Так что, несмотря на окончание официального CFP, мы продолжаем поиск интересных докладов на профильную секцию AppSec.Zone!

Уверен, что среди нас у многих найдется, что рассказать и чем поделиться!

Встретимся на OffZone!

#offzone

CTF под Android в Google Play со скорбордом и печеньками

Очень странно, что я не видел этих ребят раньше, мне казалось, что уже про них рассказывал, но тем не менее, весьма интересный и развивающийся проект - hpAndro!

Представляет из себя CTF для Android, написанный на котлин. На сайте доступен сеорборд и есть все шансы туда попасть 😎

Ну и в целом, всегда приятно немного поиграть, если есть время и силы :) в процессе можно попробовать новые инструменты и, если есть уже прохождение, попробовать найти другой способ получения флага!

Всем удачной игры и поиска багов!

P.S. У ребят ещё есть отличный канал на YouTube, где много разных видео, начиная с прохождения их CTF, заканчивая обзором разных инструментов, оч классно!

#android #ctf #tools

Детальный разбор эволюции троянского приложения Flubot

Очень здоровская статья про развитие и эволюцию банковского зловреда под Андроид.

Основной особенностью на мой взгляд, является то, что это современный (первая версия датирована 2020 годом), написанный самостоятельно (а не скопированный с других зловредов) проект, который эволюционирует и развивается получше и побыстрее многих коммерческих приложений 😁

Очень интересно почитать про те приемы, которые они использовали, чтобы оставаться менее заметными и их было сложнее определить.

В общем, рекомендую почитать, может даже мы что-то у них позаимствуем :)

#malware #android #analisys

Завтра демо!

Друзья, всем привет!
Не забываем, что завтра (или уже сегодня), в среду 20-го июля в 14:00 будет небольшое демо того, чем я занимаюсь целыми днями вместе с офигенной командой :) покажем наш тул по анализу приложений, что умеем и к чему стремимся)

Утром пришлю ссылку для подключения!

Присоединяйтесь!

Ссылка для подключения на демо

Всем привет! Через 30 минут стартуем.

Я наконец-то победил этот замечательный Teams, поэтому проводить будем в нем. Вход свободный, без регистрации и смс :)

Подключиться можно вот тут.

Жду всех, кому интересно в 14-00!

Поехали!

Ну что же, начинаем потихонечку, ждем еще минут 5 и стартуем)
Подключиться можно вот тут.

#demo #stingray

Небольшой экскурс в OWASP MASVS

Очередное видео с конференции про то, зачем нужен MASVS и как его применять. Ну и конечно, много времени снова уделено процессу рефакторинга этих документов.

Но в случае с прошлым постом на эту тему были доступны только слайды, а здесь полноценный доклад, так что если кому-то проще слушать и смотреть, а не читать, то это видео в самый раз.

#owasp #masvs

Спасибо всем!

Друзья, спасибо всем, кто проявил интерес и нашел время для того, чтобы подключиться и послушать про нашу работу!

Надеюсь было интересно, я постарался быть максимально честным :)

Ну а тем, кто не смог подключиться, но хотел бы всё-таки посмотреть, в ближайшее время мы обработаем запись и выложим её.

Ещё раз всем спасибо!
После демо у меня появилась небольшая идея, которую я попробую реализовать в следующем месяце :)

Хорошей и продуктивной всем недели!

Текущий статус джейла для iOS 15

Я просто оставлю это здесь :)
Надеюсь, что через несколько месяцев мы таки увидим полноценный джейлбрейк для 15-й версии iOS. Долго мы его ждали, это вроде одна из самых стойких версий.

Вспомнилась на эту тему наша картинка :)

Интересный формат собеседования

Ко мне тут обратились из VK, попросили опубликовать их пост про достаточно интересный, на мой взгляд формат собеседований. По крайней мере я такого раньше не встречал.

Если кто вдруг решит сходить, напишите потом, как оно вам, понравилось и стоит ли того?)

Как получить оффер в одну из Команд ВКонтакте всего за одни выходные

Команды ленты и рекомендаций, VK Клипов, сообществ и VK Видео приглашают iOS-разработчиков на Weekend offer и организуют встречу с тимлидами. 30 и 31 июля они расскажут про структуру компании, процессы и задачи, которые предстоит решать, а ещё ответят на все вопросы и проведут интервью с кандидатами. А в воскресенье вечером определят лучших кандидатов и отправят им офферы.

Регистрация заканчивается уже завтра!

Подать заявку можно вот тут

🔎 Ищем спикеров на Hardware.Zone и AppSec.Zone

Call for papers двух зон открыт до 1 августа.

На Hardware.Zone мы будем рады любителям железа. Здесь вы сможете провести мастер-класс или представить ваше исследование в области безопасности устройств. 

Присылайте заявки в свободной форме на hardware@offzone.moscow. 

