Увлекательная статья про печать фейковых чеков

Легко написанная и быстро читающаяся статья про уязвимости в аппаратах, которые печатают чеки. Оказывается, на некоторых из них стоит Android!

Автор описывает, как устроены такие устройства, как он проводил исследование и какие результаты получил.

Для нас, наверное не так интересно, но мне почему-то прям понравилось :) думаю, почитать за чашкой кофе можно вполне)

Всем хороших праздников!

#fiscal #android #research

Библиотека для iOS-приложений для определение Jailbreak, дебагер и много чего еще

Весьма интересный проект "iOS Security Suite", написанный на Swift, который поможет вам определить
- Наличие Jailbreak
- Подключенный дебаггер
- Запуск в эмуляторе (наверное все-таки в симуляторе)
- Наличие различных инструментов для отладки приложений

Ну и выглядит достаточно интересно всякие вещи в стадии Experimental:
- Определение хуков в рантайме
- Определение целостности файла из Bundle
- Определение Breakpoint

Посмотрел на код библиотеки, все здорово и она действительно реализует все OWASP-требования и даже чуть больше. Но есть одна оговорка, название у всего этого хозяйства ну прям слишком вызывающее, например для определения Jailbreak - IOSSecuritySuite.amIJailbroken(). Будет слишком просто найти. Так что я бы посоветовал взять исходники к себе и немного пошаманить, чтобы названия были не такие говорящие о том, что этот модуль делает.

А вообще очень неплохой проект для того, что бы сходу получить пачку детектов. Только не поступайте как я в свое время и не включайте детект и предупреждение/блокировку пользователей сразу, а соберите побольше статистики и посмотрите, какие проверки когда срабатывают. Я свое время неплохо так получил за то, что мы реализовали проверку, которая фалзила и отключили половину пользователей 😂

Пока писал пост, вспомнил, что давно-давно уже писал про этот фреймворк. Но он развивается, всякие фишки появляются новые, так что советую посмотреть (ну и статью по обходу тоже)

#ios #security #defence #library

Доклад об эксплуатации типичных уязвимостей в iOS

Хороший доклад от «инженера в компании Google днём и исследователя ИБ ночью” про типовые уязвимости в iOS-приложениях. Доклад доступен как в видео формате, так и записан и переложен на бумагу сайт для тех, кому текст воспринимать легче.

Доклад достаточно хороший, описывает разные стороны, куда посмотреть в приложении, в частности:
- анализ содержимого пакета приложения
- анализ URL-схем (открытие произвольных URL в WebView)
- SSL Pinning и его отсутствие
- Анализ UIWebView

Есть на что посмотреть, есть что поизучать, особенно начинающим в этой непростой, но очень интересной сфере безопасности.

#ios #vulnerabilities #analysis

Советы по программе обучения

Написал статью, которая касается не только безопасности и разработки мобильных приложений, а вообще в целом всего процесса разработки. А именно, несколько советов по тому, как сделать программу обучения или, по другому, awareness в области безопасности внутри компании.

Понятное дело, что в целом, это достаточно «простой» процесс, но как обычно дьявол кроется в деталях. Я постарался описать несколько советов о том, с чем нам приходилось сталкиваться, какие вещи лучше всего работают и несколько советов тем, кто только начинает строить у себя в компании этот процесс.

Статья получилась познавательной и надеюсь те, кто занимается обучением и поддержанием интереса к безопасности у себя в компании, найдут что-то новое для себя.

#awareness #rb.ru

Расшифровка зашифрованных фотографий из приложения ‘AVG’ Photo Vault

Прочитал статью про расшифровку файлов из ещё одного приложения от антивируса AVG и подумал, что где-то я видел подобный стиль написания и объяснения шифрования. Пошарившись по сайту увидел, точно! Вот мой пост от того же человека, который фотки из калькулятора расшифровывал!

А если посмотреть на его блог, то это похоже к него такое хобби, искать приложения, которые что-то прячут и шифруют, а потом пытаться их взломать и получить фото без пароля)

Интересное хобби у человека :) может быть иногда очень полезно 😅

Так что, если интересуетесь темой шифрования, расшифровки и анализа алгоритмов, вам точно стоит заглянуть в его блог!

#crypto #vault #research

Знай свои секреты. Поиск и автоматическая проверка секретов сторонних сервисов

Что-то в последнее время много постов на канале про моё творчество, но, наверное, это и неплохо :)

И вот вам занятное на почитать между праздниками, статья о хранении секретов в мобильных приложениях.

А именно о том, что происходит с аутентификационными данными от сторонних сервисов, которые мы так любим использовать, о том, как их искать и автоматически проверять на валидность, какие инструменты есть для решения подобных задач и как это всё автоматизировать.

