На Pinduoduo порой попадаются интересные девайсы для ИБ-исследований. Там можно найти аппаратные кейлогеры, BadUSB и кучу другого полезного железа.
@serj_ws
@serj_ws
А что там с безопасностью TV - приложений?
Недавно перед релизом проводил анализ TV - приложения. Это сервис для умных телевизоров Samsung на TizenOS, просмотр ТВ-контента и платная медиатека.
Во время анализа я наткнулся на момент, который оказался куда интереснее всего остального.
Как и большинство подобных сервисов, приложение давало бесплатный тестовый период, примерно три дня. Логика простая, устройство определяется как уникальное, получает триал, а дальше либо оплата, либо доступ закрывается. В ходе анализа стало известно, что для идентификации используется MAC-адрес и DUID (уникальный идентификатор устройства). Получались они стандартными средствами Tizen API через webapis.network.getMac() и webapis.productinfo.getDuid().
Логика казалась выстроенной, но ключевой нюанс был в том, что MAC и DUID получались на стороне клиента.
Если источник данных сам клиент, значит их можно изменить?
После изучения документации стало понятно, что функции получения MAC и DUID - обычные jаvascript-методы в окружении Tizen. А значит, их можно переопределить до того, как приложение начнёт использовать их в своей логике.
Идея была простой: при каждом запуске возвращать случайные значения вместо реальных. Новое значение DUID, новый MAC - с точки зрения сервера это каждый раз новое устройство.
Я написал небольшой скрипт, который переопределяет webapis.network.getMac и webapis.productinfo.getDuid, подставляя рандомные данные перед инициализацией основного кода приложения. В итоге при каждом перезапуске сервис видел "новый телевизор" и снова выдавал триальный период.
Фактически логика триала полностью обходилась без каких-либо сложных манипуляций. Не было взлома сервера, не было подмены трафика, только работа с тем, чему система доверяла по умолчанию. А еще, при такой реализации подписку можно оформить на одно устройство, а затем использовать ее на нескольких, так как система продолжает полагаться исключительно на клиентские идентификаторы.
Ради интереса я проверил и другие уже существующие приложения и оказалось, что многие из них устроены аналогичным образом.
@serj_ws
Недавно перед релизом проводил анализ TV - приложения. Это сервис для умных телевизоров Samsung на TizenOS, просмотр ТВ-контента и платная медиатека.
Во время анализа я наткнулся на момент, который оказался куда интереснее всего остального.
Как и большинство подобных сервисов, приложение давало бесплатный тестовый период, примерно три дня. Логика простая, устройство определяется как уникальное, получает триал, а дальше либо оплата, либо доступ закрывается. В ходе анализа стало известно, что для идентификации используется MAC-адрес и DUID (уникальный идентификатор устройства). Получались они стандартными средствами Tizen API через webapis.network.getMac() и webapis.productinfo.getDuid().
Логика казалась выстроенной, но ключевой нюанс был в том, что MAC и DUID получались на стороне клиента.
Если источник данных сам клиент, значит их можно изменить?
После изучения документации стало понятно, что функции получения MAC и DUID - обычные jаvascript-методы в окружении Tizen. А значит, их можно переопределить до того, как приложение начнёт использовать их в своей логике.
Идея была простой: при каждом запуске возвращать случайные значения вместо реальных. Новое значение DUID, новый MAC - с точки зрения сервера это каждый раз новое устройство.
Я написал небольшой скрипт, который переопределяет webapis.network.getMac и webapis.productinfo.getDuid, подставляя рандомные данные перед инициализацией основного кода приложения. В итоге при каждом перезапуске сервис видел "новый телевизор" и снова выдавал триальный период.
<script src="$WEBAPIS/webapis/webapis.js"></script>
<script>
function GenFakeDUID() {
const length = 13;
const chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
let result = '';
for (let i = 0; i < length; i++) {
result += chars.charAt(Math.floor(Math.random() * chars.length));
}
return result;
}
function GenFakeMAC(){
var hexDigits = "0123456789ABCDEF";
var macAddress = "";
for (var i = 0; i < 6; i++) {
macAddress+=hexDigits.charAt(Math.round(Math.random() * 15));
macAddress+=hexDigits.charAt(Math.round(Math.random() * 15));
if (i != 5) macAddress += ":";
}
return macAddress;
}
(function() {
webapis.network.getMac = function(){
return GenFakeMAC();
}
webapis.productinfo.getDuid = function(){
return GenFakeDUID();
}
})();
</script>
Фактически логика триала полностью обходилась без каких-либо сложных манипуляций. Не было взлома сервера, не было подмены трафика, только работа с тем, чему система доверяла по умолчанию. А еще, при такой реализации подписку можно оформить на одно устройство, а затем использовать ее на нескольких, так как система продолжает полагаться исключительно на клиентские идентификаторы.