На AppSec.Zone мы ищем спикеров с докладами по безопасности приложений. Приходите, чтобы рассказать о построении SDLC, описать новые техники эксплуатации, поделиться интересными уязвимостями из опыта ресерчей и bug bounty. 

Заявку можно подать через сайт.

И наконец-то итоги конкурса #offzone2

Как-то я снова немного подзатянул с финализацией розыгрыша, но тем не менее вот оно!

По итогу конкурса я долго думал, так как мне очень понравилось несколько постов, но все-таки я решил выбрать @avkhamitov в качестве победителя!

Поздравляю, ты получаешь проходку на OFFZONE!

Всем спасибо большое за участие и интерес!

Ну и напомню, все, кто участвовал в розыгрыше, присылал свои истории и пытался победить, но не победил, если вы будете на OFFZONE, приходитте к нашему стенду и я выдам вам полный набор мерча, который у нас будет)

Спасибо всем и до встречи на OFFZONE 😎

А вот и шикарная подборка статей и материалов от победителя!

Не так давно составлял подборку статей по анализу и безопасности кросс-платформенных приложений. Ресурсов очень мало, в особенности, если оставить за рамками хайповый Flutter.

Анализ приложений
⁃ Статья про исследование React Native приложений ( + обзор JS движка Hermes и утилиты для его анализа)
⁃ Статья про исследование и патчинг Xamarin приложений
⁃ Подборка полезных ресурсов для реверса Xamarin приложений

Безопасность приложений
⁃ Подборка советов по повышению безопасности React Native приложений
⁃ Подборка советов по повышению безопасности Ionic/Cordova приложений
⁃ Подборка советов по повышению безопасности Flutter приложений

Когда готовился к OSCP, случайно наткнулся на багу в Xamarin, связанную с подменой DLL. Тогда еще удивился, что популярный вектор повышения привилегий на Windows машинах может встретиться и на мобилках.

#offzone2

Как-то так получилось, что мы подружились с Мобиусом, поэтому вот ещё один пост про новый сезон :)

И надеюсь, что на него тоже разыграем билет :)

Mobius возвращается!

В ноябре JUG Ru Group организует конференцию для мобильных разработчиков — Mobius 2022 Autumn. В программе — технические доклады и дискуссии о языках, архитектуре, трендах, платформах, фреймворках и инструментах. На конференции соберутся iOS- и Android-разработчики, архитекторы мобильных приложений, специалисты по DevOps, тестировщики, тимлиды и руководители проектов.

Участники конференции любят обсуждать нетривиальные задачи и новые подходы в мобильной разработке. И если вам есть что сказать, тогда подавайте заявку на выступление. Программный комитет поможет с подготовкой к выступлению: назначит персонального куратора, проведет ревью материала и организует репетиции.

Выбирайте тему выступления на сайте или предлагайте свои идеи — их обязательно рассмотрят.

Всем спикерам JUG Ru Group дарит билет на все конференции сезона в онлайне и офлайне.

А билеты можно купить здесь.

Who got the key?

А вот очередная интересная заметка про ключики и их хранение. На этот раз в фокус экспертов попали ключи от Twitter API.
А сколько ещё таких ключей и сервисов может быть?) думаю, что бескрайнее множество.

Мы тоже у себя готовим интересную статистику по использованию различных ключей и их валидности в приложениях, думаю, через некоторое время подобьем аналитику и анонсируем результаты :)

Исследователи CloudSEK обнаружили 3207 мобильных приложений, которые раскрывают ключи Twitter API.

Нарушение потенциально позволяет злоумышленникам завладеть учетными записями пользователей Twitter для создания в армии ботов и продвижения фейковых новостей, реализации кампаний по распространению вредоносного ПО или других мошеннических действий.

В рамках интеграции мобильных приложений с Twitter разработчикам предоставляются специальные ключи аутентификации или токены, которые позволят взаимодействовать с API Twitter.

Ключи позволяют приложению действовать от имени пользователя, например, входить в систему через Twitter, постить твиты, отправлять DM, читать личные сообщения, управлять подписотой, а также настройками аккаунта.

CloudSEK объясняет, что утечка ключей API обычно является результатом ошибок разработчиков, которые встраивают свои ключи аутентификации в API Twitter, но забывают удалить их по окончании разработки, оставляя их, как правило, в resources/res/values/strings.xml, source/resources/res/values-es-rAR/strings.xml, source/resources/res/values-es-rCO/strings.xml или source/sources/com/app-name/BuildConfig.java.

Список всех уязвимых приложений не раскрывается, поскольку большинство их разработчиков спустя месяц еще не подтвердили получение уведомлений CloudSEK. Однако, по данным ресерчеров, среди них есть и имеющие от 50 000 до 5 000 000 загрузок.

Исключением к настоящему моменту стала лишь компания Ford Motors, которая отреагировала и развернула исправление в приложении Ford Events, из-за которого также происходила утечка ключей API Twitter.

Полагаем, что Макс одним из первых ознакомился с результаты исследования, если и вовсе не был соавтором.