Большая подборка книг, курсов и статей по безопасности мобильных приложений

На день знаний не успел выложить, но хоть на 3-е сентября будет 😄

Собрал воедино все книги, которые у меня были и что мне присылали, гайды и курсы по анализу и безопасности мобильных приложений!

Что получилось в итоге:

Android Books
Android Application Pentest Guide (AAPG)
Android Forensics
Android binder
Android Task Hijacking
Android Hacker's Handbook
Android Malware and Analysis
Android Apps Security
Android Security Attacks and Defenses
Android Security Internals
Application Security for the Android Platform
Android Application Secure Design/Secure Coding Guidebook
Decompiling Android
Deep Dive into Android Binder IPC
DEF CON 24 Workshop Dinesh Shetty Practical Android Application
Embedded Android
Kotlin secure coding practices
Learning Android Forensics
Hacking Android
XDAs Android Hackers Toolkit
Xaker-254
Яндекс - как общаются Android приложения
Broken Fingers - On the Usage of the Fingerprint API in Android
What can you do to an apk without its private key except repacking
WhatsApp Forensics: Decryption of Encrypted WhatsApp Databases
Huawei Mate 9 Pro (LON AL00) PWN2OWN
Android Internals - A Confectioner's Cookbook (Volume I)

Android Courses
Android Part - Mobile Application Security and Penetration Testing v2
AndroidHackingCourse
Penetration Testing Apps for Android Devices

iOS Books
Apple Security Sandbox
iOS App Reverse Engineering
IOS FORENSICS COOKBOOK
IOS Hackers Handbook
Mac OS X and iOS Internals (1-е издание)
Mobile App Hackers Handbook
Hacking and Securing IOS Applications
Recreating an iOS 0day Jailbreak Out of Apple’s Security Updates
Revisiting iOS Kernel (In)Security: Attacking the early random() PRNG
Demystifying The Secure Enclave Processor

iOS Courses
iOS Part - Mobile Application Security and Penetration Testing v2

Книги включающие в себя и Android и iOS либо нечто общее про безопасность мобилок
MASTERING MOBILE FORENSICS
Mobile App Hackers Handbook
MOBILE FORENSICS ADVANCED INVESTIGATIVE STRATEGIES
DSEC - Анализ безопасности мобильных банковских приложений
DSEC - Анализ безопасности мобильных банковских приложений 2012
DSEC - SCADA и мобильники - оценка безопасности приложений, превращающих смартфон в пульт управления заводом
Secure mobile development best practices
OWASP Mobile App Security Checklist
OWASP Mobile AppSec Verification Standard RU
OWASP mobile security testing guide
Брюс Шнайдер - прикладная криптография :D

Смешанные курсы
Mobile Application Security and Penetration Testing v1

Все материалы доступны по ссылке. Можно как скачать отдельные материалы, так и все сразу.
По мере нахождения новых интересных материалов - буду обновлять и дополнять "библиотеку" 🤓

#Books #Education #Android #iOS

Подборка Android CTF

Ну и в догонку, подборка “две миски риса и мобильный CTF” 😅

На самом деле, подборка Android CTF с различных мероприятий и активностей. Сам репозиторийина китайском, но понять, я думаю несложно (спасибо переводчикам).

И очень надеюсь, что пустой раздел iOS очень скоро наполнится хотя бы несколькими CTF :))

Enjoy!

#CTF #android #mobile

Анализ smali-кода

Как правило, начинают анализ Android-приложение с его декомпиляции и изучения что де там делается-то внутри?

Но для задач, когда может потребоваться изменение логики работы приложения или более точного анализа (например поиск методов или тот де taint-анализ), приходится работать со smali-кодом.

Статья для тех, кто не так много работал с этим представлением и хотел бы больше понимать, что означают те или иные строки внутри smali. Она не очень большая, остается много вопросов, но вся прелесть в нескольких практических заданиях, которые можно скачать и попробовать решить. И для любителей видео из командной строки, еще и решение одной из задач в формате видео 😄

Так что, как отправная точка, да еще и с примерами и практикой может быть очень даже неплохо)

#android #smali

iOS Forensic by Elcomsoft

Вот очень люблю этих ребят, их блог это просто находка :)

И даже в статье про работу с их инструментом по извлечению данных с iOS (насколько я понимаю, платного), они дают и теорию и много отсылок к другим опенсорс инструментам и статьям. Так что читая этот материал можно почерпнуть много нового и полезного из ссылок по тексту.

