Анализ Xamarin-приложений.

Хотя я и очень не люблю кроссплатформенные приложения, но приходится весьма часто иметь с ними дело.

В последнее время, это конечно все больше Flutter, но встречаются еще и на других платформах.

Одна из таких платформ - это Xamarin. В статье очень здорово описана сама технология, есть описание структуры и архитектуры таких приложений, а также перечислены различные инструменты и техники по анализу подобных приложений.

Если вы никогда не сталкивались с подобным и вот нужно что-то проанализировать, эта статья отличная отправная точка для этого.

Кстати, в соседнем чате от @OxFi5t тоже есть очень классный совет по Xamarin-приложениям, переходите, читайте обязательно :)

#xamarin #reverse #tools

Конференция SmartDev

Внезапно обнаружил, что на конфе, где буду сегодня выступать есть online трансляция :)

Так что, если есть желание послушать про разные обыденные или интересные уязвимости, которые мы встречаем при анализе мобильных приложений, подключайтесь послушать!

Трансляция в 17:45 на сайте конференции, зал 4 «Безопасность».

Ну и если кто-то на конфе, приходите поболтать :)

#conf #mobile #smartdev

Ого, как теперь все сложно =)

Начиная с Android 14, Google немного решили закрутить гайки и вместо привычного /system/etc/security/cacerts, все CA сертификаты будут загружаться из неизменяемого контейнера /apex/com.android.conscrypt/cacerts.

Это значит, что монтировать /system/ на RW и класть туда сертификаты, как это можно было делать в старых версиях Android, теперь бесполезно, а в новый каталог — невозможно.

Поэтому, если вы захотите перехватывать трафик на новых устройствах, придется следовать другому алгоритму:
1. Монтируем tmpfs в любую директорию (я буду использовать старую /system/) и закидываем туда сертификаты из APEX

mount -t tmpfs tmpfs /system/etc/security/cacerts
mv /apex/com.android.conscrypt/cacerts/* /system/etc/security/cacerts/

не забывая в конце туда же положить сертификат Portswigger или любой другой.
2. Используем nsenter, чтобы забиндить каждый новый процесс и заставить его ссылаться на нашу директорию в качестве APEX-контейнера

nsenter --mount=/proc/$ZYGOTE_PID/ns/mnt -- \
    /bin/mount --bind /system/etc/security/cacerts /apex/com.android.conscrypt/cacerts

Zygote порождает приложения, а мы его один раз перенастраиваем на использование новых неймспейсов, где в качестве неизменяемой директории APEX, — наша новая директория, которую мы можем редактировать.

для уже запущенных можно сделать так

nsenter --mount=/proc/$APP_PID/ns/mnt -- \
    /bin/mount --bind /system/etc/security/cacerts /apex/com.android.conscrypt/cacerts

Вуаля, теперь можно заворачивать и снифать трафик, как и раньше. Чтобы не мучиться каждый раз с вводом команд и поиском нужных PID, прикладываю готовый скрипт с комментариями.

Сториз от канала

Всем привет!
Телега анонсировала интересный механизм для каналов, короткие сториз.
Хочу иногда разбавлять таким форматом текстовый контент.

Но для этого необходимо ваше согласие :)

Так что, у кого есть премиум телега и вам был бы интересен такой формат, прожмите кнопочку, пожалуйста, посмотрим, что из этого выйдет ;)

https://yangx.top/mobile_appsec_world?boost

#boost #stories

Встреча Mobile Appsec Club

Всем привет!

Как и говорил в прошлом сообщении, хотим попробовать новый формат и собраться вместе в среду вечером, выпить и послушать (по результатам опроса) классные истории из жизни, интересные баги или просто поболтать.

Встречаемся 4-го октября, в среду в баре Wino bar (Москва, Марксистская улица, 20 стр1)
Буду очень рад всех увидеть, ну а кто захочет что-то рассказать, с меня пиво 😉

И вот вопрос, во сколько было бы комфортнее всего начать, учитывая, что это рабочий день? Ответьте пожалуйста, а завтра-послезавтра определимся со временем старта!

#mobileappsecclub #beer

Всё, что вы хотели знать о Content Provider, но боялись спросить

Всем привет!

