Завтра демо!

Друзья, всем привет!
Не забываем, что завтра (или уже сегодня), в среду 20-го июля в 14:00 будет небольшое демо того, чем я занимаюсь целыми днями вместе с офигенной командой :) покажем наш тул по анализу приложений, что умеем и к чему стремимся)

Утром пришлю ссылку для подключения!

Присоединяйтесь!

Ссылка для подключения на демо

Всем привет! Через 30 минут стартуем.

Я наконец-то победил этот замечательный Teams, поэтому проводить будем в нем. Вход свободный, без регистрации и смс :)

Подключиться можно вот тут.

Жду всех, кому интересно в 14-00!

Поехали!

Ну что же, начинаем потихонечку, ждем еще минут 5 и стартуем)
Подключиться можно вот тут.

#demo #stingray

Небольшой экскурс в OWASP MASVS

Очередное видео с конференции про то, зачем нужен MASVS и как его применять. Ну и конечно, много времени снова уделено процессу рефакторинга этих документов.

Но в случае с прошлым постом на эту тему были доступны только слайды, а здесь полноценный доклад, так что если кому-то проще слушать и смотреть, а не читать, то это видео в самый раз.

#owasp #masvs

Спасибо всем!

Друзья, спасибо всем, кто проявил интерес и нашел время для того, чтобы подключиться и послушать про нашу работу!

Надеюсь было интересно, я постарался быть максимально честным :)

Ну а тем, кто не смог подключиться, но хотел бы всё-таки посмотреть, в ближайшее время мы обработаем запись и выложим её.

Ещё раз всем спасибо!
После демо у меня появилась небольшая идея, которую я попробую реализовать в следующем месяце :)

Хорошей и продуктивной всем недели!

Текущий статус джейла для iOS 15

Я просто оставлю это здесь :)
Надеюсь, что через несколько месяцев мы таки увидим полноценный джейлбрейк для 15-й версии iOS. Долго мы его ждали, это вроде одна из самых стойких версий.

Вспомнилась на эту тему наша картинка :)

Интересный формат собеседования

Ко мне тут обратились из VK, попросили опубликовать их пост про достаточно интересный, на мой взгляд формат собеседований. По крайней мере я такого раньше не встречал.

Если кто вдруг решит сходить, напишите потом, как оно вам, понравилось и стоит ли того?)

Как получить оффер в одну из Команд ВКонтакте всего за одни выходные

Команды ленты и рекомендаций, VK Клипов, сообществ и VK Видео приглашают iOS-разработчиков на Weekend offer и организуют встречу с тимлидами. 30 и 31 июля они расскажут про структуру компании, процессы и задачи, которые предстоит решать, а ещё ответят на все вопросы и проведут интервью с кандидатами. А в воскресенье вечером определят лучших кандидатов и отправят им офферы.

Регистрация заканчивается уже завтра!

Подать заявку можно вот тут

🔎 Ищем спикеров на Hardware.Zone и AppSec.Zone

Call for papers двух зон открыт до 1 августа.

На Hardware.Zone мы будем рады любителям железа. Здесь вы сможете провести мастер-класс или представить ваше исследование в области безопасности устройств. 

Присылайте заявки в свободной форме на [email protected]. 

На AppSec.Zone мы ищем спикеров с докладами по безопасности приложений. Приходите, чтобы рассказать о построении SDLC, описать новые техники эксплуатации, поделиться интересными уязвимостями из опыта ресерчей и bug bounty. 

Заявку можно подать через сайт.

И наконец-то итоги конкурса #offzone2

Как-то я снова немного подзатянул с финализацией розыгрыша, но тем не менее вот оно!

По итогу конкурса я долго думал, так как мне очень понравилось несколько постов, но все-таки я решил выбрать @avkhamitov в качестве победителя!

Поздравляю, ты получаешь проходку на OFFZONE!

Всем спасибо большое за участие и интерес!

Ну и напомню, все, кто участвовал в розыгрыше, присылал свои истории и пытался победить, но не победил, если вы будете на OFFZONE, приходитте к нашему стенду и я выдам вам полный набор мерча, который у нас будет)

Спасибо всем и до встречи на OFFZONE 😎

А вот и шикарная подборка статей и материалов от победителя!

Не так давно составлял подборку статей по анализу и безопасности кросс-платформенных приложений. Ресурсов очень мало, в особенности, если оставить за рамками хайповый Flutter.

Анализ приложений
⁃ Статья про исследование React Native приложений ( + обзор JS движка Hermes и утилиты для его анализа)
⁃ Статья про исследование и патчинг Xamarin приложений
⁃ Подборка полезных ресурсов для реверса Xamarin приложений

Безопасность приложений
⁃ Подборка советов по повышению безопасности React Native приложений
⁃ Подборка советов по повышению безопасности Ionic/Cordova приложений
⁃ Подборка советов по повышению безопасности Flutter приложений

Когда готовился к OSCP, случайно наткнулся на багу в Xamarin, связанную с подменой DLL. Тогда еще удивился, что популярный вектор повышения привилегий на Windows машинах может встретиться и на мобилках.

#offzone2

Как-то так получилось, что мы подружились с Мобиусом, поэтому вот ещё один пост про новый сезон :)

И надеюсь, что на него тоже разыграем билет :)

Mobius возвращается!

