, отметьте, нужно такое или нет =)

#quiz #habr #news #awesome

URI Spoofing в клиенте мессенджера Signal для iOS

Достаточно необычная уязвимость в мессенджере Signal опубликовали исследователи.

В клиенте нашли инъекцию RTLO (RightToLeftOverride), которые позволяли отправлять пользователям ссылки, которые выглядели как нормальные, но вели на совершенно другой домен (тот, который читался справа налево). К примеру, можно отправить ссылку:
example.com/#files/ten.jpeg

Вставить перед ней специальный символ «обратного чтения» и клиент загрузит на самом деле адрес:
gepj.net/selif#/moc.elpmaxe

Гениально)) Регистрируем нужные домены и вперёд!

Интересная техника, раньше о ней не слышал, надо будет как-нибудь проверить при анализе приложений, как они обрабатывают подобные символы

#ios #signal #vulnerability

CVE-2021-1782 в XNU Vouchers subsystem

По следам заметок и размышлений от Google Project Zero на тему уязвимости в iOS с парсингом ASN.1 формата, подоспела ещё одна отличная статья про уязвимость CVE-2021-1782.

В ней много полезной информации о том, как устроена система Vouchers в ядре. Что это такое, зачем нужно, как работает, в чем был смысл уязвимости и представлен PoC, как её можно проэксплуатировать.

На самом деле статья хорошая, но очень сложная для восприятия, если ты не погружен в специфику iOS и его внутренностей. Но если пропустить блоки с кодом, и прочитать теорию и заключение более вдумчиво, можно узнать много нового :)

#iOS #kernel #cve

И ещё один способ поставить сертификат в системные на эмуляторе

Статья, носящая гордое название “Android Pentesting Setup On Mac M1” подразумевает под собой что-то интересное, учитывающее специфику нового чипа и вот это всё стильное, модное, молодежное.

Но по факту это просто описание, как поставить Android Studio, создать и запустить эмулятор 😢

Но есть и небольшая польза, в статье описан, наверное, самый простой способ добавления сертификата от берпа в системные, это запуск эмулятора с доступным на запись системным разделом и простое копирование туда файла сертификата.

Сертификаты системные лежат здесь /system/etc/security/cacerts. И все что нужно, это скачать и сконвертить сертификат от берпа и положить его в эту директорию. Ничего сложного, но статья описывает безумно подробно весь этот процесс.

Возможно будет полезно, если не хочется ставить Magisk.

#android #emulator #burp #proxy

И снова про App Transport Security: что это и зачем

Всем привет!

Очень часто при анализе iOS-приложений мы встречаем выключенный App Transport Security для всего приложения. И на вопросы, почему его выключили, обычно отвечают, что его не хочется настраивать и слишком много доменов, для которых нужно делать исключение.

Сначала я был с ними согласен, потому что действительно, штука не однозначная. Но разобравшись, я подумал, что благодаря этой настройке можно не только контролировать сетевое взаимодействие приложения но и частично тестировать корректную настройку backend, потому что с неправильной конфигурацией на стороне сервера клиент к нему просто не подключится.

А если к этому добавить возможность прикрепления сертификатов по аналогии с Андроидовским Network Security Config, и посмотреть более внимательно, как его настраивать, то можно получить очень даже удобный инструмент для настройки сетевого взаимодействия.

Исходя из всех этих соображений я написал статью, посвященную теме App Transport Security, как его настраивать, что означают ключи, как сделать прикрепление сертификатов, как проверить настройку backend и многое другое!

Надеюсь, что вам пригодится это в работе!
Ну или тем, кто когда-то начнет работать с iOS и будет искать материалы по этой теме 😄

Всем хорошей недели!

#iOS #AppTransportSecurity #network #habr

Получение root на эмуляторе с Google Play

На эмуляторах с установленным Google Play не так-то просто было получить полноценный root-доступ.

Я писал про репозиторий, который позволяет получить постоянный root на эмуляторе, но во первых он только для эмуляторов без Google Play, там достаточно сложная последовательность скриптов и репозиторий уже в архиве😀

Но вот инструмент, который обещает нам получение рута на эмуляторе вплоть до 12-го Android. Но это не совсем привычный нам root доступ вообще, а только для конкретного процесса (включая демона adb). Что интересно, права выдаются «на лету», то есть никаких специальных действий с самим эмулятором делать не нужно. Чтобы понять, как это работает, можно посмотреть описание репозитория, идея из которого была реализована для более старших версий Android.

Весьма полезная вещь может быть для анализа приложений.

#android #emulator #rooting #gdb

Скидка на конференцию Mobius

Как вы знаете, я не публикую рекламу или прочую ерунду, если она не приносит никакой потенциальной пользы или не в тематике канала.

Вот ребята из Мобиус таки решили провести конференцию и предлагают скидку подписчикам канала по коду maw2022JRGpc

Так что, если планировали пойти, можно немного сэкономить 😄

Mobius — конференция по мобильной разработке от JUG Ru Group, в формате online+offline 🔥

Online-часть: 25–27 мая.
Offline-день: 22 июня.

