Итак, Mobius не за горами! Вас ждут три дня докладов, воркшопов, круглых столов и дискуссий обо всем, чем живет мобильная разработка.

Конференция пройдет 25–27 мая, на 80% в онлайне, но в этот раз будет еще и offline-день. 22 июня в Санкт-Петербурге соберутся все, кто соскучился по живым выступлениям, дискуссионным зонам и тусовкам.

Программа online-части уже полностью готова и ждет вас на сайте.

Кстати, не забывайте про промокод maw2022JRGpc, который поможет приобрести персональный билет со скидкой.

Oversecured - бесплатные сканы!

Спасибо, @bagipro за возможность посканить разные приложения!

Oversecured снова открывает возможность бесплатного сканирования 2-х приложений!

Налетай, покупай :)

#oversecured #sast

Смотреть трансляцию Positive Hack Days бесплатно и без смс можно здесь - https://event.phdays.com/ru. Есть удобный фильтр по зонам. Доклады уже идут!

Fuzzing инструмента radare2 в Kubernetes

Весьма занятная статья вышла про увеличение скорости фаззинга используя кубер.

Автор реализовал (а вернее взял из предыдущего исследования) небольшой блок кода, который рандомно меняет последовательность бит в бинарном файле. После, измененный бинарный файл отправляется в radare2 и отслеживаются падения, то есть, удалось ли обработать файл или нет.

Ну и всё это развернуто в кубе и гоняется на каждый релиз.

Вообще, несмотря на кажущуюся сложность, статья написана весьма неплохо и читается очень легко.

#fuzzing #radare2 #kuber

Пятничные новости

Продолжая рубрику "Новости мобильной безопасности" за прошедшие недели - новая подборка!

Несмотря на праздники и весьма напряженные дни, контента для выпусков и новостей хватает, так что надеюсь каждый найдет для себя что-то полезное, если не успели прочитать все это в канале.

Всем хороших выходных и хорошей пятницы!

#habr #news #mobileappsec

Митап посвящённый переделке MASVS и MSTG

Как я несколько раз уже писал, сейчас идет активная работа над переработкой контента в основных документах OWASP по мобилкам(MSTG и MASVS), чтобы сделать их более привязанными к реальности и взаимодополняющими друг друга, а так же добавить немного автоматизации при работе с ними.

И вот, скоро, 18 августа в 18:30 PM (GMT-4) пройдет митап, посвященный текущему статусу переработки, покажут, что получается, расскажут про целевое видение и дальнейшие планы.

К сожалению, по Москве это 1:30 ночи 19-го числа. Не думаю, чоо все готовы будут столько ждать, поэтому хочу попробовать записать его и потом выложить куда-то, думаю, что должно быть достаточно интересно.

Ну и чтобы не забыть, можно поставить напоминалку или зарегаться у них на сайте и добавить событие в календарь.

#owasp #masvs #meetup

Доклады о мобильной безопасности с Positive Hack Days

Как вы знаете, на неделе прошла конференция Positive Hack Days и на ней были доклады про безопасность мобильных приложений.

Я ещё не все разобрал, но вот парочка достаточно интересных, которые можно посмотреть уже сейчас:

- Интервью эксперта о безопасности мобильных приложений
Достаточно интересный разговор про безопасность мобилок, текущую ситуацию с магазинами, основные вектора угроз и всякое такое. Послушать, как подкаст вполне.

- Уязвимое мобильное приложение AllSafe глазами аналитика
Доклад от аналитиков Appscreener (статический анализатор), про уязвимое приложение и разбор нескольких уязвимостей в нем, как искать и как эксплуатировать:
* Sql Injection
* Arbitrary code execution
* Insecure Content Provider

А вот и сам код приложения. Что приятно, автор на каждый «флаг» дает ссылки на статьи/репорты о реально найденных подобных багах.


