Mobile AppSec World
5.29K subscribers
142 photos
8 videos
19 files
675 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
​​Эксперименты с WebView

Практически всегда, когда говорят об уязвимостях в WebView - имеют ввиду возможности по выполнению JS кода, если это не отключено, чтение файлов, если опять-таки не отключена такая возможность и другие похожие проблемы.

Но вот другой интересный момент на который стоит обратить внимание, что если защищать нужно не ваше приложение, которое использует WebView, а вашу страницу, которое другое приложение отображает и данные клиентов, которую вводят на ней информацию? Простой пример - в стороннем приложении "партнера" нужно осуществить логин в ваш сервис и для этого используется Web страница. Что может сделать приложение с данными, которые отправляются через WebView и какие способы от этого защититься есть?

Подробная статья про разные методы защиты (CSP, Iframe Sandbox, X-XSS-Protection), в чем их смысл, как их можно обойти и что делать-то в итоге? Плюс этой статьи, что к каждому примеру есть работающие приложения, чтобы попробовать самому пройти все эти шаги и код, который можно изучить.

И в догонку пост от Mail.ru двухгодичной давности, но актуальный до сих пор, про безопасность мобильного OAuth2.0. Всем, кто использует или предоставляет такую возможность очень рекомендую к изучению, ребята очень дотошно и качественно подошли к материалу. Комментарии к этой статье тоже несут много полезной информации, что необычно 😁

#WebView #OAuth #Research
Разнообразие уязвимостей в deeplink и Webview

Очень часто в приложениях присутствуют уязвимости, связанные с недостаточной валидацией данных от пользователя в механизмах deeplink и WebView. Тут тебе и редиректы, XSS, чтение файлов и много других интересных вещей.

В данной статье разобраны некоторые из возможных сценариев эксплуатации таких уязвимостей, а именно CSRF и SSRF. Достаточно интересный вектор атаки с использованием мобильных приложений :)

Хотя, на мой взгляд, некоторые сценарии выглядят немного надуманно и, надеюсь, не должны встречаться в современных разработках, почитать про них всё-таки стоит. Мало ли какие приложения попадут на анализ или появятся более интересные мысли, как развить это направление дальше 😁

#Android #Deeplink #Webview
Уязвимости в WebView

В блоге OverSecured очередное отличное пополнение - статья по наиболее часто встречающимся багам в WebView (Android security checklist: WebView).

Статья будет полезна любой аудитории, как разработчикам, чтобы понять, какие проблемы существуют и как их недопустить, и безопасникам, чтобы понять, как эксплуатировать различные баги в WebView.

Ну а баги на любой вкус, XSS, обход проверок на проверку URL, инъекции JS и многое другое. Ну а вишенкой на торте стала ссылка на библиотеку, которая помогает получить доступ к private API, использование которого запрещено в обычных приложениях. А это значит, что бага с HierarchicalUri снова работает на последних версиях Android!

Спасибо @bagipro за прекрасный материал!

#Android #Oversecured #WebView #Bugs
Ещё немного про WebView и ошибки при проверке URL

Если вы по какой-то причине пропустили шикарную статью от OverSecured про уязвимости в WebView и способы эксплуатации, то очень рекомендую прочитать!

Ну а для тех, кто хочет начать с чего-то попроще и в принципе понять, почему конструкции вида url.startsWith и url.endsWith иногда бывает недостаточно для валидации ссылок, которые вы открываете в вашем приложении, вышла вот такая статья от автора фреймворка Medusa на базе Frida (кстати, довольно неплохой инструмент).

В статье описан механизм работы deeplink на простейшем примере и рассмотрены базовые ошибки в механизме валидации передаваемых параметров. Написано хорошо, простыми словами, с живыми примерами и очень доступно.

#Android #WebView
Атаки на клиентов с использованием WebView

Вообще статья называется "A View Into Web(View) Attacks in Android" и открывая ее, я ожидал увидеть информацию об атаках на WebView в приложениях и прочие интересные штуки, но оказалось это немного про другое.

В статье расписано, как некоторые зловреды использовали WebView, чтобы обмануть пользователя и украсть данные от банковских аккаунтов.

Все достаточно просто, пользователь загружает зловредное приложение и при его открытии внутри WebView загружается легитимный банковский сайт, но со зловредным JS-кодом, который отправляет данные пользователя на сервер злоумышленника. Подход очень простой и имеет ряд существенных преимуществ, не нужно самому имитировать интерфейс приложения, не нужны дополнительные разрешения у системы спрашивать.

Вообще, достаточно интересное чтиво, с примерами реальных зловредов и разбора их кода. Самое то почитать в пятницу 😄

#android #WebView #fishing
Эксплуатация Android WebView при помощи Frida

Читая заголовок этой статьи от NowSecure, я надеялся на что-то крайнее интересное, как проверить все WebView на возможность загрузки произвольных URL, как через них получить файлы или вызвать выполнение кода через JS Interface и, конечно, советы по автоматизации.

Но реальность превзошла все ожидания! Такого я не ожидал...

А давайте-ка мы через Frida подменим адрес URL, который попадает в целевую вьюху и тогда он откроет нужную нам ссылку! А если на страничке будет JS-код, то он выполнится! 😄

Что-то конечно это забавно весьма. Но и полезное в статье есть, например использование ngrok. Тоже не божий дар, но удобно.

#Frida #android #ngrok #webview
Эксплуатация уязвимостей в Deeplink и Webview

Цикл статей из двух частей (раз и два) про эксплуатацию различных проблем, связанных с технологиями deeplink и WebView.

Первая часть рассказывает о том, что такое webview, а также показывает возможность эксплуатации XSS и доступа к Java-объектам.

Вторая часть уже про диплинки и проблемы, связанные с ними. Традиционно, сначала немного теории про сами технологии и компоненты, после примеры эксплуатации уязвимостей.

Статьи неплохие, особенно радует большое количество отсылок на разные инструменты, которые помогут вам найти диплинки как в статике, так и в динамике, через Frida.

#android #deeplink #webview