Ради интереса я проверил и другие уже существующие приложения и оказалось, что многие из них устроены аналогичным образом.
@serj_ws
Forwarded from FR13NDS TEAM | Channel
🌸 Келе жатқан Наурыз мейрамы құтты болсын! 🌸
Наша команда FR13NDS TEAM совместно с Astana IT University анонсирует масштабное соревнование по кибербезопасности - AITU CTF 2026! 💻
Соревнование пройдет в два этапа:
🔹 ЭТАП 1: КВАЛИФИКАЦИЯ (Online Jeopardy)
В финал пройдут 10 команд из Казахстана и 5 зарубежных команд.
* Состав команды: от 1 до 5 человек.
* Старт соревнований: 23 марта, 12:00 (GMT+5)
* Завершение: 24 марта, 00:00 (GMT+5) *(продолжительность 12 часов)*
🔹 ЭТАП 2: ФИНАЛ (Offline)
Прошедших отбор ждет финал в столице!
* Даты: 22–23 апреля 2026 г.
* Место: Астана, Astana IT University.
* Формат: Киберполигон 🛡⚔️
* Доп. активности: Geoguessr Tournament и другие классные интерактивы! 🗺✨
💰 Предварительный общий призовой фонд: 1 000 000 ₸
*(Точное распределение по призовым местам и специальным номинациям объявим чуть позже — следите за новостями!)*
🔗 Наши ресурсы:
❤️ CTFtime: https://ctftime.org/event/3204
🌐 Платформа / Регистрация: ctf.fr13nds.team
📢 Telegram: @fr13nds_ctf | @ctf_aituniversity
💬 Discord: https://discord.gg/9qB9sv8Y
Наша команда FR13NDS TEAM совместно с Astana IT University анонсирует масштабное соревнование по кибербезопасности - AITU CTF 2026! 💻
Соревнование пройдет в два этапа:
🔹 ЭТАП 1: КВАЛИФИКАЦИЯ (Online Jeopardy)
В финал пройдут 10 команд из Казахстана и 5 зарубежных команд.
* Состав команды: от 1 до 5 человек.
* Старт соревнований: 23 марта, 12:00 (GMT+5)
* Завершение: 24 марта, 00:00 (GMT+5) *(продолжительность 12 часов)*
🔹 ЭТАП 2: ФИНАЛ (Offline)
Прошедших отбор ждет финал в столице!
* Даты: 22–23 апреля 2026 г.
* Место: Астана, Astana IT University.
* Формат: Киберполигон 🛡⚔️
* Доп. активности: Geoguessr Tournament и другие классные интерактивы! 🗺✨
💰 Предварительный общий призовой фонд: 1 000 000 ₸
*(Точное распределение по призовым местам и специальным номинациям объявим чуть позже — следите за новостями!)*
🔗 Наши ресурсы:
🌐 Платформа / Регистрация: ctf.fr13nds.team
📢 Telegram: @fr13nds_ctf | @ctf_aituniversity
💬 Discord: https://discord.gg/9qB9sv8Y
Please open Telegram to view this post
VIEW IN TELEGRAM
Откуда в Казахстане появляются «серые» iPhone?
Многие знают, что в Казахстане вступил в силу закон: все новые или недавно ввезённые телефоны должны проходить верификацию по IMEI коду. При этом ограничение распространяется независимо от модели или версии устройства. Тем не менее на некоторых казахстанских маркетплейсах до сих пор можно встретить «серые» iPhone последних поколений, а также другие свежие устройства, ввезённые неофициальными поставщиками.
При этом разница в цене может быть весьма существенной иногда 80.000-200.000 тенге между «серым» устройством и телефоном от официального дистрибьютора.