Вас ждут выступления, посвященные трендам и новым технологиям, обмен опытом и общение с коллегами в чатах. А на offline-дне можно вживую пообщаться со спикерами, лично познакомиться с единомышленниками и потусоваться у партнерских стендов.

Некоторые темы выступлений:
– Как разработчики вернули к жизни приложение для сотрудников розничной сети МТС.
– Что такое подход Dependency Injection, какие DI-фреймворки существуют и чем они могут быть полезны.
– Как атрибут inlinable влияет на производительность и компиляцию кода на Swift.
– Какие проблемы могут возникнуть при использовании Koin в растущем Android-приложении и как их решать.

Для подписчиков канала организаторы сделали промокод, который поможет купить персональный билет со скидкой: maw2022JRGpc

Билеты и подробности на сайте.

Удаленное выполнение кода в Adobe Acrobat Reader для Android

Исследователь обнаружил возможность выполнения произвольного кода в Adobe Reader через ставшей, не побоюсь этого слова, классической связкой между уязвимостями Path Traversal в getLastPathSegment() и подгрузкой через эту уязвимость нативной библиотеки, где в методе JNI_OnLoad вызывается зловредный код.

Конечно, уже есть оперативный фикс от adobe и за эту багу выплатили 10К, что весьма и весьма достойно!

Статья хорошо описывает весь путь, без лишней воды. И даже фикс показал :))

Хорошего чтения и может, это поможет вам при анализе 😉
#android #adobe #rce

Очень хитрая и интересная малварь

Обычно я не люблю статьи про анализ разных вирусов и прочей малвари под Android, так как в них в 90% случаев нет ничего особенного и интересного. Такое ощущение, что их просто делают под копирку и собирают из нескольких доступных исходников с небольшой модификацией.

Однако в этой статье рассказывается про очень интересную и достаточно хитрую малварь, которая не реализует классический DexClassLoader для подгрузки и запуска полезной нагрузки, а использует механизм MultiDexApplication с небольшими изменениями (изменены имена файлов, локация для сохранения, а также реализована предварительная расшифровка dex-файла). Хорошо, что ключ шифрования по традиции сохраняется в исходном коде 🙄

В общем, достаточно интересный пример, можно взять на вооружение для ctf, например.

#android #malware #multidex #research

Frida хуки из smali кода

Вслед за интеграциями с Frida декомпиляторов jadx и jeb, теперь можно получить хуки на нужные классы из smali файлов!

Автор репозитория, правда не расщедрился на описание и ограничился командой на запуск (внимание, требуется минимум Java 11):

java Smali2Frida "/directory/to/smalifolder" >script.js

Понять что там происходит, можно только запустив эту команду 😀

А по факту, после выполнения команды мы получаем js-файлик с хуками на все классы и методы внутри выбранной директории.

Как один из примеров получившегося кода:

Java.perform(function() {
    var klass7 = Java.use("com.swdf.buggen.MainActivity");

    klass7["$init"].overload().implementation = function()
    {
        var ret = this["$init"]();
        console.log("<init>", "called : ", ret);
        return ret;
    }
    ...

Может быть достаточно удобно, если нужно повесить много хуков и посмотреть, что и в каком порядке вызывается

Но, конечно, так как это опенсорс, никто не гарантирует, что это будет работать в рантайме :)

#android #smali #frida

Новости мобильной безопасности. Эпизод 3.

Так как большинство проголосовало "за", а часть не знает про существование канала, то вот третий выпуск подборки на Хабр по новостям из мира мобильной (прости господи), безопасности!

Ну и напомню, что все эти ссылки переходят из канала на Хабр, а оттуда в репозитории Awesome iOS Security и Awesome Android Security, присоединяйтесь)

Всем хорошей пятницы и хорошо отдохнуть на выходных!

#habr #news #awesome

Отличный канал по iOS разработке

Я нечасто делюсь различными каналами, но в данном случае, не могу не поделиться, нашёл классный канал об iOS-разработке.

Автор пишет много и интересно про различные нюансы iOS разработки и особенности работы приложений. Иногда проскакивает материал и по нашей тематике. например про утечки памяти (тут и тут можно посмотреть).

Вообще для меня разработка на iOS всегда была сильно сложнее Android, но это и логично, в одном случае более менее понятная Java, возможность собирать приложения в любой операционке, открытый API. А в другом случае, это только Mac и иногда о внутренностях приходится либо догадываться, либо искать доклады, где люди реверсят различные механизмы iOS.

Так что в части поиска различных решений и подсказок по iOS разработке, думаю, что не раз еще обращусь к автору канала)

И кстати, сегодня вышла отличная статья на Хабр на тему, почему Apple может не пропустить ваше приложение в свой магазин. Спойлер - потому что потому :D

Вот с Google таких проблем нет, моя малварь до сих пор там живет и собирает лайки от довольных пользователей "Калькулятора для бухгалтера" 😂


#iOS #development #teelegram

Ядовитая экосистема

Всем привет!
Встречайте пятничный предне-майский research от @OxFi5t!

Классная статья и очень интересная бага, я даже не знал, что так можно было делать)