Mobile AppSec World
5.29K subscribers
142 photos
8 videos
19 files
675 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
Mobile AppSec World
Frida для начинающих Всем привет! Что-то последнее время часто встречаю гайды для только вкатывающихся в тему безопасности мобилок. И вот такой гайд, я бы даже назвал его методичкой по использованию Frida. Весьма неплохой, есть и обычные примеры для начинающих…
Продвинутое использование Frida. Часть 1

А вот и продвинутое использование Frida вслед за гайдом для начинающих.

Статья примечательна тем, что рассматривает решение практического сценария в одном из приложений с использованием Frida, попутно объясняя, зачем делается то или иное действие и к чему они приводят. Это уже весьма неплохой гайд с точи зрения понимания возможностей Frida и, может быть, примеров различных взаимодействий с нативными функциями.

Статья не очень большая и решает одну конкретную задачу в конкретном приложении, но может быть интересна тем, кто более плотно изучает frida для анализа iOS-приложений.

Вообще достаточно интересный блог у этой компании, подписался на него, буду периодически давать ссылки на них, если будет что-то интересное. Особо примечателен он тем, что много информации об iOS, что не часто встретишь, обычно любят рассматривать на примере более простого в понимании Android. И, что самое главное - он свежий, публикации за прошлый месяц этого года, что тоже немаловажно, так как все очень быстро развивается в мире мобильных приложений.

В любом случае, приятного и полезного чтения!

#iOS #frida #tutorial
Кэширование сетевых запросов в Cache.db

В продолжении темы статей Артема статья, которая описывает интересный файл Cache.db в iOS-приложениях, в который по умолчанию попадает кэш всех сетевых запросов, отправленных через NSURLSession.

И да, действительно, мы тоже очень часто встречаем подобное поведение и весьма много информации находим внутри таких вот кэширующих баз данных.

Но, в отличие от статьи, мы предлагаем достаточно подробные рекомендации, что именно необходимо сделать, чтобы предотвратить кэширование запросов.

#iOS #storage #vulns
Forwarded from Mobile AppSec World
Большая подборка книг, курсов и статей по безопасности мобильных приложений

На день знаний не успел выложить, но хоть на 3-е сентября будет 😄

Собрал воедино все книги, которые у меня были и что мне присылали, гайды и курсы по анализу и безопасности мобильных приложений!

Что получилось в итоге:

Android Books
Android Application Pentest Guide (AAPG)
Android Forensics
Android binder
Android Task Hijacking
Android Hacker's Handbook
Android Malware and Analysis
Android Apps Security
Android Security Attacks and Defenses
Android Security Internals
Application Security for the Android Platform
Android Application Secure Design/Secure Coding Guidebook
Decompiling Android
Deep Dive into Android Binder IPC
DEF CON 24 Workshop Dinesh Shetty Practical Android Application
Embedded Android
Kotlin secure coding practices
Learning Android Forensics
Hacking Android
XDAs Android Hackers Toolkit
Xaker-254
Яндекс - как общаются Android приложения
Broken Fingers - On the Usage of the Fingerprint API in Android
What can you do to an apk without its private key except repacking
WhatsApp Forensics: Decryption of Encrypted WhatsApp Databases
Huawei Mate 9 Pro (LON AL00) PWN2OWN
Android Internals - A Confectioner's Cookbook (Volume I)

Android Courses
Android Part - Mobile Application Security and Penetration Testing v2
AndroidHackingCourse
Penetration Testing Apps for Android Devices

iOS Books
Apple Security Sandbox
iOS App Reverse Engineering
IOS FORENSICS COOKBOOK
IOS Hackers Handbook
Mac OS X and iOS Internals (1-е издание)
Mobile App Hackers Handbook
Hacking and Securing IOS Applications
Recreating an iOS 0day Jailbreak Out of Apple’s Security Updates
Revisiting iOS Kernel (In)Security: Attacking the early random() PRNG
Demystifying The Secure Enclave Processor

