Биометрия, как много в этом слове

И снова про биометрическую аутентификацию в приложениях и один маленьки нюанс, который точно стоит учитывать при добавлении/анализе биометрии.

Отдельное спасибо автору @OxFi5t за готовый frida-скрипт)

Небольшая заметка про маленький, но противный баг, который периодически встречается в приложениях использующих биометрическую аутентификацию

Пора конференций
Ну что же, настает пора конференций, phd, offzone и все остальные)

Но и конференции для разработчиков тоже не отстают, вот и коллеги из Мобиус выслали промокод для билетов maw2022JRGpc

Возможно, кому-то будет интересно :)

Итак, Mobius не за горами! Вас ждут три дня докладов, воркшопов, круглых столов и дискуссий обо всем, чем живет мобильная разработка.

Конференция пройдет 25–27 мая, на 80% в онлайне, но в этот раз будет еще и offline-день. 22 июня в Санкт-Петербурге соберутся все, кто соскучился по живым выступлениям, дискуссионным зонам и тусовкам.

Программа online-части уже полностью готова и ждет вас на сайте.

Кстати, не забывайте про промокод maw2022JRGpc, который поможет приобрести персональный билет со скидкой.

Oversecured - бесплатные сканы!

Спасибо, @bagipro за возможность посканить разные приложения!

Oversecured снова открывает возможность бесплатного сканирования 2-х приложений!

Налетай, покупай :)

#oversecured #sast

Смотреть трансляцию Positive Hack Days бесплатно и без смс можно здесь - https://event.phdays.com/ru. Есть удобный фильтр по зонам. Доклады уже идут!

Fuzzing инструмента radare2 в Kubernetes

Весьма занятная статья вышла про увеличение скорости фаззинга используя кубер.

Автор реализовал (а вернее взял из предыдущего исследования) небольшой блок кода, который рандомно меняет последовательность бит в бинарном файле. После, измененный бинарный файл отправляется в radare2 и отслеживаются падения, то есть, удалось ли обработать файл или нет.

Ну и всё это развернуто в кубе и гоняется на каждый релиз.

Вообще, несмотря на кажущуюся сложность, статья написана весьма неплохо и читается очень легко.

#fuzzing #radare2 #kuber

Пятничные новости

Продолжая рубрику "Новости мобильной безопасности" за прошедшие недели - новая подборка!

Несмотря на праздники и весьма напряженные дни, контента для выпусков и новостей хватает, так что надеюсь каждый найдет для себя что-то полезное, если не успели прочитать все это в канале.

Всем хороших выходных и хорошей пятницы!

#habr #news #mobileappsec

Митап посвящённый переделке MASVS и MSTG

Как я несколько раз уже писал, сейчас идет активная работа над переработкой контента в основных документах OWASP по мобилкам(MSTG и MASVS), чтобы сделать их более привязанными к реальности и взаимодополняющими друг друга, а так же добавить немного автоматизации при работе с ними.

И вот, скоро, 18 августа в 18:30 PM (GMT-4) пройдет митап, посвященный текущему статусу переработки, покажут, что получается, расскажут про целевое видение и дальнейшие планы.

К сожалению, по Москве это 1:30 ночи 19-го числа. Не думаю, чоо все готовы будут столько ждать, поэтому хочу попробовать записать его и потом выложить куда-то, думаю, что должно быть достаточно интересно.

Ну и чтобы не забыть, можно поставить напоминалку или зарегаться у них на сайте и добавить событие в календарь.

#owasp #masvs #meetup

Доклады о мобильной безопасности с Positive Hack Days

Как вы знаете, на неделе прошла конференция Positive Hack Days и на ней были доклады про безопасность мобильных приложений.

Я ещё не все разобрал, но вот парочка достаточно интересных, которые можно посмотреть уже сейчас:

- Интервью эксперта о безопасности мобильных приложений
Достаточно интересный разговор про безопасность мобилок, текущую ситуацию с магазинами, основные вектора угроз и всякое такое. Послушать, как подкаст вполне.

- Уязвимое мобильное приложение AllSafe глазами аналитика
Доклад от аналитиков Appscreener (статический анализатор), про уязвимое приложение и разбор нескольких уязвимостей в нем, как искать и как эксплуатировать:
* Sql Injection
* Arbitrary code execution
* Insecure Content Provider

А вот и сам код приложения. Что приятно, автор на каждый «флаг» дает ссылки на статьи/репорты о реально найденных подобных багах.


По мере просмотра, если найду что-то интересное из докладов, обязательно расскажу :)

#phd #video #mobile

Статья от OverSecured - Android security checklist: theft of arbitrary files

Сегодня прекрасный день на контент, несмотря на то, что выходной. Вышла новая статья от OverSecured, на этот раз про типичные уязвимости при работе с файлами.

В статье разобраны основные недостатки приложений, которые позволяют получить доступ к внутренним файлам приложения, которые по моему опыту нередко хранят в себе много интересной информации в открытом виде.

