Mobile AppSec World
5.3K subscribers
142 photos
8 videos
19 files
675 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
URL extractor или как получить IP и домены из apk

Относительно недавно встала задача поискать все урлы, Хосты, домены и IP в Android-приложении.

Конечно, можно получить строки и грепнуть по ним регулярной, но мы же за автоматизацию, если сделать это действие нужно хотя бы два раза?)

Нашел репозиторий, который как раз делает то, что необходимо, собирает из APK (или даже из директории), все подходящие по формату строки и сортирует их по файликам.

По сути, это просто баш-скрипт, который декомпилирует приложение и также грепом проходится по файлам. Использует apktool и jadx.

В целом, неплохая отправная точка, чтобы начать делать что-то своё или быстро получить результат.

Пока в работе не пробовал, но очень скоро расскажу, насколько оно фалзит.

Если кто-то использует нечто подобное, тоже буду крайне признателен за советы :)

#android #extract #url
Сегодня день репостов :₽

Avito делают свой митап по разработке мобилок, я бы их послушал :)
Forwarded from Алена Сушко
Avito Android meetup #2 | 06.02 | 19:00 по мск

Митап пройдёт в московском офисе Авито, а совместный просмотр трансляции — в питерском. Что? Да!

Учиняем такое впервые, попробуем сначала в камерной компании на 30 человек.

Если вы в Питере и планируете классно провести вечер вторника, успейте забронировать место.

Что будет этим вечером:
- сценарии сборки и их связь с Git Workflow;
- нюансы потребления памяти Android-сборками;
- автоматизация генерации Baseline Profile.
А ещё планируется много цифр, яркие кейсы и возможность обсудить их тут же с другими разработчиками.
Mobile AppSec World
Новая атака на цепочку поставок: Java и Android под ударом! Буквально на днях компания Oversecured выпустила потрясающую статью про новую атаку на цепочку поставок. В этот раз под ударом оказались Java-пакеты и, конечно, под раздачу попал и Android... Способ…
И снова про MavenGate!

Я не смог устоять перед такой изящной атакой и не рассказать о ней более подробно.

И как мне показалось, ее недостаточно осветили и скорее всего не так поняли. Многих ввёл в заблуждение ответ Sonatype, который утверждает, что атака невозможна. Дело в том, что на самом деле один репозиторий пока не в состоянии решить эту проблему. До тех пор, пока можно будет загружать любые компоненты в любые репозитории - она будет актуальна и ещё как возможна!

И на самом деле, уязвимы не только 18% компонент, но и многие проекты по цепочке, которые используют уязвимые либы как зависимости. И дальше, паровозиком транзитивных зависимостей и попадёт скомпрометированная библиотека в проект конечного разработчика.

На момент вчерашнего дня уже было куплено 15 доменов и потихоньку эта цифра растет. Кто их покупает и для чего, хороший вопрос, но я уверен, что эта атака обязательно стрельнет где-то :)

Ну а мы в свою очередь добавили к себе анализ SBOM-файла для Android приложений, для того чтобы определить, есть ли проблемные зависимости в приложениях, которые мы анализируем. Уверен, что мы сможем помочь выявить «шпиона» :D

Всем приятного чтения, мы очень старались!

#habr #sca #supplychain
Отличное, кстати, интервью!
Forwarded from Just Security
Путь самурая исследователя на примере Павла Топоркова (Paul Axe) в новом выпуске подкаста Just Security.

Все что вы хотели, но боялись спросить: про поиск своих сильных сторон и вектора развития, про самые амбициозные цели и их достижение, про багхантинг, CTF-ы и сертификацию.
🍿Инджой!
Please open Telegram to view this post
VIEW IN TELEGRAM
Моя бывшая коллега ведет свой канал и недавно как раз рассказывала о мобильных приложениях.

Получилось, на мой взгляд очень неплохо!
RCE в MobSF через уязвимость записи файлов в apktool

Привет любителям OpenSource!

Недавно вышла CVE, которая позволяет выполнить произвольный код на сервере, где развернут MobSF.

Для уязвимости требуется несколько условий, но они вполне себе реализуемы, так что те, кто использует это во внутреннем контуре, я бы порекомендовал обновиться.

И конечно, тем, кто в своих продуктах/инструментах использует apktool, тоже бы обновиться для исключения возможности записи произвольных файлов через специально сформированный архив.

Хорошей всем недели и обновления :)

Ну и да, используйте правильные инструменты :)

#mobsf #cve #rce
Использование GDB для отладки нативных библиотек в Android и iOS-приложениях

Очень интересная статья, даже, наверное, мануал, по использованию gdb для отладки нативных библиотек.