Настоятельно рекомендую посмотреть :)

#ios #elcomsoft #forensic

Продвинутое использование Frida в 4-х томах

Пока я отдыхал от активности, в блоге 8ksec.io вышло продолжение весьма интересных статей про использование Frida в iOS.

Часть 1. IOS Encryption Libraries
Часть 2. Analyzing Signal And Telegram Messages
Часть 3. Inspecting XPC Calls
Часть 4. Sniffing Location Data From Locationd

В статьях присутствует и часть для анализа приложений и для системных сервисов. При этом достаточно подробно описано, какие механизмы frida используются, как их применять и для чего они нужны. Ну и конечно, немного приоткрыть для себя завесу тайны над внутренними системными операциями (как минимум для геопозиции в locationd и для анализа XPC) тоже очень полезно.

В общем всем, кто работает с iOS и/или с Frida рекомендую почитать, посмотреть!

#frida #ios #system

Знакомство с Frida.

Ну а для тех, кто не понимает, зачем нужна Frida и как на ней вообще можно что-то писать, есть очень простая и подробная статья, которая поможет на не сложном примере написать свой первый скрипт на Frida и обойти проверку в приложении.

На самом деле очень хороший материал для старта, где понятно расписано для чего использовать этот инструмент, как его установить и т.д.

Так что, для всех новичков, добро пожаловать в мир костылей, боли, JS, увлекательной работы с Frida!

#frida #android #ctf #start

И снова про Frida!

Спасибо всем за крайне полезные комментарии к предыдущему посту.

Ребята прислали несколько интересных ссылок по обучению и погружению в frida:

1. Тема на 4pda
https://4pda.to/forum/index.php?showtopic=461675&view=findpost&p=63748780 (нужен аккаунт для просмотра)

2. Модификация Unity
https://youtu.be/NBjGm7YAZUQ?si=1GwYZ9FnzHgdv9cH

3. Создание мод-меню при помощи Frida
https://youtu.be/MU4K4HX2CUc?si=C3guSeYC0HcguGJr

Присылайте еще :) Когда идет обмен интересными и полезными материалами - мы все узнаем что-то новое и интересное!

Android Fuzzing

Весьма интересная статья про то, как устроен fuzzing внутри проекта AOSP.

Вообще, на мой взгляд достаточно сложная тема, как нормально проверить все многообразие устройств и сборок в интеграции с драйверами и прочим.

Да и в целом именно практика фаззинга, на мой взгляд, наиболее трудна с точки зрения внедрения и анализа результатов. Именно из-за этого интересно почитать про то, как это устроено внутри такого большого проекта, как AOSP.

Да, в статье немного деталей технических, но их всегда можно накопать по кросс-рефененсам или через ссылку на исходники :)

#android #aosp #fuzzing

Пишем Android-приложение практически полностью в NDK

Привет любителям прятать строки в .so файлах, что бы их сложнее было найти!

Тут есть крайне занятный пример, как практически полностью написать приложение, используя NDK для того, чтобы усложнить анализ такого приложения, помешать захукать системные вызовы и прочие приколы.

На самом деле, что-то в этом есть, особенно мне понравилась часть про вызов Binder напрямую из нативного кода через reflection, и вызов соответствующих сервисов далее:

class.forName("android.os.ServiceManager").getMethod("getService", String.class);

Это тебе уже не просто ключ шифрования в сошку положить, тут поинтереснее.

Доклад интересен глубиной погружения и способом подачи, то есть после того, как разбирается очередной пример "скрытия" чего-либо, идет небольшой блок демо, как это выглядит в коде, как переписать привычные нам действия с Java на натив. Ну и в конце пара выводов, как еще можно усилить подобное, да и надо ли оно такое вообще?

В общем спорная штука, как доклад вполне, как перенос части вещей для усложнения тоже может быть интересно (ну и защититься немного от перехвата штатными скриптами тоже прикольно в ряде случаев).

В общем, весьма смешанные чувства после просмотра =)

#android #ndk #obfuscation

Материалы к видео

Чуть не забыл, все материалы, что были в презентации доступны тут.

Анализ Xamarin-приложений.

Хотя я и очень не люблю кроссплатформенные приложения, но приходится весьма часто иметь с ними дело.

В последнее время, это конечно все больше Flutter, но встречаются еще и на других платформах.

Одна из таких платформ - это Xamarin. В статье очень здорово описана сама технология, есть описание структуры и архитектуры таких приложений, а также перечислены различные инструменты и техники по анализу подобных приложений.

