Попался мне тут свежий репорт по уязвимости в одном известном продукте 🌚 Старый добрый path traversal с перезаписью файла.
Стоит сказать, что приложение написано довольно свежо и современно. Это не какая-то поделка времен Android 4.0.1. Kotlin, Single activity, Compose, архитектура(!). Все по взрослому 🙃 Но идеальных систем не бывает и ошибки случаются. Никогда об этом не забывайте, и не опускайте руки. Даже если вам кажется, что "в приложении багов нет", это означает ровно одно — вы уделили недостаточно времени анализу.

Обязательно попробуйте найти что-нибудь в этом приложении. Там есть много интересных мест 😉

Персональные данные и мобильные приложения, как они связаны?

Всем привет!

Я наконец выплыл из отпуска и возвращаюсь в рабочее русло 😄

И на повестке дня сегодня не что иное, как персональные данные и их утечки.
Меня очень давно интересовал этот вопрос, можно ли считать хранение или утечку ПДн через мобилку на самом деле утечкой, чем это может грозить и вообще, что же такое мобильное приложение с точки зрения нашего законодательства?

Я потратил достаточно много времени и экспертизой своих коллег чтобы разобраться в этом вопросе и вот результат - статья на Хабр.

Как мне кажется получилось достаточно неплохо, по крайней мере для себя я определился и с понятиями ПДн в мобилках и с определением приложений вообще в законах. Надеюсь, вам тоже это будет интересно. Особенно, учитывая, что сейчас на рассмотрении закон о введении оборотных штрафов для компаний, допустивших утечки.

Приятного чтения!

#habr #ПДн

Как построить процесс безопасной разработки и не сойти с ума

Всем привет!

Буквально через 10 минут пообщаемся с очень уважаемыми и умными людьми на тему процессов безопасной разработки!

Уверен, будет интересно)

Если интересно, подключайтесь!

Кто жаловался, что весь движ проходит в Москве?

Специально для Питера - Summer Mobile Party в Санкт-Петербурге, встречка для мобильных разработчиков без хардовых докладов, но зато с лайтнингами и новым форматом PeerLab (будут решать реальные кейсы от людей из зала в реальном времени).

В прошлом году они делали такую вечеринку в Москве, теперь по вашим просьбам и там)

ПРиходите и задавайте задачки по безопасности, посмотрим, смогут ли они их решить в реальном времени 😉

Встретимся на OFFZONE!

Уже очень скоро в Москве пройдет одна из моих самых любимых конференций - OFFZONE!

Очень ждем докладов про мобилки и новые атаки =)

Поиск контактов QA

Всем привет!
Давно не было слышно, дела захватили сильно :)
Но материал копится, посты скоро будут, обещаю)

А пока есть просьба, если кто-то знает компании, которые осуществляют тестирование мобильных приложений на аутсорсе и предлагают комплексные решения по тестированию мобилок (ручное тестирование, автоматическое и т.д.), напишите мне, пожалуйста!

Мне есть что им предложить и я хотел бы писать не на общий ящик, а напрямую в людей :)

Если вы знаете кого-то, а может и сами работаете в таких компаниях, не стесняйтесь, напишите, пожалуйста, буду крайне благодарен!

Всем хорошей и плодотворной рабочей недели!

Хотели сдампить приложение, но не знали как?

Не так давно один мой коллега столкнулся с тем, что приложение, которое он анализировал, было защищено с помощью одного из пакеров (Dexprotector вроде бы).

Попытки получить dex-файлы стандартными методами не увенчались успехом, любая попытка использовать Frida жестко пресекалась.

Нашли на просторах интересный инструмент, который позволяет из памяти dex без Frida!

И да, он прекрасно сработал!

Так что, если будет такая необходимость, используйте!

#Frida #dex #Dexprotector #packer #dump

iOS URL Scheme Hijacking

А вот это уже интересно, давненько не было новостей про iOS и вот крайне занятная статья. В ней, конечно, много допущений, но это и правда интересно.

Если кратко, в статье описывается атака, использующая уязвимости в протоколе OAuth и обработке URL-схем. Атакующий может зарегистрировать собственную схему URL, используя ASWebAuthenticationSession, которая получает доступ к сессиям Safari. Через поддельный сайт жертву перенаправляют на нужный OAuth клиент, где сессия авторизации завершается без вмешательства пользователя (используя параметр prompt=none). Это позволяет злоумышленнику перехватить код аутентификации и получить доступ к аккаунту жертвы.

Как обычно, много допущений и условий, но тем не менее, авторы нашли как минимум 30 приложений, подверженных этой проблеме.

Приятного чтения!

#ios #urlscheme #oauth

Еще один сканер Android-приложений

Достаточно часто встречаю различные инструменты для анализа приложений. Какие-то из них прям интересные, некоторые совсем простенькие.

Ко второй категории относится проект APKDeepLens. Это весьма несложный парсер декомпилированного кода. Несмотря на достаточно красивое описание в репозитории, при анализе его кода становится понятно, что он только парсит манифест, выдёргивает URL из приложения, ищет секреты по регуляркам.

Неплохой для старта, легко кастомизируется и можно добавить свои наработки, если они у вас есть.

