Media is too big
VIEW IN TELEGRAM
Эксперты Стингрей рассказали о краже личных данных при помощи приложений на смартфонах в эфире «Москва 24» 🖥
#AppSec_Stingrey #Экспертиза_AppSec
В мире мобильных приложений вопрос безопасности стоит как никогда остро: сегодня каждое четвертое приложение на Android содержит уязвимости. Согласно недавнему исследованию Стингрей, 21% отечественных приложений используют небезопасную навигацию в приложении. Речь идет об уязвимости в библиотеке Android Jetpack Navigation, позволяющей обходить защиту и получать доступ к внутренним экранам приложений. При эксплуатации этой уязвимости злоумышленник сможет открыть любой экран приложения и похитить личные данные пользователя.
– поделился Никита Пинаев, руководитель отдела анализа защищенности Стингрей
По словам экспертов, самостоятельно определить наличие уязвимостей в приложении обычным пользователям не под силу. Раньше можно было ориентироваться на рейтинг, отзывы или количество установок. Но из-за удаления многих российских приложений из зарубежных магазинов людям всё чаще приходится загружать их по ссылкам из СМС или пуш-уведомлений. Это создает риски, связанные с социальной инженерией, которую активно используют злоумышленники.
– отметил Юрий Шабалин, владелец продукта Стингрей.
Даже небольшие проблемы, такие как быстрая разрядка батареи или перегрев устройства, могут указывать на наличие уязвимостей. Команда Стингрей рекомендуют пользователям внимательно оценивать репутацию разработчика и источник загрузки приложения, а также установить антивирусную программу, которая может помочь обнаружить базовые проблемы безопасности.
#AppSec_Stingrey #Экспертиза_AppSec
В мире мобильных приложений вопрос безопасности стоит как никогда остро: сегодня каждое четвертое приложение на Android содержит уязвимости. Согласно недавнему исследованию Стингрей, 21% отечественных приложений используют небезопасную навигацию в приложении. Речь идет об уязвимости в библиотеке Android Jetpack Navigation, позволяющей обходить защиту и получать доступ к внутренним экранам приложений. При эксплуатации этой уязвимости злоумышленник сможет открыть любой экран приложения и похитить личные данные пользователя.
«Уязвимость в библиотеке Android Jetpack Navigation затронула огромное количество приложений, которыми мы все пользуемся ежедневно. И хотя в новых релизах библиотеки уязвимость исправлена, остается проблема с ее доставкой до конечного пользователя, ведь далеко не все обновляют свои приложения до последней версии.»
– поделился Никита Пинаев, руководитель отдела анализа защищенности Стингрей
По словам экспертов, самостоятельно определить наличие уязвимостей в приложении обычным пользователям не под силу. Раньше можно было ориентироваться на рейтинг, отзывы или количество установок. Но из-за удаления многих российских приложений из зарубежных магазинов людям всё чаще приходится загружать их по ссылкам из СМС или пуш-уведомлений. Это создает риски, связанные с социальной инженерией, которую активно используют злоумышленники.
«Нет безопасных систем, есть недостаточно исследованные. Высокотехнологичные функции приложений делают нашу жизнь более удобной, но вместе с этим снижают безопасность. В 2024 году мы наблюдали 3 масштабные атаки на мобильные приложения и прогнозируем, что в будущем откроется еще много новых уязвимостей.»
– отметил Юрий Шабалин, владелец продукта Стингрей.
Даже небольшие проблемы, такие как быстрая разрядка батареи или перегрев устройства, могут указывать на наличие уязвимостей. Команда Стингрей рекомендуют пользователям внимательно оценивать репутацию разработчика и источник загрузки приложения, а также установить антивирусную программу, которая может помочь обнаружить базовые проблемы безопасности.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9🔥3
Эксперт AppSec Solutions рассказал о схемах кражи данных россиян на «Черную пятницу»
#AppSec_Stingrey #Экспертиза_AppSec
«Черная пятница» 🛍 – сезон распродаж и начало предновогодних трат 🎄. В это время совершается огромное количество покупок и снижается бдительность потребителей. Юрий Шабалин, директор платформы Стингрей, выделил основные направления кибератак на пользователей в этот период.
