Mobile AppSec World
5.29K subscribers
142 photos
8 videos
19 files
675 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
​​RCE в Instagram на Android и iOS

Очень подробная, длинная и качественная статья про найденную уязвимость в приложении Instagram для обеих платформ.

Дьявол, как обычно, кроется в деталях. Исследователи решили искать уязвимости не в самом приложении, а в используемых open-source библиотеках!

Как это обычно бывает, наиболее интересные баги всегда связаны с обработкой изображений, уже ни раз находили подобные проблемы и в приложениях и в самих операционных системах. В данном случае жертвой стала библиотека Mozjpeg. При помощи прекрасного инструмента для фаззинга American Fuzzy Lop (AFL) нашли ряд проблем, одну из которых почти докрутили до полноценного эксплойта. Но чуть не хватило 😁

В статье подробно расписан процесс анализа и объясняется, как именно исследователи строили и проверяли различные предположения. С выкладками кода, бинарщиной, манипуляциями с памятью, всё как надо)

Почитать на ночь,что надо 😁

#Android #iOS #Instagram #Vulnerability
​​Universal XSS в WebView

Описание одной из найденных уязвимостей, позволяющей выполнить произвольный JS код в рамках WebView и в некоторых особенно запущенных случаях получить доступ к привилегированным API-интерфейсам, предоставляемых приложением.

Сработало интересное поведение WebView, которое при настройке по умолчанию, запрещает иметь несколько окон, WebSettings.setSupportMultipleWindows(). Такая настройка позволяет из iframe обходить политику Same-Origin и выполнять произвольный JavaScript сразу на вашей странице.

Эта уязвимость затрагивает приложения, которые используют WebView с настройками по умолчанию и которые работают в системах с версией Android WebView до 83.0.4103.106.

Как защититься, если не уверены, что работаете на пропатченной версии:
1. Включите поддержку нескольких окон (WebSettings.setSupportMultipleWindows() установить в true). При этом поведение и внешний вид может остаться аналогичным и незаметным для пользователя.

2. Загружаете в WebView только доверенный контент со своих серверов.

Интересная находка, которая затрагивает сразу и приложения, использующие WebView и сами браузеры 😃

Пора автоматизировать и на h1?) 🤔

#Android #Vulnerability #XSS