iOS Courses
iOS Part - Mobile Application Security and Penetration Testing v2

Книги включающие в себя и Android и iOS либо нечто общее про безопасность мобилок
MASTERING MOBILE FORENSICS
Mobile App Hackers Handbook
MOBILE FORENSICS ADVANCED INVESTIGATIVE STRATEGIES
DSEC - Анализ безопасности мобильных банковских приложений
DSEC - Анализ безопасности мобильных банковских приложений 2012
DSEC - SCADA и мобильники - оценка безопасности приложений, превращающих смартфон в пульт управления заводом
Secure mobile development best practices
OWASP Mobile App Security Checklist
OWASP Mobile AppSec Verification Standard RU
OWASP mobile security testing guide
Брюс Шнайдер - прикладная криптография :D

Смешанные курсы
Mobile Application Security and Penetration Testing v1

Все материалы доступны по ссылке. Можно как скачать отдельные материалы, так и все сразу.
По мере нахождения новых интересных материалов - буду обновлять и дополнять "библиотеку" 🤓

#Books #Education #Android #iOS
iOS Forensic by Elcomsoft

Вот очень люблю этих ребят, их блог это просто находка :)

И даже в статье про работу с их инструментом по извлечению данных с iOS (насколько я понимаю, платного), они дают и теорию и много отсылок к другим опенсорс инструментам и статьям. Так что читая этот материал можно почерпнуть много нового и полезного из ссылок по тексту.

Настоятельно рекомендую посмотреть :)

#ios #elcomsoft #forensic
Продвинутое использование Frida в 4-х томах

Пока я отдыхал от активности, в блоге 8ksec.io вышло продолжение весьма интересных статей про использование Frida в iOS.

Часть 1. IOS Encryption Libraries
Часть 2. Analyzing Signal And Telegram Messages
Часть 3. Inspecting XPC Calls
Часть 4. Sniffing Location Data From Locationd

В статьях присутствует и часть для анализа приложений и для системных сервисов. При этом достаточно подробно описано, какие механизмы frida используются, как их применять и для чего они нужны. Ну и конечно, немного приоткрыть для себя завесу тайны над внутренними системными операциями (как минимум для геопозиции в locationd и для анализа XPC) тоже очень полезно.

В общем всем, кто работает с iOS и/или с Frida рекомендую почитать, посмотреть!

#frida #ios #system
Еще один комбайн для анализа приложений - MMSF

Нашел еще один комбайн по анализу мобильных приложений, под названием MMSF (Massive Mobile Security Framework). Да, с фантазией относительно названия тут явно не задалось.

Что он из себя представляет? По факту это интерактивный шелл, по своему принципу очень напоминающий Drozer (очень похожий выбор модулей, навигация, конфигурация и т.д.). Внутри это набор различных питоновских модулей, которые взаимодействуют с устройством и приложением внутри него.

Внутри опять-таки спрятана фрида и набор вполне базовых скриптов (обход рута/эмулятора, SSL Unpinning) и другие похожие вещи. Из интересного я бы отметил скрипт по патчу приложений для использования через objection на нерутованных/незаджейленных устройствах. Это по факту некоторая автоматизация из официальной документации по включению в пакет приложения специальной библиотеки.

Также интерес может предоставлять опция scan, но что происходит внутри и насколько там корректно реализованы проверки я пока еще не смотрел, но в самое ближайшее время собираюсь.

По первому впечатлению - это тот же дрозер, только более навороченный, возможно будет удобнее для каких-то ручных проверок, если у вас нет автоматизации для проверки, например, контент-провайдеров.

Ну и так как репозиторий относительно молодой (от июня 2023 года), он все еще развивается (4 дня назад последний коммит). Будем наблюдать, посмотрим, что у автора в итоге получится.

#android #ios #tool #combain #mmsf
Старт в анализе iOS-приложений

Всем привет, не так давно, на встрече обсуждали, что для iOS не так много материала и вкатиться в их анализ намного сложнее.

И это действительно так, анализ iOS сложнее для входа, из-за особенностей самой платформы, которая не очень-то предоставляет интерфейсы для взаимодействия приложений между собой. Они, конечно есть, но их намного меньше, чем в том же Android. Ну и конечно это формат самих приложений. Нельзя просто так взять и декомпилировать iOS-приложение, получила читаемый код, в котором относительно просто ориентироваться. Для яблока это работа с дизассемблерами и бинарщиной.