По словам эксперта, чаще всего на «Черную пятницу» мошенники применяют фишинг 🎣, скимминг и атаки с использованием ботов 🤖. В первом случае злоумышленники создают поддельные веб-сайты, копирующие популярные платформы, рассылают фальшивые электронные письма и SMS с выгодными предложениями и связываются с потенциальными жертвами через соцсети.
Скимминг позволяет киберпреступникам похищать данные банковских карт с помощью специальных считывающих устройств 💳. Это может быть пластиковая накладка, установленная на кардридер банкомата 🏧, камера в терминале или вредоносное ПО, внедряемое в формы для ввода данных при онлайн-оплатах.
«Боты используются для автоматического выкупа дефицитных товаров, перепродажи, или чтобы загрузить сайты конкурентов. Также их могут использовать для создания фальшивых аккаунтов и отзывов», – поделился Юрий.
Он подчеркнул, что наибольший ущерб от ботов испытывают именно платформы, а пользователи лишаются возможности осуществить запланированные покупки 🛒. Подробнее в ТАСС 📰
#AppSec_Stingrey #Экспертиза_AppSec
«Черная пятница» 🛍 – сезон распродаж и начало предновогодних трат 🎄. В это время совершается огромное количество покупок и снижается бдительность потребителей. Юрий Шабалин, директор платформы Стингрей, выделил основные направления кибератак на пользователей в этот период.
По словам эксперта, чаще всего на «Черную пятницу» мошенники применяют фишинг 🎣, скимминг и атаки с использованием ботов 🤖. В первом случае злоумышленники создают поддельные веб-сайты, копирующие популярные платформы, рассылают фальшивые электронные письма и SMS с выгодными предложениями и связываются с потенциальными жертвами через соцсети.
Скимминг позволяет киберпреступникам похищать данные банковских карт с помощью специальных считывающих устройств 💳. Это может быть пластиковая накладка, установленная на кардридер банкомата 🏧, камера в терминале или вредоносное ПО, внедряемое в формы для ввода данных при онлайн-оплатах.
«Боты используются для автоматического выкупа дефицитных товаров, перепродажи, или чтобы загрузить сайты конкурентов. Также их могут использовать для создания фальшивых аккаунтов и отзывов», – поделился Юрий.
Он подчеркнул, что наибольший ущерб от ботов испытывают именно платформы, а пользователи лишаются возможности осуществить запланированные покупки 🛒. Подробнее в ТАСС 📰
🔥7
#AppSecCode #SCM #Git
Рады сообщить, что платформа AppSec.Hub успешно интегрировалась в безопасную среду разработки AppSec.Code! Теперь у российских компаний есть замена зарубежным Git-платформам, что помогает соблюдать требования импортозамещения 🇷🇺 и решает проблему нехватки ИБ-специалистов.
С помощью интеграции инженерам достаточно одной кнопки 🖱 для запуска сканирования уязвимостей, что значительно ускоряет процесс и избавляет от необходимости взаимодействовать с кодом.
AppSec.Code — это надежная среда разработки с функциями безопасности, ставшая аналогом зарубежных решений, которые больше недоступны. Важно отметить, что с учетом указа Президента, использование иностранного ПО в информационной безопасности запрещено.
Теперь ваши специалисты могут сосредоточиться на более сложных задачах, оставив проверку уязвимостей платформе AppSec.Hub! Подробнее по ссылке
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7
До Нового Года осталось всего 5 дней! А мы уже подготовили для вас коллекцию аватарок для Telegram, которые помогут сказать без слов: «Я уже мандаринизируюсь и под ёлкой» 🎁✨. Cкачивайте, устанавливайте и наслаждайтесь праздниками!🎄 😌
#НовогоднийРежим
#НовогоднийРежим
❤4
🎄✨ С Новым 2025 годом! ✨🎄
Дорогие друзья!
Поздравляем вас с наступающим 2025 годом! Пусть этот год принесет вам и вашим близким здоровье, удачу и радость.
🚀 Пусть 2025 год станет временем новых возможностей и больших достижений!
🛡 Мы, команда AppSec Solutions, будем рядом, чтобы ваши цифровые решения оставались под надежной защитой. Спасибо за ваше доверие и сотрудничество!
📌 Обращаем ваше внимание, что во время новогодних каникул наша техническая поддержка будет работать на принятие входящих обращений. Ответы и отработка запросов начнутся с 9 января.