В ноябре JUG Ru Group организует конференцию для мобильных разработчиков — Mobius 2022 Autumn. В программе — технические доклады и дискуссии о языках, архитектуре, трендах, платформах, фреймворках и инструментах. На конференции соберутся iOS- и Android-разработчики, архитекторы мобильных приложений, специалисты по DevOps, тестировщики, тимлиды и руководители проектов.

Участники конференции любят обсуждать нетривиальные задачи и новые подходы в мобильной разработке. И если вам есть что сказать, тогда подавайте заявку на выступление. Программный комитет поможет с подготовкой к выступлению: назначит персонального куратора, проведет ревью материала и организует репетиции.

Выбирайте тему выступления на сайте или предлагайте свои идеи — их обязательно рассмотрят.

Всем спикерам JUG Ru Group дарит билет на все конференции сезона в онлайне и офлайне.

А билеты можно купить здесь.

Who got the key?

А вот очередная интересная заметка про ключики и их хранение. На этот раз в фокус экспертов попали ключи от Twitter API.
А сколько ещё таких ключей и сервисов может быть?) думаю, что бескрайнее множество.

Мы тоже у себя готовим интересную статистику по использованию различных ключей и их валидности в приложениях, думаю, через некоторое время подобьем аналитику и анонсируем результаты :)

Исследователи CloudSEK обнаружили 3207 мобильных приложений, которые раскрывают ключи Twitter API.

Нарушение потенциально позволяет злоумышленникам завладеть учетными записями пользователей Twitter для создания в армии ботов и продвижения фейковых новостей, реализации кампаний по распространению вредоносного ПО или других мошеннических действий.

В рамках интеграции мобильных приложений с Twitter разработчикам предоставляются специальные ключи аутентификации или токены, которые позволят взаимодействовать с API Twitter.

Ключи позволяют приложению действовать от имени пользователя, например, входить в систему через Twitter, постить твиты, отправлять DM, читать личные сообщения, управлять подписотой, а также настройками аккаунта.

CloudSEK объясняет, что утечка ключей API обычно является результатом ошибок разработчиков, которые встраивают свои ключи аутентификации в API Twitter, но забывают удалить их по окончании разработки, оставляя их, как правило, в resources/res/values/strings.xml, source/resources/res/values-es-rAR/strings.xml, source/resources/res/values-es-rCO/strings.xml или source/sources/com/app-name/BuildConfig.java.

Список всех уязвимых приложений не раскрывается, поскольку большинство их разработчиков спустя месяц еще не подтвердили получение уведомлений CloudSEK. Однако, по данным ресерчеров, среди них есть и имеющие от 50 000 до 5 000 000 загрузок.

Исключением к настоящему моменту стала лишь компания Ford Motors, которая отреагировала и развернула исправление в приложении Ford Events, из-за которого также происходила утечка ключей API Twitter.

Полагаем, что Макс одним из первых ознакомился с результаты исследования, если и вовсе не был соавтором.

Анализ iOS-приложений

Свеженькая статья от Digital Security, а вернее продолжение первой части про подготовку устройства.

Очень годная для начинающих статья, содержащая в себе разбор нескольких наиболее часто встречающихся уязвимостей в iOS приложениях и способе их поиска. Применяются известные и актуальные инструменты для анализа (Grapefruit и Objection), а также чистая frida :)

Очень доступно и понятно написано, спасибо ребятам)

#ios #dsec #frida #objection

И снова шикарный трюк от @bagipro

Продолжая рубрику "советы для bugbounty", теперь про способ обхода ограничений для ContentProvider.openFile().

Вот ссылка на оригинальный пост, но для тех, у кого Твиттер закрыт и нет VPN немного пояснений и описаний.
Суть в том, что использую небольшой трюк можно получить приватную информацию через контент провайдер, если вызвать его не напрямую, а прикинуться шлангом, системным сервисом, которому по умолчанию выдаются любые Permissions.

Атака возможна, если:
1. Контент-провайдер экспортируется
2. Внутри он проверяет вызывающий UID, имя пакета и/или набор разрешений

Таким образом, можно вызвать ContentProvider.openFile() через IActivityManager.openContentUri(). Он проверит права доступа, но затем проксирует вызов из своего контекста, а именно к Binder.getCallingUid() == 1000, и, так как это UID системы, то ей по умолчанию предоставлены все права.

Что тут сказать, аплодирую стоя 👍👍

#android #binder #contentProvider #oversecured

Поговорим о безопасности?

Пригласили поговорить за безопасность кода и различных способах проверки его на всякое разное в части безопасности)

Кому интересно, приходите в четверг послушать и пообщаться, постараюсь не говорить совсем уж банальные вещи и сделать эфир поинтереснее)

Как обещали продолжаем говорить о безопасной разработке в эфирах!

В следующий четверг, 11 августа в 18:00 зовем гостем Юрия Шабалина — ведущего архитектора Swordfish Security, автора канала @mobile_appsec_world и DevSecOps-евангелиста. А компанию составит специалист по безопасной разработке Awillix, эксперт в области внедрения и управления DevSecOps в организациях— Анастасия Худоярова.

Обсудим поиск секретов в коде, поиск уязвимостей и небезопасных конструкций.

До связи :)