Если учитывать закупочную стоимость телефона, пошлины, доставку и комиссию маркетплейса, то маржа у продавца должна получаться совсем небольшой. Более того, она вряд ли оправдывает риски, связанные с продажей неофициально ввезённой техники.
Почему же тогда такие устройства стоят заметно дешевле?
Одна из распространённых схем ввоза связана с закупкой устройств в Китае. Продавец покупает смартфоны на китайских площадках и отправляет их себе. Возникает логичный вопрос: а как же НДС, таможенные пошлины и другие платежи?
На практике всё оказывается гораздо проще. Для доставки часто используют компании, работающие по принципу карго-логистики.
Например, сервисы вроде Jana Post принимают посылки на складе в Китае и доставляют их в Казахстан. Процесс выглядит довольно просто: при регистрации в приложении сервис выдаёт китайский адрес склада, который затем указывается при покупке на китайском сайте. В этом случае клиент оплачивает только стоимость доставки по весу, а сама доставка обычно занимает около 10 дней. Например, доставка нового смартфона из Китая может стоить всего около 4$.
Такие сервисы фактически позволяют обходить стандартную процедуру ввоза товаров для физических лиц, хотя по закону правила ввоза должны быть едиными для всех. Лимит беспошлинного ввоза в Казахстане составляет около 200 евро, после чего должны начисляться пошлины. Однако при использовании карго-доставки подобные ограничения часто просто не применяются.
Отличия «серых» iPhone из Китая
Однако у таких телефонов есть свои особенности. Например, устройства для китайского рынка обычно не поддерживают eSIM, а имеют два физических слота для SIM, а в настройках системы вместо привычной надписи Wi-Fi может отображаться WLAN. Эти мелкие детали часто и выдают региональную версию устройства.
Что с верификацией IMEI?
Возникает ещё один логичный вопрос: если телефон ввезён неофициально, его ведь должны заблокировать?
На практике продавцы нашли способы обходить и это ограничение. Один из них заключается в следующем: продавцы просят знакомых или родственников, живущих рядом с границей, формально пересечь её и вернуться обратно. После этого человек получает справку о пересечении границы.
Далее с этой справкой можно зайти на портал электронного правительства (eGov) и подать заявку на верификацию устройства, указав, что телефон был ввезён для личного пользования.
Иногда для этого привлекают и посторонних людей за небольшое вознаграждение.
В итоге устройство официально проходит верификацию, после чего его можно спокойно продавать, а продавец получает нормальную маржу.
Такая схема лишь один из возможных вариантов ввоза. На практике продавцы используют и другие способы поставки, которые могут применяться не только для смартфонов, но и для другой электроники.
@serj_ws
Многие знают, что в Казахстане вступил в силу закон: все новые или недавно ввезённые телефоны должны проходить верификацию по IMEI коду. При этом ограничение распространяется независимо от модели или версии устройства. Тем не менее на некоторых казахстанских маркетплейсах до сих пор можно встретить «серые» iPhone последних поколений, а также другие свежие устройства, ввезённые неофициальными поставщиками.
При этом разница в цене может быть весьма существенной иногда 80.000-200.000 тенге между «серым» устройством и телефоном от официального дистрибьютора.
Если учитывать закупочную стоимость телефона, пошлины, доставку и комиссию маркетплейса, то маржа у продавца должна получаться совсем небольшой. Более того, она вряд ли оправдывает риски, связанные с продажей неофициально ввезённой техники.
Почему же тогда такие устройства стоят заметно дешевле?
Одна из распространённых схем ввоза связана с закупкой устройств в Китае. Продавец покупает смартфоны на китайских площадках и отправляет их себе. Возникает логичный вопрос: а как же НДС, таможенные пошлины и другие платежи?
На практике всё оказывается гораздо проще. Для доставки часто используют компании, работающие по принципу карго-логистики.
Например, сервисы вроде Jana Post принимают посылки на складе в Китае и доставляют их в Казахстан. Процесс выглядит довольно просто: при регистрации в приложении сервис выдаёт китайский адрес склада, который затем указывается при покупке на китайском сайте. В этом случае клиент оплачивает только стоимость доставки по весу, а сама доставка обычно занимает около 10 дней. Например, доставка нового смартфона из Китая может стоить всего около 4$.