С наилучшими пожеланиями,
Ваша команда AppSec Solutions 🌟
#НовогоднийРежим
Дорогие друзья!
Поздравляем вас с наступающим 2025 годом! Пусть этот год принесет вам и вашим близким здоровье, удачу и радость.
🚀 Пусть 2025 год станет временем новых возможностей и больших достижений!
С наилучшими пожеланиями,
Ваша команда AppSec Solutions 🌟
#НовогоднийРежим
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3
Число уязвимостей в открытом программном коде в 2024 году выросло на 25%
Эксперты AppSec Solutions, в ходе изучения динамики роста уязвимостей открытого кода (Open Source Software) обнаружили заметное ускорение этого процесса в 2024 году. Если с 2021 по 2023 год уязвимостей такого рода становилось больше в среднем на 5 тыс. ежегодно, то за последний год наблюдается двукратный рост, и их число выросло более чем на 10 тыс. с 29 тыс. в 2023 году до 39 тыс. в 2024. 🛡
Степень таких угроз сложно переоценить, так как доля заимствованного Open Source кода в коммерческих программных продуктах может доходить до 90%.
📌 Злоумышленники активно используют различные техники для повышения рейтинга своих программных компонентов в репозиториях открытого ПО. Так, например, программный пакет, содержащий зловредный код, может выглядеть как созданный крупной компанией с хорошей репутацией, но не являться таковым на самом деле. При этом хакеры могут атаковать и авторов пакетов, вносить изменения от их имени, а также маскироваться под активных участников OSS (Open Source Software) комьюнити, делая полезные правки, лишь изредка содержащие встроенный вредоносный код.
Читайте как защитить ПО от попадания зловредного кода по ссылке
#Экспертиза_AppSec
Эксперты AppSec Solutions, в ходе изучения динамики роста уязвимостей открытого кода (Open Source Software) обнаружили заметное ускорение этого процесса в 2024 году. Если с 2021 по 2023 год уязвимостей такого рода становилось больше в среднем на 5 тыс. ежегодно, то за последний год наблюдается двукратный рост, и их число выросло более чем на 10 тыс. с 29 тыс. в 2023 году до 39 тыс. в 2024. 🛡
Степень таких угроз сложно переоценить, так как доля заимствованного Open Source кода в коммерческих программных продуктах может доходить до 90%.
Читайте как защитить ПО от попадания зловредного кода по ссылке
#Экспертиза_AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6⚡1
#AppSecHub_Релизы
Рассказываем про новый релиз AppSec.Hub - платформы безопасной разработки класса ASPM в карточках выше
Среди ключевых изменений версии 2024.4.1:
И это ещё не все. Команда AppSec.Hub постоянно работает над тем, чтобы платформа была максимально удобной и надежной для пользователей. Подробнее про новый функционал читайте по ссылке.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9👏1
Такие разные Android AppLinks, WebLinks, DeepLinks. Разбираемся и пытаемся сломать 🔨
#Экспертиза_AppSec #AppSec_Лонгрид
Всем привет! На связи Юрий Шабалин и Веселина Зацепина эксперты по безопасности мобильных приложений в компании Стингрей. С каждым годом мобильные приложения становятся всё более сложными и взаимосвязанными, предлагая пользователям бесшовный опыт взаимодействия.
Одной из ключевых частей этого опыта являются ссылки, которые могут направить пользователя прямо на определённый экран приложения или на конкретный контент. Однако многие (как и мы до того, как написать эту статью) путают такие термины, как Deep Links, Web Links и App Links, что может привести к ошибкам в реализации и уязвимостям.
Цель — разобраться в различиях между этим похожим функционалом, понять, какие атаки могут быть на них направлены и как ведёт себя Android, если несколько приложений пытаются зарегистрировать одни и те же ссылки.
📝Сразу оговорюсь, что это статья не совсем похожа на наши обычные материалы — она призвана скорее рассказать, что мы узнали в процессе внутреннего исследования и консолидировать эту информацию в небольших "заметках на полях".