Ну и в дополнении, одна из предыдущих статей про уязвимости в WebView дополнилась еще одним пунктом, на который точно стоит обратить внимание.

Как обычно (спасибо автору @bagipro за это), статья содержит детальные описания, примеры кода, реальные срабатывания и даже несколько PoC для эксплуатации. Люблю такие статейки.

Всем приятного чтения и хороших выходных!

#Oversecured #android #files #vulnerability #filestheft

Демо нашего инструмента для динамического анализа мобильных приложений - Stingray

Всем привет!
Как многие из вас знают, я занимаюсь разработкой инструмента по динамическому анализу мобильных приложений под названием Стингрей.

Недавно мы выпустили большое обновление и я подумал, что мне хотелось бы рассказать о том, что наш продукт вообще умеет, как работает и какие проблемы призван решить. В связи с этим вопрос, было бы вам интересно послушать про то, что мы делаем?

Предполагается свободный формат, без официальных введений, маркетинга, рекламы и прочего, просто я расскажу про то, чем мы занимаемся каждый день и отвечу на вопросы, если они будут.

Ниже прикреплю голосование и если будет интерес, то в ближайшее время проведем небольшое демо/рассказ о наших приключениях и пообщаемся немного за безопасность приложений =)

Всех с понедельником и хорошей, продуктивной работы!

#demo #stingray #poll

Нелегкий путь к динамическому анализу мобильных приложений

В предверии демо, решил немного поделиться тем, что произошло с нашим продуктом за последние несколько месяцев.

А именно, с какими проблемами мы столкнулись, как их решали и чего добились. Вышло, на мой взгляд, достаточно интересно. Технической информации там не много, но я просто не мог не поделиться своими переживаниями и эмоциями от того, что нам удалось сделать.

Надеюсь, что вам тоже будет интересно почитать)

Спасибо!

#habr #stingray #release

Сколько было разговоров о том, что Fuchsia OS заменит Android и начнется новая эра? И где теперь эта Fuchsia OS? Оказалось, что она все еще активно разрабатывается и похоже не собирается умирать. Чтобы не прозозохать все на свете и быть готовым, когда Fuchsia OS придет в ваш дом - рекомендую прочитать этот серьезный материал. Из статьи вы узнаете:
- Что из себя представлет Fuchsia OS и как выглядит ее модель безопасности
- Как собрать ОС из исходников и написать приложение для нее
- Как выглядит ядро ОС и как его подебажить с помощью GDB и QEMU
- Как разрабатывать эксплойты для ядра Fuchsia OS (Zirocon)

Под чай с печеньками прочитать не выйдет. Придется включать мозги 👨‍🔬

Продолжая разговоры о Fuchsia

В продолжении предыдущего поста, вот ещё видео с PHDays 2022, так же про эту операционную систему:

Fuchsia OS глазами атакующего

Можно перед прочтением предыдущей статьи посмотреть видел, чтобы чуть больше «въехать» в тему :)

Интересно, она все-таки увидит свет на реальных серийных устройствах?

#android #fuchsia

Бесплатный день на Mobius

А вот это уже интересно, один день из конференции будет полностью бесплатным!

Поучаствуйте в Mobius 2022 Spring бесплатно!

Команде организаторов и Программному комитету Mobius хотелось бы, чтобы их усилия оценило как можно больше участников. Поэтому мы решили поделиться частью контента и сделать доступ к третьему дню конференции свободным. 

Community Day на Mobius 2022 Spring — 27 мая доступ бесплатный

В билет бесплатного дня входят:
👉 6 докладов: например, про стереотип о чистой архитектуре и решение сложностей с Deep Link.
👉 Дискуссии после каждого доклада.
👉 Обсуждение в студии: спикер и ведущий вместе с участниками поговорят о декларативном UI и его будущем.
👉 Возможность поучаствовать в играх, квизах, конкурсах и других активностях от партнеров конференции — там можно не только круто провести время, но и получить ценные призы.
👉 Чаты, где сидят сотни ваших коллег со всего мира

Для участия в Community Day нужно только зарегистрироваться — для этого переходите по ссылке.

Реверс-инжиниринг безопасной ОС (TEE) на примере AMD TEE из PSP

Не совсем про мобильные истории, но все же доклад о защищенной ОС, которая также применяется в мобильных устройствах повсеместно.

Автор рассказывает о процессе реверс-инжиниринга безопасных операционных систем на примере AMD TEE. От общей информации о безопасных ОС, их применении и концепции и об AMD PSP до обсуждения восстановления основных структур ОС AMD TEE.

#AMD #TEE #SecureOS

Интеграция Ghidra и radare2

Недавно я несколько раз писал про интересный инструмент radare2. И его и так не бедную функциональность легко расширять различными плагинами. Или же наоборот, функционал других инструментов дополнять функционалом r2.

Например, одна из таких интересных интеграций может быть с не менее популярным инструментом Ghidra. Благодаря такой связке процесс реверса может стать чуточку проще.

Более подробно об этом плагине и примерах использования автор рассказал да r2con2019.

Удачного реверса

#reverse #radare2 #ghidra