Обожаю ElcomSoft за их статьи. Спасибо, ребята! Вы правда крутые 😄
Во многих, конечно, есть реклама их продуктов, но при уровне полезности материала это можно простить)
Отличная статья с детальным разбором секьюрного мессенджера "Confide". Как он хранит данные, каким способом и что шифрует, какие способы защиты использует. Всё это описано с примерами кода, конкретными функциями и алгоритмами!
Статья интересна еще и тем, что можно почерпнуть из неё несколько идей, как сделать или улучшить безопасное хранение данных в своем приложении.
Ну, и, конечно, очень классный вывод в конце: "Если говорить о балансе между удобством и безопасностью, Confide - это примерно 110% безопасности и минус 10% удобства". 😂
#iOS #Applications #Messenger #Analysis
Во многих, конечно, есть реклама их продуктов, но при уровне полезности материала это можно простить)
Отличная статья с детальным разбором секьюрного мессенджера "Confide". Как он хранит данные, каким способом и что шифрует, какие способы защиты использует. Всё это описано с примерами кода, конкретными функциями и алгоритмами!
Статья интересна еще и тем, что можно почерпнуть из неё несколько идей, как сделать или улучшить безопасное хранение данных в своем приложении.
Ну, и, конечно, очень классный вывод в конце: "Если говорить о балансе между удобством и безопасностью, Confide - это примерно 110% безопасности и минус 10% удобства". 😂
#iOS #Applications #Messenger #Analysis
Когда начинаешь задумываться о разработке своего приложения, всегда держишь в голове, что делать его придётся для двух платформ iOS и Android. Но зачем два приложения, когда можно "немного" сэкономить и сделать одно, которое будет работать и там, и там?
Для того, что бы это реализовать используются специальные кроссплатформенные фреймворки. Не сказать, чтобы их было великое множество, но они есть и пользуются популярностью даже у крупных компаний. 🤔
Сегодня речь пойдет об одном из таких фреймворков - Flutter. Развивается данный проект компанией Google, и это пока единственный способ запустить ваше приложение на их новой операционной системе Fuchsia. Для написания приложений используется язык Dart, также разработанный Гуглом. В общем - если вы фанат Google - вам точно понравится 🤣
Сложность анализа таких приложений в том, что они могут не использовать системный функционал или библиотеки , так что перехватить вызов различных методов или переопределить возвращаемое значение функций стандартными инструментами будет проблематично. Особенно это касается отключения SSL-Pinning. При первом исследовании такого приложения я потратил немало времени, чтобы добиться-таки адекватного перехвата трафика.
Очень мне помогла вот эта замечательная статья, в которой автор подробно рассказывает, как именно найти нужное место в приложении, отвечающее за проверки сертификата, и как эту проверку отключить. Читается очень легко, содержит подробные инструкции, которые могут не раз вам пригодиться)
#iOS #Android #Analysis #Flutter #MiTM
Для того, что бы это реализовать используются специальные кроссплатформенные фреймворки. Не сказать, чтобы их было великое множество, но они есть и пользуются популярностью даже у крупных компаний. 🤔
Сегодня речь пойдет об одном из таких фреймворков - Flutter. Развивается данный проект компанией Google, и это пока единственный способ запустить ваше приложение на их новой операционной системе Fuchsia. Для написания приложений используется язык Dart, также разработанный Гуглом. В общем - если вы фанат Google - вам точно понравится 🤣
Сложность анализа таких приложений в том, что они могут не использовать системный функционал или библиотеки , так что перехватить вызов различных методов или переопределить возвращаемое значение функций стандартными инструментами будет проблематично. Особенно это касается отключения SSL-Pinning. При первом исследовании такого приложения я потратил немало времени, чтобы добиться-таки адекватного перехвата трафика.
Очень мне помогла вот эта замечательная статья, в которой автор подробно рассказывает, как именно найти нужное место в приложении, отвечающее за проверки сертификата, и как эту проверку отключить. Читается очень легко, содержит подробные инструкции, которые могут не раз вам пригодиться)
#iOS #Android #Analysis #Flutter #MiTM
Мне всегда очень нравились видео-курсы, презентации или видео материалы по анализу мобильных приложений. Просто потому, что это наглядно и для меня так проще воспринимать информацию. Уже после просмотра можно углубиться в техническую составляющую и засесть за заметки, которые делал по ходу выступления. А если еще спикер умеет рассказывать, вообще 🔥
Это к тому, что уже 2-го июля (в четверг) в 21:00 по Московскому времени пройдет вебинар от OWASP по безопасности и анализу iOS-приложений. Несколько тем, которые будут затронуты:
- Общие проблемы безопасности iOS приложений, основанные на реальных кейсах
- Начало работы, настройка среды для анализа
- Поверхность атаки на приложения экосистемы iOS
- Что можно сделать на не Jailbreak устройстве?
