Mobile AppSec World
5.3K subscribers
142 photos
8 videos
19 files
675 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
​​Нововведения в Android 11

Я наконец-то добрался до статьи про новую версию Android. Пока других интересных новостей нет, посмотрим, что интересного приготовил нам Google.

Уже был пост на эту тему, но теперь мы можем потрогать новый Android живьём и немного освежим память, о чем нам там рассказывали :)

Добавили много полезных и удобных фич для пользователей и пару классных вещей в безопасности:

- Единоразовые разрешения. Теперь можно будет выдать пермишены на камеру, микрофон и другие подобные вещи только на один запуск. При следующем "открытии" приложение уже не будет иметь доступа к этим ресурсам. Да, теперь придется каждый раз при запуске всё проверять 🙈

- Удаление разрешений, если приложение долго не использовалось. Это значит, что если долго не открывать приложение, то система отзовет все пермишены, которые у него были. Тоже неплохо, теперь малвари, которая скрывает себя и оставляет только сервисы с ресиверами придется искать способ периодически запускать основное приложение 😁

- Обновления безопасности через GooglePlay. Пожалуй, самая интересная фича! Теперь апдейты безопасности будут распространяться через механизмы Google Play сервисов, как и обновления обычных приложений. Насколько это будет стабильно работать на зоопарке андроидов, посмотрим, конечно, но сама идея очень здравая.

На самом деле, очень радует, как система растет в плане безопасности от версии к версии, видно, что Google старается и много времени уделяет этому аспекту. Сейчас уже сложнее сказать, что iOS безопаснее, чем Android 😁

#Android #Update #Android11
Что нового в безопасности iOS 14

Новая версия iOS уже с нами и выходит все больше статей про новые функции безопасноcти и анализ нововведений, таких как App Clips.
Одна из первых новостей - статья от Elcomsoft про обновления в части Forensic для новой iOS.

Несколько полезных статей про изменения и новый функционал:
- Анализ новой функциональности App Clips
- Анализ цепочек сообщений в iMessages
- Большая обзорная статья про нововведения в механизмы безопасности

Из интересного:
- Немного изменился формат локального бекапа (для того, чтобы его создать нужна последняя версия iTunes). Так что утилиты для разбора и анализа бекапов могут какое-то время не работать до их обновления под измененный формат. Данные, которые туда попадают, остаются такими же.
- Такая участь постигла и облачные бэкапы
- Минорные изменения в структуре файловой системы
- Появилась возможность разрешать приложениям доступ только к приблизительному местоположению
- В правой верхней части экрана устройства будет отображаться индикатор использования камеры и микрофона

Глобально, по большому счету, мало что изменилось)

#iOS #Update #Security
Устаревшие алгоритмы шифрования в Android

В новой версии Android, уже 12-й (!), объявили об удалении устаревших алгоритмов шифрования.

Дословно:
«Android 12 has removed many BouncyCastle implementations of cryptographic algorithms that were previously deprecated, including all AES algorithms.»

Думаю, что это нарушит работу многих приложений, так что, если вы используете алгоритмы, которые удалены, это может стать проблемой. Конечно, можно подключить внешнюю библиотеку и продолжать жить счастливо, но я бы рекомендовал все-таки обновить технологии шифрования. Тем более, учитывая, сколько уязвимостей есть в библиотеке BouncyCastle.

Другое интересное новшество:
"Your app uses 512-bit key sizes. Conscrypt doesn't support this key size. If necessary, update your app's cryptography logic to use different key sizes."

Размер теперь имеет значение 😃
Если я правильно понял, необходимо использовать более длинные ключи в новых версиях Android. И это не может не радовать!

Конечно, это повлияет на разработку и заставит немного подкрутить логику работы с шифрованием, но в дальнейшем может повысить защищенность (очен на это надеюсь, по крайней мере).

Читая всё это задумался и начать писать статью о том, как эволюционировала безопасность системы Android со времён 4-й версии. Так что надеюсь, что в ближайшее время смогу порадовать интересным материалом!

#Android12 #update #news
И ещё немного о приватности в Android 12

Официальная дока по улучшениям в обеспечении приватности пользовательских данных.

По накатанной дорожке, от релиза к релизу, Google ужесточает правила игры и запрещает приложениям собирать больше информации. И Android 12 не стал исключением. Немного наиболее интересных обновлений:

Буфер обмена
Теперь при чтении из буфера обмена, пользователю будет показано сообщение. Ранее гугл отключил доступ к буферу приложениям в фоне, а теперь ещё и нотификацию показывает.

Отчет о приватности
Анонсировали дашборд, в котором можно посмотреть отчет за последние 24 часа, в какое время какие приложения имели доступ к камере, микрофону и локации.

Выключение камеры и микрофона
Появились два новых выключателя в настройках, которые отвечают за камеру и микрофон. Если их выключить, то при попытке доступа к этим сенсорам будет выведено предупреждение, что сначала необходимо включить камеру и микрофон в настройках.

Ещё много занятных вещей появилось. И всё сильнее Google заботится о том, чтобы данные получали только они, а не другие приложения и сервисы 😅

#Android12 #update #news