Надеюсь, что для кого-то эта статья окажется полезной и он сможет применить некоторые подходы в своей работе!

Спасибо и хороших вторых выходных 😄

#habr #secrets #stingray

Способы определения и способы обхода обнаружения отладки приложения.

Хорошая статья на корейском языке, которая описывает способы обнаружить, что приложение пытаются отладить или устройство подключено к компьютеру и активирован режим отладки по USB.

Вообще, наверное, самая полная статья по этому вопросу. Если вы, как и я не знаете корейский, то вот ссылка на переведенный вариант (спасибо гугл-транслейт)

Будет полезно как для разработки, чтобы включить эти проверки к себе в приложение, так и для тех, кто эти проверки собирается обойти 😄 не проходите мимо, забирайте и используйте, метод обнаружения достаточно интересный, особенно по сравнению с классическим android.os.Debug.isDebuggerConnected(),на который проверяют все популярные фреймворки по обнаружению отладчика.

#android #debug #frida

Опасная уязвимость в магазине приложений Samsung Galaxy App Store

Опасную уязвимость обнаружили в магазине приложений компании Samsung - Galaxy App Store. В статье подробно описаны технические детали, благодаря чему это стало возможным, почитать крайне полезно, так как весь флоу описывается с примерами уязвимого кода и PoC.

Если простыми словами, то суть ее заключается в возможности установить абсолютно любое приложение из магазина без участия пользователя. Принцип простой:

1. Злоумышленник готовит приложение с вирусом (майнер, вымогатель, удаленный доступ, реклама, что угодно) и загружает его в магазин “Galaxy App Store“ под видом легитимного. Таких случаев достаточно много, и они встречаются не только в магазине от Samsung, но и в Google Play, который, как мне кажется, более тщательно проверяет приложения перед их публикацией.

2. Пользователь устанавливает любое приложение, в котором заложена вредоносная функциональность (установлено приложение может быть откуда угодно, Google Play, App Gallery, Aurora Store и т.д.), или даже получает обновление уже установленного приложения.

Вредоносная функциональность понимает, что установлена на Samsung или что установлено приложение “Galaxy App Store“, и отправляет запрос на автоматическую загрузку и установку приложения.

В результате, пользовательское устройство становится заражено любым вирусом, который удалось загрузить в магазин приложений. А как мы знаем, такие приложения находятся в магазинах практически каждый месяц. Но если раньше пользователя надо было как-то заставить скачать и установить его, то теперь все происходит автоматически и без его ведома.

#samsung #cve #research #fsecure

Новости мобильной безопасности. Эпизод 4.

Продолжаем рубрику новостей из мира безопасности мобильных приложений (с 30 апреля по 6 мая). Несмотря на праздники, новостей и материалов было достаточно много, - давайте посмотрим, что интересного произошло.

Ну и напомню, что все эти ссылки переходят из канала на Хабр, а оттуда в репозитории Awesome iOS Security и Awesome Android Security, присоединяйтесь)

Всем хорошей пятницы и хорошо отдохнуть на выходных!

#habr #news #awesome

Перехват трафика мобильного приложения с использованием Wireguard, MitmProxy и Linux внутри Android

В последнее время, по какой-то причине, выходит много постов с темой перехвата трафика приложений и как настроить свое рабочее пространство. Были уже способы с Magisk, с установкой сертификата в системные руками или через специальный инструмент.

Но эта статья показалась мне самой классной!

Автор предлагает поставить на Android-устройство LineageOS, Magisk, frida-server, потом развернуть Linux на устройстве, накатить туда frida-tools и MitmProxy. После этого развлечения они начинают дружить друг с другом по SSH через Wireguard VPN (Ну и вроде как с компа туда можно подключиться).

То есть, получаем полноценную лабораторию на одном устройстве. Классно, правда?

На самом деле, выглядит немного пугающе и возникает вопрос, зачем так сложно? Но если кто-то захочет заиметь нечто подобное, то этот мануал вам поможет.

#frida #android #lineageos #mitm #network

Архивирование приложений в Android

В недавнем сообщении в своем блоге компания Google объявила, что начала работать над новой функцией, которая позволит "архивировать приложения". Архивирование приложения позволит пользователям освободить ~60% от занимаемого дискового пространства, "удалив части приложения, а не удаляя его полностью".

Поскольку приложение все еще технически установлено на устройстве, данные приложения сохраняются при его архивировании, что облегчает его резервное копирование и запуск.

Помимо самого механизма в статье рассказывается, что такое App Bundle, как его сделать, как он работает и вот это все.

Хороший материал, можно узнать много интересных вещей.