Но на самом деле, материалы есть и вот несколько статей из серии, как начать:

Часть 1. Про установку твиков, сидит и прочие базовые штуки.

Часть 2. Тут про стандартные проверки, как их выполнять разными способами через разные инструменты.

Часть 3. Тут про обход джейлбрейка, про отключение пиннинга и чуть-чуть про флаттер.

Статьи весьма базовые, но дают первое представление, как работать вообще с такими приложениями.

От себя лишь добавлю, что не увлекайтесь особенно твиками, некоторые из них могут либо окирпичить ваше устройство, либо повлиять на работу других твиков из-за конфликтов.

#ios #start
Please open Telegram to view this post
VIEW IN TELEGRAM
Azeria Labs - обучение реверсу

Тут в комментариях подсказали еще один отличный ресурс по реверсу - Azeria Labs.

У них есть приватный контент, куросв и книги за деньги, но в тоже время есть и открытая часть, которая на первый взгляд очень насыщенная.

При этом есть и общая часть и статьи непосредственно относящиеся к iOS, например:

1. HEAP EXPLOIT DEVELOPMENT – CASE STUDY FROM AN IN-THE-WILD IOS 0-DAY

2. HEAP OVERFLOWS AND THE IOS KERNEL HEAP

3. GROOMING THE IOS KERNEL HEAP

Так что будет интересно и людям, кто занимается мобилками и всем, кто занимается реверсом.

#reverse #ios
Гайд для начинающих в iOS

Ребята из компании Onsec.io написали несколько статей для начинающих по анализа iOS-приложений. На данный момент вышло две статьи.

Первая про процедуру Jailbreak устройства, на котором будут происходить все дальнейшие эксперименты. Написано весьма неплохо, но поверьте, при работе с palera1n вас ждет много интересных открытий ;)

Вторая уже про первичный анализ приложения и про перехват трафика в приложении (а так же базовые способы снятия пиннинга).

Статьи для начинающих, более продвинутым пользователям будет вряд ли полезны, но тем не менее аудитория разная, так что может быть интересно тем, кто только начинает свой непростой путь ;)

Как отправная точка вполне.

#ios #beginners #pentest
Анализ iOS-стилера

Что мы все про Андроид малварь, да про Андроид? Ведь на iOS тоже есть подобные экземпляры))

И на самом деле, если взглянуть на ситуацию год или два назад, то скорее всего их количество было сильно меньше, так как поставить приложение на iOS считалось чем-то очень и очень сложным. Но за последнее время, в связи с блокировкой многих приложений и поиска альтернативных средств установки это стало более реально. Раньше мы намного больше следили за тем, откуда загружается приложение, сейчас же все больше доверия к сайтам, с которых можно скачать приложение, все больше доверия сертификатам (профилям) разработчиков, которым нужно "доверять", чтобы работало приложение. То есть, мы планомерно приучаемся доверять нелегитимным источникам. И я думаю в ближайшее время появится еще больше похожих приложений.

Но от теории и размышлениям к статье. Статья из трех частей (опубликовано на данный момент две), в которой автор разбирает экземпляр приложения, которое ворует данные с устройства.

В первой статье идет речь про анализ сайта, который помогает загружать приложения на устройства пользователей. Объясняется принцип того, как можно установить приложение, что за сертификат разработчика, какие способы используют злоумышленники для фишинга. Ну тут все относительно просто, сайт определяет, откуда пришел пользователь, собирает про него всевозможные данные и показывает ему или QR для считывания на телефоне или мимикрирует под страничку AppStore с возможностью установки приложения.

Во второй статье уже идет разбор самого приложения, его сетевого трафика, анализ при помощи Ghydra и анализ поведения в динамике. По большому счету, стилер просто сливает ваши контакты злоумышленникам после получения доступа к адресной книге. Ну такое себе, могли бы что-то и поинтереснее придумать. Но статья интересна несколькими подходами по дизассемблированию, использованию нескольких скриптов по упрощению кода и приведение его к более читаемому виду. В общем, рекомендую почитать, если работаете с анализом iOS-бинарников.