По мере просмотра, если найду что-то интересное из докладов, обязательно расскажу :)

#phd #video #mobile

Статья от OverSecured - Android security checklist: theft of arbitrary files

Сегодня прекрасный день на контент, несмотря на то, что выходной. Вышла новая статья от OverSecured, на этот раз про типичные уязвимости при работе с файлами.

В статье разобраны основные недостатки приложений, которые позволяют получить доступ к внутренним файлам приложения, которые по моему опыту нередко хранят в себе много интересной информации в открытом виде.

Ну и в дополнении, одна из предыдущих статей про уязвимости в WebView дополнилась еще одним пунктом, на который точно стоит обратить внимание.

Как обычно (спасибо автору @bagipro за это), статья содержит детальные описания, примеры кода, реальные срабатывания и даже несколько PoC для эксплуатации. Люблю такие статейки.

Всем приятного чтения и хороших выходных!

#Oversecured #android #files #vulnerability #filestheft

Демо нашего инструмента для динамического анализа мобильных приложений - Stingray

Всем привет!
Как многие из вас знают, я занимаюсь разработкой инструмента по динамическому анализу мобильных приложений под названием Стингрей.

Недавно мы выпустили большое обновление и я подумал, что мне хотелось бы рассказать о том, что наш продукт вообще умеет, как работает и какие проблемы призван решить. В связи с этим вопрос, было бы вам интересно послушать про то, что мы делаем?

Предполагается свободный формат, без официальных введений, маркетинга, рекламы и прочего, просто я расскажу про то, чем мы занимаемся каждый день и отвечу на вопросы, если они будут.

Ниже прикреплю голосование и если будет интерес, то в ближайшее время проведем небольшое демо/рассказ о наших приключениях и пообщаемся немного за безопасность приложений =)

Всех с понедельником и хорошей, продуктивной работы!

#demo #stingray #poll

Нелегкий путь к динамическому анализу мобильных приложений

В предверии демо, решил немного поделиться тем, что произошло с нашим продуктом за последние несколько месяцев.

А именно, с какими проблемами мы столкнулись, как их решали и чего добились. Вышло, на мой взгляд, достаточно интересно. Технической информации там не много, но я просто не мог не поделиться своими переживаниями и эмоциями от того, что нам удалось сделать.

Надеюсь, что вам тоже будет интересно почитать)

Спасибо!

#habr #stingray #release

Сколько было разговоров о том, что Fuchsia OS заменит Android и начнется новая эра? И где теперь эта Fuchsia OS? Оказалось, что она все еще активно разрабатывается и похоже не собирается умирать. Чтобы не прозозохать все на свете и быть готовым, когда Fuchsia OS придет в ваш дом - рекомендую прочитать этот серьезный материал. Из статьи вы узнаете:
- Что из себя представлет Fuchsia OS и как выглядит ее модель безопасности
- Как собрать ОС из исходников и написать приложение для нее
- Как выглядит ядро ОС и как его подебажить с помощью GDB и QEMU
- Как разрабатывать эксплойты для ядра Fuchsia OS (Zirocon)

Под чай с печеньками прочитать не выйдет. Придется включать мозги 👨‍🔬

Продолжая разговоры о Fuchsia

В продолжении предыдущего поста, вот ещё видео с PHDays 2022, так же про эту операционную систему:

Fuchsia OS глазами атакующего

Можно перед прочтением предыдущей статьи посмотреть видел, чтобы чуть больше «въехать» в тему :)

Интересно, она все-таки увидит свет на реальных серийных устройствах?

#android #fuchsia

Бесплатный день на Mobius

А вот это уже интересно, один день из конференции будет полностью бесплатным!

Поучаствуйте в Mobius 2022 Spring бесплатно!

Команде организаторов и Программному комитету Mobius хотелось бы, чтобы их усилия оценило как можно больше участников. Поэтому мы решили поделиться частью контента и сделать доступ к третьему дню конференции свободным. 