Такие сервисы фактически позволяют обходить стандартную процедуру ввоза товаров для физических лиц, хотя по закону правила ввоза должны быть едиными для всех. Лимит беспошлинного ввоза в Казахстане составляет около 200 евро, после чего должны начисляться пошлины. Однако при использовании карго-доставки подобные ограничения часто просто не применяются.
Отличия «серых» iPhone из Китая
Однако у таких телефонов есть свои особенности. Например, устройства для китайского рынка обычно не поддерживают eSIM, а имеют два физических слота для SIM, а в настройках системы вместо привычной надписи Wi-Fi может отображаться WLAN. Эти мелкие детали часто и выдают региональную версию устройства.
Что с верификацией IMEI?
Возникает ещё один логичный вопрос: если телефон ввезён неофициально, его ведь должны заблокировать?
На практике продавцы нашли способы обходить и это ограничение. Один из них заключается в следующем: продавцы просят знакомых или родственников, живущих рядом с границей, формально пересечь её и вернуться обратно. После этого человек получает справку о пересечении границы.
Далее с этой справкой можно зайти на портал электронного правительства (eGov) и подать заявку на верификацию устройства, указав, что телефон был ввезён для личного пользования.
Иногда для этого привлекают и посторонних людей за небольшое вознаграждение.
В итоге устройство официально проходит верификацию, после чего его можно спокойно продавать, а продавец получает нормальную маржу.
Такая схема лишь один из возможных вариантов ввоза. На практике продавцы используют и другие способы поставки, которые могут применяться не только для смартфонов, но и для другой электроники.
@serj_ws
Как ломаются гео-ограничения в iOS?
Уже достаточно давно занимаюсь тестированием iOS приложений и периодически сталкиваюсь с ситуацией, когда разработчики вводят ограничения функционала, опираясь исключительно на GPS координаты устройства. Чаще всего это используется для региональных ограничений: доступ к функциям, платежам или контенту разрешён только в определенной стране. На практике такая защита оказывается довольно слабой, поскольку координаты устройства можно подменить даже на полностью легитимном iPhone без Jailbreak.
Читать...
@serj_ws
Уже достаточно давно занимаюсь тестированием iOS приложений и периодически сталкиваюсь с ситуацией, когда разработчики вводят ограничения функционала, опираясь исключительно на GPS координаты устройства. Чаще всего это используется для региональных ограничений: доступ к функциям, платежам или контенту разрешён только в определенной стране. На практике такая защита оказывается довольно слабой, поскольку координаты устройства можно подменить даже на полностью легитимном iPhone без Jailbreak.
Читать...
@serj_ws
Forwarded from QazCode
Если вы в кибербезопасности или отвечаете за прод — вам на beetech conf 2026 ⚡
Поговорим про то, как реально ломают продукты, где разработчики сами себе роют ямы, и что делать с этим нашим AI — бояться или уже использовать.
Спикеры, которых нельзя упустить (подробнее на сайте):
— Bug Hunter Mindset: как думать как атакующий, находить баги на миллионы и защищать продукты
Рустам Житенов, Application Security Engineer, Beeline Казахстан
— Безопасность iOS: типичные ошибки разработчиков и сценарии атак
Сергей Песков, Cybersecurity Expert, Freedom Holding Corp.
— AI & Security: паниковать или нет?
Кутлымурат Мамбетниязов, Cybersecurity Expert, BTS Digital
— Сергей Белов, Head of Tech Security, Freedom
участник квартирника про вайбкодинг и всё, что происходит на стыке разработки и безопасности
Билеты пока есть (жми на ссылку), но это продлится не долго 😏
Поговорим про то, как реально ломают продукты, где разработчики сами себе роют ямы, и что делать с этим нашим AI — бояться или уже использовать.
Спикеры, которых нельзя упустить (подробнее на сайте):
— Bug Hunter Mindset: как думать как атакующий, находить баги на миллионы и защищать продукты
Рустам Житенов, Application Security Engineer, Beeline Казахстан
— Безопасность iOS: типичные ошибки разработчиков и сценарии атак
Сергей Песков, Cybersecurity Expert, Freedom Holding Corp.
— AI & Security: паниковать или нет?
Кутлымурат Мамбетниязов, Cybersecurity Expert, BTS Digital
— Сергей Белов, Head of Tech Security, Freedom
участник квартирника про вайбкодинг и всё, что происходит на стыке разработки и безопасности
Билеты пока есть (жми на ссылку), но это продлится не долго 😏