Выглядит достаточно интересно, я уже зарегистрировался, посмотрим, расскажут ли что интересное 🤓
#iOS #Analysis #Webinar
https://www.meetup.com/Bay-Area-OWASP/events/271550835/
Это к тому, что уже 2-го июля (в четверг) в 21:00 по Московскому времени пройдет вебинар от OWASP по безопасности и анализу iOS-приложений. Несколько тем, которые будут затронуты:
- Общие проблемы безопасности iOS приложений, основанные на реальных кейсах
- Начало работы, настройка среды для анализа
- Поверхность атаки на приложения экосистемы iOS
- Что можно сделать на не Jailbreak устройстве?
Выглядит достаточно интересно, я уже зарегистрировался, посмотрим, расскажут ли что интересное 🤓
#iOS #Analysis #Webinar
https://www.meetup.com/Bay-Area-OWASP/events/271550835/
Meetup
Login to Meetup | Meetup
Not a Meetup member yet? Log in and find groups that host online or in person events and meet people in your local community who share your interests.
Интересное ближе, чем может оказаться. Я люблю приложения, это намного удобнее и быстрее, чем открывать сайт, например. Уже не помню, когда последний раз заходил в онлайн банк :)
Но какие скрытые функции могут быть в приложениях, о которых мы не подозреваем? Это в продолжении истории с мессенджером-шпионом.
Сегодня с огромным интересом прочитал статью про анализ приложения для Дронов компании DJI.
Занятно, что автор сопоставляет использованные технологии в приложении с аналогичными в различных малварях. Тут тебе и встроенные обновления, и доступ ко всему, до чего можно дотянуться, и общение с управляющим центром 😁
Ну и конечно, описание, как он обходил шифрование и защиту приложения 🤓
Почитайте, правда очень увлекательно!
#Android #Analysis #DJI
Но какие скрытые функции могут быть в приложениях, о которых мы не подозреваем? Это в продолжении истории с мессенджером-шпионом.
Сегодня с огромным интересом прочитал статью про анализ приложения для Дронов компании DJI.
Занятно, что автор сопоставляет использованные технологии в приложении с аналогичными в различных малварях. Тут тебе и встроенные обновления, и доступ ко всему, до чего можно дотянуться, и общение с управляющим центром 😁
Ну и конечно, описание, как он обходил шифрование и защиту приложения 🤓
Почитайте, правда очень увлекательно!
#Android #Analysis #DJI
Доклад об эксплуатации типичных уязвимостей в iOS
Хороший доклад от «инженера в компании Google днём и исследователя ИБ ночью” про типовые уязвимости в iOS-приложениях. Доклад доступен как в видео формате, так и записан и переложен набумагу сайт для тех, кому текст воспринимать легче.
Доклад достаточно хороший, описывает разные стороны, куда посмотреть в приложении, в частности:
- анализ содержимого пакета приложения
- анализ URL-схем (открытие произвольных URL в WebView)
- SSL Pinning и его отсутствие
- Анализ UIWebView
Есть на что посмотреть, есть что поизучать, особенно начинающим в этой непростой, но очень интересной сфере безопасности.
#ios #vulnerabilities #analysis
Хороший доклад от «инженера в компании Google днём и исследователя ИБ ночью” про типовые уязвимости в iOS-приложениях. Доклад доступен как в видео формате, так и записан и переложен на
Доклад достаточно хороший, описывает разные стороны, куда посмотреть в приложении, в частности:
- анализ содержимого пакета приложения
- анализ URL-схем (открытие произвольных URL в WebView)
- SSL Pinning и его отсутствие
- Анализ UIWebView
Есть на что посмотреть, есть что поизучать, особенно начинающим в этой непростой, но очень интересной сфере безопасности.
#ios #vulnerabilities #analysis
InfoQ
Exploiting Common iOS Apps’ Vulnerabilities
Ivan Rodriguez walks through some of the most common vulnerabilities on iOS apps and shows how to exploit them. All these vulnerabilities have been found on real production apps of companies that have (or don't have) a bug bounty program. This talk is useful…
Еще один сканер Android-приложений
Достаточно часто встречаю различные инструменты для анализа приложений. Какие-то из них прям интересные, некоторые совсем простенькие.
Ко второй категории относится проект APKDeepLens. Это весьма несложный парсер декомпилированного кода. Несмотря на достаточно красивое описание в репозитории, при анализе его кода становится понятно, что он только парсит манифест, выдёргивает URL из приложения, ищет секреты по регуляркам.
Неплохой для старта, легко кастомизируется и можно добавить свои наработки, если они у вас есть.
Так что, если кто искал проект для кастомизации, это самое то :)
#android #analysis
Достаточно часто встречаю различные инструменты для анализа приложений. Какие-то из них прям интересные, некоторые совсем простенькие.
Ко второй категории относится проект APKDeepLens. Это весьма несложный парсер декомпилированного кода. Несмотря на достаточно красивое описание в репозитории, при анализе его кода становится понятно, что он только парсит манифест, выдёргивает URL из приложения, ищет секреты по регуляркам.
Неплохой для старта, легко кастомизируется и можно добавить свои наработки, если они у вас есть.
Так что, если кто искал проект для кастомизации, это самое то :)
#android #analysis
GitHub
GitHub - d78ui98/APKDeepLens: Android security insights in full spectrum.
Android security insights in full spectrum. Contribute to d78ui98/APKDeepLens development by creating an account on GitHub.