Mobile AppSec World
5.29K subscribers
142 photos
8 videos
19 files
675 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
​​Давно хотел почитать и изучить способ "клонирования" одного и того же приложения на Android устройстве. В Xiaomi это встроенный функционал, но есть разные пути, как это можно сделать, например: VirtualApp, DualSpace, ParallelSpace и т.д.

Обязательно должно быть в этом механизме что-то, что позволит обойти защиту Android и получить доступ к данным "исходного" приложения, просто не может всё гладко пройти 😁

И как раз в данной статье описывается, какие особенности при "клонировании" есть и как это может повлиять на безопасность.

Основной момент, при клонировании, UID в системе остаётся тем же, что и у оригинального приложения. А это значит, что все механизмы безопасности, основанные на этом идентификаторе можно обойти!

Как пример, в статье описывается работа с ключами шифрования и как их можно достать используя склонированное приложение (кстати, вначале неплохой кусок теории по разным провайдерам в Java и Android). По идее, помимо ключей шифрования, можно и к файлам оригинального приложения доступ получить! 🤓

Как вариант защиты - определять, что ты находишься в виртуальном окружении, которое создают программы "копировальщики". Автор даже либу написал для этого.

Это только первая статья из цикла, должно быть продолжение, которое я с удовольствием почитаю)

#Android #Clone #Vulnerability #Apps
Люблю читать про анализ различных популярных приложений. В таких статьях можно почерпнуть много интересной информации, начиная с того, как анализировать приложения, заканчивая тем, что можно улучшить в защите своих разработок и рекомендаций. А может, мне просто нравится считать, что не я один такой и допускаю ошибки 😄

В этот раз статья про TikTok, в целом ничего криминального в ней нет (пока что), но автор обещает продолжение, да и читается легко. С его стилем повествования, было бы приятно почитать, что будет дальше. Кстати, если заглянуть в его статьи, можно найти еще много интересного материала. 🤓

#Android #Research #TikTok #Apps
Очень классная статья про системные приложения в Android

Статья очень понятно объясняет классификацию и привилегии приложений Android. Если кратко, то на самом деле есть пять основных групп приложений:
- недоверенные приложения
- предустановленные приложения
- привилегированные приложения
- приложения с подписью платформы
- приложения с системным UID.

Каждая категория имеет свои специфические разрешения и правила в SELinux, которые определяют их возможности.

Очень рекомендую почитать!

#android #apps #permissions