И для этого пятничного вечера я принес несколько классных новостей. Во-первых, это замечательная статья про практически все потенциальные возможности атаки на приложения через Content Provider (я думаю, что все-таки не все, уверен, кто-то еще знает несколько способов, но молчит и тихо их использует). В статье описаны несколько способов получения данных и как этих проблем избежать. Я бы рекомендовал эту статью не только тем, кто любит ломать приложения, но и разработке, чтобы посмотреть на свои компоненты с другой стороны.

Ну а для тех, кто любит послушать и посмотреть, есть отличное интервью Critical Thinking и автора OverSecured - @bagipro.

#android #contentprovider #oversecured

Ну и всем, конечно, хорошего вечера!

Встречаемся завтра!

Всем привет!

Уже завтра пройдет наш первый сабантуй :)

Стартуем в 20:00, собираемся примерно к этому времени. Я буду на месте около 19, так что приезжайте, как будет удобно!

Добавляйте в календари, чтобы не забыть!

До встречи и пусть все пройдет хорошо :)

#mobileappsecclub

а у нас все камерно и уютно :)

Будьте бдительны на фронтах идеологической борьбы

Ребят, меня тут только что пытались нагло просоциалить.

Суть такая, берут контакт из известных вам (в моем случае это админ из канала), делают аккаунт в телеге с очень похожим ником и очень похожим именем и пишут вам с целью занять денег.

Само собой, злодей был раскрыт и обезврежен)) но будьте бдительны и тщательно проверяйте имена пользователей, номера телефонов и аккаунты, с которых вам пишут)

будьте бдительны и не ведитесь на подобные разводы!

P. S. Еще одним фактором, что вас разводят будет плашка вверху (добавить контакт/заблокировать), которая точно не появляется, если этот контакт уже есть у вас в списке, так что тоже обращайте на это внимание!

#phishing #socengineering

Итоги первого Mobile AppSec Club

Всем привет!
Немного запоздало хочу поблагодарить всех, кто смог найти время и силы выбраться в дождливую среду на нашу первую встречу!

Как по мне было крайне уютно, отлично посидели, познакомились, послушали прикольные истории, получился такой импровизированный ИБ-стендап :) Спасибо всем, кто выступил и поделился своими историями из жизни и посмеялся вместе с нами)

Был очень рад вас всех увидеть и познакомиться лично с теми, кого еще не знал!
Мне кажется, что подобное мероприятие надо будет обязательно повторить!

Так что, друзья, до новых встреч!

А я буду продолжать выкладывать интересные статьи, новости и инструменты, может как раз какой-то из них и обсудим на следующей встрече :)

#mobileappsecclub #thanks

Еще один комбайн для анализа приложений - MMSF

Нашел еще один комбайн по анализу мобильных приложений, под названием MMSF (Massive Mobile Security Framework). Да, с фантазией относительно названия тут явно не задалось.

Что он из себя представляет? По факту это интерактивный шелл, по своему принципу очень напоминающий Drozer (очень похожий выбор модулей, навигация, конфигурация и т.д.). Внутри это набор различных питоновских модулей, которые взаимодействуют с устройством и приложением внутри него.

Внутри опять-таки спрятана фрида и набор вполне базовых скриптов (обход рута/эмулятора, SSL Unpinning) и другие похожие вещи. Из интересного я бы отметил скрипт по патчу приложений для использования через objection на нерутованных/незаджейленных устройствах. Это по факту некоторая автоматизация из официальной документации по включению в пакет приложения специальной библиотеки.

Также интерес может предоставлять опция scan, но что происходит внутри и насколько там корректно реализованы проверки я пока еще не смотрел, но в самое ближайшее время собираюсь.

По первому впечатлению - это тот же дрозер, только более навороченный, возможно будет удобнее для каких-то ручных проверок, если у вас нет автоматизации для проверки, например, контент-провайдеров.

Ну и так как репозиторий относительно молодой (от июня 2023 года), он все еще развивается (4 дня назад последний коммит). Будем наблюдать, посмотрим, что у автора в итоге получится.

#android #ios #tool #combain #mmsf