#android #apk #archieved #appbundle

Быстрый способ проверить наличие обфускации, тип шифрования apk и различных проверок

Очень полезный инструмент для быстрого анализа приложения на наличие обфускации или специального пакера, который зашифровывает dex файлы.

Помимо этого может крайне интересен при анализе приложений, так как умеет определять различные методы по защите приложения, такие как проверка на эмулятор, проверка на подключенный дебаггер. списком выводит те проверки, что ему удалось найти:

|-> anti_vm : Build.FINGERPRINT check, Build.MANUFACTURER check, Build.MODEL check, Build.PRODUCT check, Build.TAGS check, SIM operator check, device ID check, network operator name check, ro.kernel.qemu check
|-> compiler : r8
|-> obfuscator : unreadable field names, unreadable method names

То есть, теперь нет необходимости вручную смотреть, какие проверки есть внутри приложения и что нужно подменять, а достаточно запустить простую команду, передать ей на вход имя файла и получить результат.

Конечно, инструмент не покрывает всех проверок, но в качестве отправной точки может неплохо помочь.

Удачного использования!

#android #obfuscation #apk #emulation

Навигация в radare2

Небольшой получасовой экскурс на Youtube в инструмент radare2.

Вообще мне почему-то ещё не довелось его попробовать во всей красе, но по крайней мере описание его возможностей и что он умеет внушает уважение. Крайне интересный инструмент для реверса может быть. Учитывая, что у него есть куча плагинов, api и прочих полезных вещей, может поучаствовать и в автоматизации.

Для старта советую начать с официальной книги по radare2, где очень многое описано и становится более понятным, как и для чего его использовать.

#radare2 #video

Writeup по простенькому Android CTF

Прохождение достаточно простого CTF на одной из недавних конференций NahamCon2022.

Автор описывает принцип работы приложения и решает его при помощи модификации smali-кода, попутно немного объясняя что и как он делает.

Небольшой и занятный writeup’чик, можно для эксперимента пройти его не через модификацию smali, а через frida, например.

#smali #ctf #wtiteup

А вот и сам apk от этого прохождения

Можно попробовать свои силы)

Ещё несколько Frida snippets

В одном из чатов подсмотрел полезную заметку по использованию Frida с несколькими примерами, которые могут помочь в работе.

Примеры для С, Android и iOS. Их не сильно много и они довольно общие, но в целом, крайне полезные во время анализа приложения и однозначно стоит их поместить в закладки, а лучше сохранить локально.

#frida #android #ios

Курс по Burp Suite (пока бесплатно)

Очень часто для работы с перехватом трафика используется очень полезный и мощный инструмент - Burp Suite. Это просто швейцарский нож и его возможности очень велики, как из коробки, так и благодаря различным плагинам и возможности написать свои собственные расширения.

Сегодня (ещё 20 часов) цена на 8-часовой курс по Burp бесплатно!

Название «BUG BOUNTY HUNTING WITH BURP SUITE» обещает много интересного и полезного материала.

Проведите выходные с пользой :)

#course #burp

Ещё можно

Всё, время вышло :(
Кто успел из под впн оформить, молодцы))

Всем любителям Flutter посвящается

В последнее время из каждого чата доносится Flutter, Flutter, Stepn Flutter.

Вот и исследователю попалось приложение, потенциально похожее на зловредное. А во время анализа выяснилось, что написано оно на платформе Andromo, что на самом деле тот же флаттер.

Статья разделена на несколько частей, анализ таких приложений в целом (подходы, инструменты и т.д.).
И вторая часть про анализ зловредности. Вообще, достаточно познавательная статейка.

Как оказалось в итоге, приложение это не малварь, но что-то мне подсказывает, что в скором времени мы ещё увидим статьи о новых типах зловредов, написанных на Dart..

#malware #flutter #reflutter

Найти всё, что скрыто. Поиск чувствительной информации в мобильных приложениях

Одной из самых трудоемких задач в процессе анализа приложения (по времени так точно) - это поиск неправильно хранящихся чувствительных данных в приложении, понимание, откуда они там появились и где дальше используются.

В своей статье я немного рассказал про наши принципы и подходы к такому поиску, поразмышлял на тему того, как найти более сложные кейсы и как это связать воедино.

В секции про правильное хранение получилось добавить немного про шифрование и, думаю, в ближайшее время, я сделаю пост про основы шифрования, что нужно знать, чтобы не допустить простых ошибок во время реализации (по аналогии с SSL Pinning).

Надеюсь, что этот материал покажется вам интересным и вы сможете что-то нужное подчерпнуть для анализа или для защиты)

Всем хорошего понедельника и продуктивной недели!

#habr #sensinfo #blog #crypto