Community Day на Mobius 2022 Spring — 27 мая доступ бесплатный

В билет бесплатного дня входят:
👉 6 докладов: например, про стереотип о чистой архитектуре и решение сложностей с Deep Link.
👉 Дискуссии после каждого доклада.
👉 Обсуждение в студии: спикер и ведущий вместе с участниками поговорят о декларативном UI и его будущем.
👉 Возможность поучаствовать в играх, квизах, конкурсах и других активностях от партнеров конференции — там можно не только круто провести время, но и получить ценные призы.
👉 Чаты, где сидят сотни ваших коллег со всего мира

Для участия в Community Day нужно только зарегистрироваться — для этого переходите по ссылке.

Реверс-инжиниринг безопасной ОС (TEE) на примере AMD TEE из PSP

Не совсем про мобильные истории, но все же доклад о защищенной ОС, которая также применяется в мобильных устройствах повсеместно.

Автор рассказывает о процессе реверс-инжиниринга безопасных операционных систем на примере AMD TEE. От общей информации о безопасных ОС, их применении и концепции и об AMD PSP до обсуждения восстановления основных структур ОС AMD TEE.

#AMD #TEE #SecureOS

Интеграция Ghidra и radare2

Недавно я несколько раз писал про интересный инструмент radare2. И его и так не бедную функциональность легко расширять различными плагинами. Или же наоборот, функционал других инструментов дополнять функционалом r2.

Например, одна из таких интересных интеграций может быть с не менее популярным инструментом Ghidra. Благодаря такой связке процесс реверса может стать чуточку проще.

Более подробно об этом плагине и примерах использования автор рассказал да r2con2019.

Удачного реверса

#reverse #radare2 #ghidra

Новое ограничение Android 13 для Accessibility APIs

Очень часто различная малварь на Android использует сервисы Accessibility API для того, чтобы получить данные пользователя. Как один из примеров, натянуть оверлей поверх всего экрана и считывать нажатия или получить события нажатия любых кнопок в приложении.

Как я писал в статье про развитие механизмов безопасности Android, если в первых версиях усилия Google были направлены на усиление защиты самой системы и борьбу с фрагментацией, то в последних версиях, что Google, что Apple устроили гонку по защите приватности пользователей. Тут тебе и ограничения на использование сенсоров, и доступ к геолокации и к различным идентификаторам, которые помогали идентифицировать устройство пользователя.

Теперь изменения пошли немного дальше и коснулись Accessibility API. Одно из главных изменений - доступ к этим службам не смогут получить приложения, которые были установлены не из магазина Google Play.

Об остальных нововведениях (а также об истории и возможностях этой службы) читайте в статье.

#Android13 #Accessibility #Privacy

Уязвимость утечки данных в процессорах Apple Silicon

Уязвимость (или даже вектор атаки) в новых процессорах Apple, с интересным названием "Augury" представила группа исследователей.

По сути, эта атака представляет собой использование особенности микроархитектурной оптимизации Data Memory-DependentPrefetcher (DMP).

Насколько это серьезно? По словам авторов, пока что не так уж серьезно, так как нет ни одного эксплойта, который бы использовал подобную технику. Да и получить можно только указатели.

Но мне хотелось бы верить, что все небольшие уязвимости и вектора атак сложатся в пазл и в итоге приведут наконец-то к jailbreak для 15 iOS 😄

#iOS #Vulnerability #Exploit

Очередной вирус в Google Play

На этот раз героем статьи оказалось вирусное приложение в виде QR-сканера (странно, что не калькулятор) с более чем 10 тысячами загрузок.

Не знаю почему, но эта статья мне приглянулась. Там не сильно много подробностей, показан основной принцип работы 90% подобных вирусов и рассказаны примеры общения с С&C-сервером, а полезную нагрузку он закачивал с Github 🤓

Но тем не менее, почему-то я ее с интересом прочитал. Наверное, чтобы убедится, что перехват смс и скрытие иих от пользака по прежнему работает так же, как и 10 лет назад 😄

Но можно еще и блок этой компании полистать, можно найти много достаточно интересных статей.

#Malware #Android #QR