Так что, если кто искал проект для кастомизации, это самое то :)

#android #analysis

Очень классная статья про системные приложения в Android

Статья очень понятно объясняет классификацию и привилегии приложений Android. Если кратко, то на самом деле есть пять основных групп приложений:
- недоверенные приложения
- предустановленные приложения
- привилегированные приложения
- приложения с подписью платформы
- приложения с системным UID.

Каждая категория имеет свои специфические разрешения и правила в SELinux, которые определяют их возможности.

Очень рекомендую почитать!

#android #apps #permissions

Как вызвать Java из C++ в Android.

Всем привет!

Я несколько раз перечитал статью, но так и не понял прикола, зачем это делать-то и кому это нужно?

Статья описывает, как создать и использовать экземпляры JVM (Java Virtual Machine) в приложениях на Android, написанных на C/C++.

Автор объясняет, как интегрировать JVM в приложения с использованием JNI (Java Native Interface), чтобы вызывать Java-методы из нативного кода.

Я понимаю из Java вызывать натив, но зачем наоборот? Еще больше запутать логику?

Интересный подход, но пока непонятно 😅

#android #native #c++

Статья для начинающих свой путь в Android

Всем привет!

Статейка для тех, кто только начинает свое знакомство с Android и хотел бы попробовать свои силы на нескольких CTF, чтобы понять какого это.

В статье описаны шаги для настройки окружения:
- Создание эмулятора
- Настройка Burpsuite
- Установка Frida
- Решение двух задачек с HackTheBox

В целом ничего особо примечательного, но как базовая точка для самого популярного вопроса «Как снять пиннинг» подойдет. Конечно, далеко не на всех приложениях эти шаги и этот скрипт сработают, но тем не менее, для старта неплохо.

Ну а дальше только снимать пиннинг и другие вещи с более сложных и не учебных приложений.

Добро пожаловать в мир безопасности мобилок»

#android #frida #ctf #burp

Разбираемся с уязвимостью в Jetpack Navigation

Всем привет!

Относительно недавно многоуважаемый @OxFi5t подсветил исследование коллег из Positive Technologies про новый вектор атаки на Android через проблемы в библиотеке Jetpack . Спасибо огромное им за исследование, оно реально крутое!

Мы не смогли остаться в стороне, тоже немного покапались в исследовании, нашли пару интересных вещей, не освещенных в оригинальном материале и сегодня я представляю вашему вниманию результат наших трудов, статью "Разбираемся с новой уязвимостью в Android-библиотеке Jetpack Navigation".

Кроме технических деталей самой проблемы мы еще дополнительно проанализировали 1000 приложений из различных маркетов и собрали интересную статистику по подверженности данной проблеме. Если кратко, то 21% из исследованых нами приложений содержит уязвимую навигацию. Эксплуатабельны ли они это отдельный вопрос, который, я надеюсь, мы разберем в дальнейшем обязательно))

Если интересно исследование с цифрами, какие категории оказались наиболее подвержены данной проблеме - можно посмотреть у нас на сайте.

А пока - приятного чтения и спасибо еще раз коллегам за шикарную уязвимость!

#jetpack #stingray #navigation #issue #research

Управление уязвимостями или как быть в курсе всего

Всем привет!

Как многие из вас знают, недавно была опубликована уязвимость в Telegram, которая при должном уровне подготовки с небольшой примесью социальной инженерии превращалась в возможность установки произвольного приложения на устройство пользователя!

Эту новость я впервые увидел на канале "Управление Уязвимостями и прочее" моего друга, Саши Леонова, который делится новостями из мира ИБ, своими мыслями, комментариями и идеями.

Всем, кто интересуется миром ИБ, рекомендовал бы подписаться, так как сам с удовольствием читаю и много нового узнаю :)

Например о том, что есть такая замечательная штука, как Vulristics, которая может очень хорошо помочь собрать и агрегировать дополнительную информацию по обнаруженным CVE идентификатором, чтобы понять насколько они действительно критичны. В канале выходят ежемесячные обзоры Microsoft Patch Tuesday и Linux Patch Wednesday уязвимостей, проанализированных с помощью Vulristics.

Так что, приятного чтения!

#vulristics #leonov #telegram #cve

А интересные темы ребята рассказывать будут :)

21 августа в 19:00 зовём в московский офис Купера (ex СберМаркет) на митап о том, как строить процессы безопасности приложений. Послушать в онлайне тоже можно.

В программе:

🔥 Как выстроить DAST на Open-Source: гибкое использование Nuclei и ZAP под сервисы компании. Алексей Крохин из RuStore

🔥 Несколько вредных советов для вашего ASPM. Артём Пузанков и Артём Кармазин из Positive Technologies

🔥 Мы написали свою DSO-платформу, но все равно купили ASOC. Да как так-то?… Семён Барышников из Купер.тех

🔥 Как мы Defect Dojo SASTами тестировали. Кирилл Самосадный из SolidLab

🔥 Какой должен быть SAST? Алексей Федулаев из MTS Web Services

Регистрируйся, чтобы попасть в офлайн и получить ссылку на онлайн-трансляцию!

Мерч-мерч :)

Тут у Похек'а подъехал мерч :)

На самом деле мне перепала футболка “RCE” и мне очень понравился фасон, прям очень удобная, так что рекомендую :)