Надеемся, что эта статья поможет вам (как и нам в свое время) разобраться с различиями этих механизмов и даст почву для размышлений, как еще их можно проверить. Ссылка
#Экспертиза_AppSec #AppSec_Лонгрид
Всем привет! На связи Юрий Шабалин и Веселина Зацепина эксперты по безопасности мобильных приложений в компании Стингрей. С каждым годом мобильные приложения становятся всё более сложными и взаимосвязанными, предлагая пользователям бесшовный опыт взаимодействия.
Одной из ключевых частей этого опыта являются ссылки, которые могут направить пользователя прямо на определённый экран приложения или на конкретный контент. Однако многие (как и мы до того, как написать эту статью) путают такие термины, как Deep Links, Web Links и App Links, что может привести к ошибкам в реализации и уязвимостям.
Цель — разобраться в различиях между этим похожим функционалом, понять, какие атаки могут быть на них направлены и как ведёт себя Android, если несколько приложений пытаются зарегистрировать одни и те же ссылки.
📝Сразу оговорюсь, что это статья не совсем похожа на наши обычные материалы — она призвана скорее рассказать, что мы узнали в процессе внутреннего исследования и консолидировать эту информацию в небольших "заметках на полях".
Надеемся, что эта статья поможет вам (как и нам в свое время) разобраться с различиями этих механизмов и даст почву для размышлений, как еще их можно проверить. Ссылка
Media is too big
VIEW IN TELEGRAM
Смотрите видео про AppSec.Hub — платформу, которая изменит ваш подход к управлению процессом DevSecOps! 🎬
AppSec.Hub позволяет:
▶️ Автоматизировать процесс проверки безопасности в run-time.
▶️ Легко добавлять и заменять инструменты, команды, приложения и проекты в контур РБПО.
▶️ Решать рутинные задачи ИБ с помощью ИИ.
▶️ Контролировать процесс разработки защищенного ПО на базе метрик.
#AppSecHub #ASPM #AppSec_FAQ
AppSec.Hub позволяет:
#AppSecHub #ASPM #AppSec_FAQ
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👏3❤1
Стингрей помогает усилить защищенность приложений Сбербанка 🛡
#AppSec_Stingrey #AppSec_Кейсы
Приложения Сбербанка проходят автоматизированную проверку защищенности при помощи платформы Стингрей. Стингрей — это решение, сочетающее в себе технологии анализа уязвимостей и интуитивно понятный интерфейс. Платформа выявляет уязвимости в iOS и Android-приложениях и предлагает подробные рекомендации по их устранению.
Платформа позволяет проводить автоматизированный комплексный анализ защищенности мобильных продуктов на различных уровнях, включая код приложения, сетевые взаимодействия и конфигурацию. В процессе анализа учитываются как общие угрозы, так и специфические риски, характерные для конкретной отрасли.
В Сбербанке есть приложения для физических и юридических лиц по разным направлениям: от финансовых решений до услуг здравоохранения. Использование платформы Стингрей помогает банку дополнительно усилить как скорость разработки, так и эффективность анализа защищенности.
Юрий Шабалин, директор продукта Стингрей:
После завершения процесса сканирования на платформе Стингрей разработчики получают полный список уязвимостей и детальные рекомендации по их устранению. Одно из ключевых преимуществ технологии — необходимые проверки бесшовно встраиваются в процесс разработки, что не задерживает выход новых версий приложений.
#AppSec_Stingrey #AppSec_Кейсы
Приложения Сбербанка проходят автоматизированную проверку защищенности при помощи платформы Стингрей. Стингрей — это решение, сочетающее в себе технологии анализа уязвимостей и интуитивно понятный интерфейс. Платформа выявляет уязвимости в iOS и Android-приложениях и предлагает подробные рекомендации по их устранению.
Платформа позволяет проводить автоматизированный комплексный анализ защищенности мобильных продуктов на различных уровнях, включая код приложения, сетевые взаимодействия и конфигурацию. В процессе анализа учитываются как общие угрозы, так и специфические риски, характерные для конкретной отрасли.
В Сбербанке есть приложения для физических и юридических лиц по разным направлениям: от финансовых решений до услуг здравоохранения. Использование платформы Стингрей помогает банку дополнительно усилить как скорость разработки, так и эффективность анализа защищенности.