Очень советую попробовать пройти все шаги, описанные в статье, познакомитесь с кучей разнообразных инструментов.

Тут и jadx, ghidra и radare2 и jeb. В общем, весь арсенал, который можно попробовать использовать в прикладной задаче.

Для себя много интересных моментов выявил, так что настоятельно рекомендую. Хоть иногда и не совсем понятно, что надо сделать, но все таки интересно :D

#gdb #jadx #native
Определение обфускации приложения при помощи обученной модели.

Весьма интересный проект, который определят, насколько хорошо обфусцировано приложение, прогоняя его через модель.

По факту, инструмент через androguard получает имена классов и загоняет их на вход обученной модели и после определяет, какой процент от общего количества классов обфусцирован.

Интересно, что мы пошли похожим путем, с единственной разницей, что мы сами определяем обфусцирован класс или нет, что дает больше контроля, чем модель предсказания и плюс есть возможность настроить параметры. Но, это не так популярно и тв не можешь говорить, что везде используешь AI&ML :D

Так что проверяйте обфускацию перед релизом, так как мы несколько раз ловили, что она по разным причинам отъезжала и в магазин едва не попала необфусцированная версия.

Будьте бдительны на фронтах контроля обфускации 😈

#android #obfuscation #ml
Вакансия :)

Как ни странно, но одна из немногих действительно профильных вакансий в нашей сфере. Не мог не помочь коллегам :)
Forwarded from Yulia 🍃
💥 Игровая студия Axlebolt в поисках реверс-инженера на iOS. Мы разрабатываем игры уже девятый год, флагманским проектом является мультиплеерный шутер Standoff 2, и именно на этот проект мы ищем античит-разработчика.
Готовы рассматривать как оформление в штат, так и сотрудничество по ГПХ, работу в офисе (оплачиваем релокацию) либо удаленку.
📍В задачи будет входить:
- Анализ существующих читов
- Общение с командой разработки клиента и сервера
- Разработка инструментов, запускаемых в рамках клиента
- Анализ результатов, создание правил для бана
Подробнее можно ознакомиться по ссылке: https://axlebolt.com/vacancies/anti-cheat-developer-unity
📨 Для связи пишите в TG: @yuliaaxlebolt
С радостью пообщаюсь и отвечу на все вопросы 🙂
Магические файлы .bak в SharedPreferences

Всем привет!

Наткнулся на крайне занятную статью, которая рассказывает о работе механизма SharedPreferences с файлами с расширением .bak

До этого момента, я даже не знал, что так можно. Оказывается, если внутри SP есть файл, например, credentials.xml и рядом лежит credentials.xml.bak, то при загрузке этого файла первый будет удален, файл бекапа будет переименован и использоваться, как оригинальный, что подтверждается анализом исходников.

Это может помочь, если у вас есть возможность записать файл в директорию, но приложение проверяет наличие файла перед записью

if(file.exists()) abort();

Я пока с таким не сталкивался, но однозначно буду иметь это поведение ввиду.

Ну или по крайней мере проверю, может оно вообще не так, но по коду выглядит логично :)

#android #sharedprefs
Эксплуатация уязвимостей в Deeplink и Webview

Цикл статей из двух частей (раз и два) про эксплуатацию различных проблем, связанных с технологиями deeplink и WebView.

Первая часть рассказывает о том, что такое webview, а также показывает возможность эксплуатации XSS и доступа к Java-объектам.

Вторая часть уже про диплинки и проблемы, связанные с ними. Традиционно, сначала немного теории про сами технологии и компоненты, после примеры эксплуатации уязвимостей.

Статьи неплохие, особенно радует большое количество отсылок на разные инструменты, которые помогут вам найти диплинки как в статике, так и в динамике, через Frida.

#android #deeplink #webview
Тут еще в канале Фокса годноты привалило :)

Крайне интересная и безумно полезная книга по дебаггингу и реверсу приложений экосистемы Apple.

Скачал и положил в папочку нужных и важных книг, обязательных к прочтению! Когда-нибудь... Когда будет время :D Ну вы поняли... ))
Forwarded from Freedom F0x
Deobfuscating Android ARM64 strings with Ghidra

Очень подробная и очень интересная статья про то, как можно автоматизировать процесс деобфускации строк в приложении с использованием Ghidra. Пример, конечно, надуманный, но общий смысл задает верно и на практике можно в подобных случаях воспользоваться идеей.

Но намного более интересно, это подробное описание взаимодействия с Ghidra, как использовать, как отлаживать, как автоматизировать через Python.

Очень советую тем, кто работает с этим инструментом или планирует изучать.

#android #ghidra #reverse
Еще можно успеть послушать!

И надеемся, конечно, на запись :)