Если вы никогда не сталкивались с подобным и вот нужно что-то проанализировать, эта статья отличная отправная точка для этого.

Кстати, в соседнем чате от @OxFi5t тоже есть очень классный совет по Xamarin-приложениям, переходите, читайте обязательно :)

#xamarin #reverse #tools

Конференция SmartDev

Внезапно обнаружил, что на конфе, где буду сегодня выступать есть online трансляция :)

Так что, если есть желание послушать про разные обыденные или интересные уязвимости, которые мы встречаем при анализе мобильных приложений, подключайтесь послушать!

Трансляция в 17:45 на сайте конференции, зал 4 «Безопасность».

Ну и если кто-то на конфе, приходите поболтать :)

#conf #mobile #smartdev

Ого, как теперь все сложно =)

Начиная с Android 14, Google немного решили закрутить гайки и вместо привычного /system/etc/security/cacerts, все CA сертификаты будут загружаться из неизменяемого контейнера /apex/com.android.conscrypt/cacerts.

Это значит, что монтировать /system/ на RW и класть туда сертификаты, как это можно было делать в старых версиях Android, теперь бесполезно, а в новый каталог — невозможно.

Поэтому, если вы захотите перехватывать трафик на новых устройствах, придется следовать другому алгоритму:
1. Монтируем tmpfs в любую директорию (я буду использовать старую /system/) и закидываем туда сертификаты из APEX

mount -t tmpfs tmpfs /system/etc/security/cacerts
mv /apex/com.android.conscrypt/cacerts/* /system/etc/security/cacerts/

не забывая в конце туда же положить сертификат Portswigger или любой другой.
2. Используем nsenter, чтобы забиндить каждый новый процесс и заставить его ссылаться на нашу директорию в качестве APEX-контейнера

nsenter --mount=/proc/$ZYGOTE_PID/ns/mnt -- \
    /bin/mount --bind /system/etc/security/cacerts /apex/com.android.conscrypt/cacerts

Zygote порождает приложения, а мы его один раз перенастраиваем на использование новых неймспейсов, где в качестве неизменяемой директории APEX, — наша новая директория, которую мы можем редактировать.

для уже запущенных можно сделать так

nsenter --mount=/proc/$APP_PID/ns/mnt -- \
    /bin/mount --bind /system/etc/security/cacerts /apex/com.android.conscrypt/cacerts

Вуаля, теперь можно заворачивать и снифать трафик, как и раньше. Чтобы не мучиться каждый раз с вводом команд и поиском нужных PID, прикладываю готовый скрипт с комментариями.

Встреча Mobile Appsec Club

Всем привет!

Как и говорил в прошлом сообщении, хотим попробовать новый формат и собраться вместе в среду вечером, выпить и послушать (по результатам опроса) классные истории из жизни, интересные баги или просто поболтать.

Встречаемся 4-го октября, в среду в баре Wino bar (Москва, Марксистская улица, 20 стр1)
Буду очень рад всех увидеть, ну а кто захочет что-то рассказать, с меня пиво 😉

И вот вопрос, во сколько было бы комфортнее всего начать, учитывая, что это рабочий день? Ответьте пожалуйста, а завтра-послезавтра определимся со временем старта!

#mobileappsecclub #beer

Всё, что вы хотели знать о Content Provider, но боялись спросить

Всем привет!

И для этого пятничного вечера я принес несколько классных новостей. Во-первых, это замечательная статья про практически все потенциальные возможности атаки на приложения через Content Provider (я думаю, что все-таки не все, уверен, кто-то еще знает несколько способов, но молчит и тихо их использует). В статье описаны несколько способов получения данных и как этих проблем избежать. Я бы рекомендовал эту статью не только тем, кто любит ломать приложения, но и разработке, чтобы посмотреть на свои компоненты с другой стороны.

Ну а для тех, кто любит послушать и посмотреть, есть отличное интервью Critical Thinking и автора OverSecured - @bagipro.

#android #contentprovider #oversecured

Ну и всем, конечно, хорошего вечера!

Встречаемся завтра!

Всем привет!

Уже завтра пройдет наш первый сабантуй :)

Стартуем в 20:00, собираемся примерно к этому времени. Я буду на месте около 19, так что приезжайте, как будет удобно!

Добавляйте в календари, чтобы не забыть!

До встречи и пусть все пройдет хорошо :)

#mobileappsecclub