Так что светлое будущее наступило и ждем, появления более интересных экземпляров.

#ios #stealer #malware
Общественная зарядная станция, как вектор угрозы для мобильного приложения

Всем привет!

Часто сталкиваюсь с вопросом, да что можно сделать с телефоном, как можно получить данные без физического доступа? Я же никому не отдаю свой телефон и потерять его не могу. С одной стороны, конечно, а с другой... Никто не заряжал свой телефон от USB-порто в метро или в автобусе? Или может пользовались общественными зарядками в аэропорту?

Нашел статью, в которой расписано несколько атак на устройства, которые можно осуществить через скомпрометированную зарядку. В статье есть отсылка, что уже неоднократно выявляли случаи заражения подобных станций.

И хотя приведенные в стате вектора атак выглядят не очень страшно, особенно, учитывая, что мало чего удастся достичь на устройстве с заблокированном экраном, задуматься все таки стоит. Как минимум о:
1. На зарядке мы часто пользуемся телефоном или держим его разблокированным (дети смотрят мультики, например)
2. Приведенные вектора атак, как мне кажется, далеко не единственные (если знаете что-то еще, поделитесь в комментариях)
3. Есть еще прикольная техника АТ-команд

Да много чего, я думаю, можно придумать :)

Так что, я думаю, такой вектор атаки можно считать вполне применимым, хоть и не очень распространенным. Хотя кто знает...

#attack #ios #android #cable
Поверхность атаки на iOS-приложения

Пожалуй, одна из самых необычных статей, которая мне попадалась за последнее время.

Представляет из себя набор уязвимостей, которые могут быть в iOS-приложениях. Но важен формат предоставления информации, а именно описание проблемы, фрагменты уязвимого кода, объяснение, чем он плох, пример исправленного кода и пояснение, что и как исправили и почему это хорошо. При этом примеры и на Objective и на Swift.

Крайне не привычно видеть подобное изложение проблемы, а особенно представить, сколько времени это заняло. Даже учитывая, что код достаточно простой в примерах, его количество поражает воображение (хотя, если его писал ChatGPT, такое возможно).

Для себя я как минимум почерпнул весьма обширный список проблем, часть из которых прошла мимо моего внимания.

В общем, крайне рекомендую к чтению :)

#iOS #vulnerability #awesome
Обход защиты от отладки в iOS-приложениях.

Всем привет!
Свежая, отличная статья по обходу различных проверок в iOS-приложениях.

В статье описывается логика и принцип различных защитных техник, а так же, как их можно обойти. При обходе используются инструменты:
- frida
- r2frida
- radare2
- r2ghidra

И главное, крайне подробно и доходчиво описаны способы поиска защитных механизмов и исследования логики их работы. Ну, и конечно, как их потом отключить.

Всем, кто сталкивается с тем, что приложение детектит скомпометированную среду, советую!

#ios #reverse #frida
Очередной обход проверок на Jailbreak

Всем таким же, как и я любителям видео с индуским английским посвящается!

Видео про обход нескольких проверок на Jailbreak:
- ptrace
- sysctl
- getppid
- dyld_get_image_name
- strstr

Все обходы реализованы через Frida, также есть и репозиторий с приложением и скриптами обхода, показанными в видео.

Как показывает мой опыт, реализовывать обход проверки только через Frida крайне проблематично. Это хорошо работает для небольших и легких проверок, но когда в ход идут более серьёзные способы защиты, обойти их через Frida можно, но это очень сильно замедляет работу приложения.

Хорошим способом является сочетание методов, например через твики (Shadow, A-ByPass и т.д.), и реализация дополнительных обходов уже через фрида.

В любом случае, полезное видео и скрипты неплохие, могут помочь в ряде случаев.

«халлоу, туудэй ви вилл лёрн хау ту байпась мост жеилбрек детекшн»

#ios #jailbreak #bypass
Фокус на безопасность мобильных приложений

Всем привет!