Юрий Шабалин, директор продукта Стингрей:
«Приложениями «Сбера» ежедневно пользуются миллионы россиян и отечественных компаний. Поэтому интеграция платформы Стингрей в процессы разработки «Сбера» — это наш вклад в развитии кибербезопасности всей России. Также подчеркну, что Стингрей — это полностью российская разработка, что гарантирует отсутствие рисков, связанных с использованием иностранных технологий, и соответствует требованиям регуляторов».
После завершения процесса сканирования на платформе Стингрей разработчики получают полный список уязвимостей и детальные рекомендации по их устранению. Одно из ключевых преимуществ технологии — необходимые проверки бесшовно встраиваются в процесс разработки, что не задерживает выход новых версий приложений.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8
Что же такое Firebase?
Сегодня практически каждая мобильная разработка включает в себя использование сторонних сервисов, и Firebase, разработанный компанией Google, стал одним из самых популярных. Этот инструмент предлагает обширный набор функциональности: от аутентификации пользователей до аналитики, уведомлений и базы данных.
Firebase значительно упрощает жизнь разработчикам, позволяя быстро создавать мощные мобильные приложения и сократить время проектирования инфраструктуры. Но, как это часто бывает, удобство несёт и свои риски.
В новой статье на Хабр Веселина Зацепина и Юрий Шабалин, эксперты по безопасности мобильных приложений из компании Стингрей затронули очень интересную тему — сервисы Firebase. Поговорили об их применении в мобильных приложениях и о том, как обеспечить их безопасность.
Эта статья призвана обратить внимание разработчиков и ИБ-специалистов на внешние сервисы, которые используют приложения, поскольку они часто остаются без должного внимания и аудита. Очень надеемся, что после прочтения вы начнёте по-другому смотреть на безопасность мобильных продуктов, ведь они обмениваются данными не только с собственными серверами, но и с многими другими.
И, конечно, эксперты ответят на вопрос: что же может быть страшного в, казалось бы, стандартных и привычных сервисах? Интересно? Тогда начнём!
Подробнее по ссылке
#Экспертиза_AppSec #MAST #AppSec_Лонгрид
Сегодня практически каждая мобильная разработка включает в себя использование сторонних сервисов, и Firebase, разработанный компанией Google, стал одним из самых популярных. Этот инструмент предлагает обширный набор функциональности: от аутентификации пользователей до аналитики, уведомлений и базы данных.
Firebase значительно упрощает жизнь разработчикам, позволяя быстро создавать мощные мобильные приложения и сократить время проектирования инфраструктуры. Но, как это часто бывает, удобство несёт и свои риски.
Firebase — это платформа, разработанная Google, которая предлагает набор инструментов для создания мобильных приложений на iOS, Android, Web, Flutter, Unity и C++. Она позволяет разработчикам быстро создавать и развертывать приложения, используя облачные ресурсы, а также предоставляет решения для анализа и оптимизации работы программ.
В новой статье на Хабр Веселина Зацепина и Юрий Шабалин, эксперты по безопасности мобильных приложений из компании Стингрей затронули очень интересную тему — сервисы Firebase. Поговорили об их применении в мобильных приложениях и о том, как обеспечить их безопасность.
Эта статья призвана обратить внимание разработчиков и ИБ-специалистов на внешние сервисы, которые используют приложения, поскольку они часто остаются без должного внимания и аудита. Очень надеемся, что после прочтения вы начнёте по-другому смотреть на безопасность мобильных продуктов, ведь они обмениваются данными не только с собственными серверами, но и с многими другими.
И, конечно, эксперты ответят на вопрос: что же может быть страшного в, казалось бы, стандартных и привычных сервисах? Интересно? Тогда начнём!
Подробнее по ссылке
#Экспертиза_AppSec #MAST #AppSec_Лонгрид
🔥2
А вот и новый релиз платформы Стингрей версии 2024.12!
#Стингрей_Релизы
Платформа получила новые функции: поиск уязвимостей в Jetpack Compose, поддержку Android TV и улучшение для приложений, написанных на фреймворке Flutter. Также обновлён стандарт OWASP MASVS и ускорены модули анализа.
📌 Подробнее в карточках выше или по ссылке
#Стингрей_Релизы
Платформа получила новые функции: поиск уязвимостей в Jetpack Compose, поддержку Android TV и улучшение для приложений, написанных на фреймворке Flutter. Также обновлён стандарт OWASP MASVS и ускорены модули анализа.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4