Давно ничего не писал, аж целых два месяца)) Но взял себя в руки и теперь и канал оживает, будут всегда свежие посты и новости и на Хабр вышла новая статья.

Статья не совсем техническая, она посвящена особенностям мобильных приложений, которые часто упускают из вида и забывают при построении процесса безопасной разработки. Да и просто при планировании мероприятий по анализу защищенности ресурсов мобилки всегда отодвигают "на потом". Возможно это связано с тем, что не все до конца понимают нюансы при релизе мобилок и всех векторов атак. И что устранение уязвимости в мобилке это немного не тоже самое, что устранение в серверной части.

Можно считать, что это некоторое логическое продолжение статьи "Мифы о безопасности мобильных приложений", только затрагивает она не заблуждения о мобилках, а их особенности.

Я постарался изложить свои мысли по этому поводу, надеюсь это поможет кому-то по новому взглянуть на мобильные приложения, и запланировать мероприятия по регулярному анализу их защищенности (ну а мы поможем). Ну или просто посмотреть на взгляд со стороны, как это воспринимаем мы, по свою сторону баррикад, возможно я просто чего-то не понимаю, поэтому пожалуйста, не стесняйтесь писать комментарии.

Приятного чтения, надеюсь, вам понравится!

#android #ios #mobile #habr
QEMU-iOS для эмуляции старых девайсов Apple.

А вот это прям классный доклад про проект эмуляции на базе qemu для старых iOS-устройств (например iPod touch 2g).

Очень крутой доклад, который будет интересен как тем, кто занимается реверсом, так и тем, кому близка тема эмуляции. Да и просто для общего развития посмотреть крайне занятно.

Возможно из этого проекта потом родится полноценный эмулятор последних версий iOS? Те, что есть сейчас крайне убогие))

Будем следить :)

#ios #emulation #qemu
Использование Nuclei для поиска секретов в мобильных приложениях

Всем привет!
Честно говоря, смотря на заголовок статьи я ожидал что-то крутое с трафиком, автоматическую генерацию темплейтов для Nuclei и т.д.

Но реальность меня немного озадачила, статья про использование Nuclei для поиска паттернов в коде. Для Android это поиск ключей FCM, для iOS это поиск некорректно настроенного AppTransport Security. Я, конечно знал, что этот инструмент можно использовать для работы с кодом, но выглядит как оверкил. Тот же grep справился бы быстрее и привычнее.

Возможно, это будет полезно тем, кто и так использует Nuclei для работы и хотел бы получать все данные из единого источника и в одном формате. А может просто узнать чуть больше про возможности этого правда интересного инструмента.

Еще нашел рядышком репозиторий с правилами для поиска ключей. Их там, кстати, довольно много.

В любом случае, приятного чтения :)

#nuclei #android #ios
iOS URL Scheme Hijacking

А вот это уже интересно, давненько не было новостей про iOS и вот крайне занятная статья. В ней, конечно, много допущений, но это и правда интересно.

Если кратко, в статье описывается атака, использующая уязвимости в протоколе OAuth и обработке URL-схем. Атакующий может зарегистрировать собственную схему URL, используя ASWebAuthenticationSession, которая получает доступ к сессиям Safari. Через поддельный сайт жертву перенаправляют на нужный OAuth клиент, где сессия авторизации завершается без вмешательства пользователя (используя параметр prompt=none). Это позволяет злоумышленнику перехватить код аутентификации и получить доступ к аккаунту жертвы.

Как обычно, много допущений и условий, но тем не менее, авторы нашли как минимум 30 приложений, подверженных этой проблеме.

Приятного чтения!

#ios #urlscheme #oauth
Замечательные времена удаленных эксплойтов

Кто-то помнит те чудные и прекрасные времена с постоянным Jailbreak, когда не нужно было беспокоиться о перезагрузках, о тех отличных Jailbreak через посещение сайта! Отличное было время!

И спустя много лет вышла статья, которая очень подробно раскрывает все технические детали и поясняет, как это было реализовано..

Очень круто и очень интересно!

Вот бы такое для iOS17...

#ios #jailbreak