Как подружить Frida и Unity

Надеюсь, вы ещё не устали от кучи гайдов, которые учат как запустить "hello world" при помощи Frida?) Этот гайд похож на такие, но есть одно но. Это дополнение а основному контенту - видео.

Гайд по инструментации Unity приложений при помощи Frida, сопровождается детальным описанием по настройке среды, установке всего хозяйства, описанием базового функционала и, главное, самое ценное, часовой видео туториал по особенностям Unity и Frida!

Вряд-ли мне когда-то придется анализировать такие приложения по работе, но just for fun, почему бы и нет 😁

#Android #Unity #Frida

Напоминает историю с Xcode для Китая с закладкой. Тогда много приложений на Китайском рынке зацепило.
Интересно, что-то подобное будет ли здесь? :)

Хакерская группа внедрила вредоносное ПО в эмулятор Android NoxPlayer

Неизвестная хакерская группа взломала серверную инфраструктуру популярного эмулятора Android и доставила вредоносное ПО своим жертвам по всей Азии. Число пользователей эмулятора превышает 150 млн человек.

Слез с Bluestacks и NOX ещё полгода назад 😉

Давно хотел сделать этот формат и похоже звезды сошлись. В этот четверг 04.02.2021 в 19:00 по MSK, запишем подкаст с Павлом Васильевым - android-разработчиком с большим интересом к информационной безопасности.

Я люблю ковыряться со всякими необычными интерфейсами, работал в андроиде с NFC, Bluetooth, USB. Работал с разными бесконтактными карточками, кассовыми аппаратами на android, работал с аппаратными модулями безопасности.

Павел пишет статьи и выкладывает свои наработки на GitHub. Все ссылки будут в шоуноутах.

До встречи в эфире!

https://youtu.be/c_2RNgb8WXA

Думаю, что будет очень интересно! :)
Ставим в календарь, не забываем, подписываемся)

На самом деле очень приятно, что становится всё больше материалов на русском языке в нашей интересной области!

Несколько интересных уязвимостей в Facebook

Похоже, что кто-то неплохо покопался в приложении Facebook и нашел там ряд занятных уязвимостей. И спасибо автору, что про них написал, хотя мог бы и поподробнее вообще-то 😁

Первая уязвимость связана с возможностью запуска deeplink. Интересный вектор, связанный с добавлением в интерфейс нового элемента, который контролируется злоумышленником.

Вторая уязвимость связана с возможностью обхода ограничений "закрытых страниц", на которых нельзя сделать снимок экрана. Способ обхода достаточно прост - закрытая страница открывается в WebView вместо стандартного компонента и защита не работает.

В этой баге меня больше всего радует ответ Facebook: "Да там куча возможностей обойти этот механизм, спасибо, что рассказали ещё об одном" 😂 Типо мы знаем, но чот сложно всё закрыть, так что пофиг)

#Facebook #Android #Writeup #Vulnerabilities

Разбор Flutter

Почему-то очень знакомая статья по виду, но не помню, чтобы я её скидывал.

Введение в реверс flutter приложений, где неплохо расписана вводная часть, про то как он устроен, что мы видим со стороны реверса, основные особенности.

Не так, чтобы это была методичка по анализу, но для понимания как и что устроено подойдёт отлично!

#flutter #android #reverse

Улучшение механизмов безопасности на основе данных

Неплохая статья от Google по механизмам защиты в Android и как они выбираются и внедряются.

Увлекательный рассказ о том, как именно определяется области а Android, которые требуют усиления безопасности. Google анализируют данные от внешней программы багбаунти, от внутренних пентестов (их команда Red Team), а так же данные с фаззеров на эмуляторах и реальных устройствах.

Интересно почитать, про то, что делает такой гигант для безопасности своей платформы 😁

#Android #Google #Data

Онлайн анализатор Android приложений

Недавно появилось упоминание бета версии анализатора для выявления уязвимостей в мобильных приложениях под названием Pithus.

По словам автора это совсем бета, работает на небольших ресурсах и ограничивает выдачу 50-ю результатами.

Анализ Pithus основан на нескольких хорошо известных инструментах:
- APKiD
- ssdeep
- Dexofuzzy
- Quark-Engine
- AndroGuard
- MobSF
- Exodus-core
- MalwareBazaar

Честно говоря, сам ещё не успел попробовать, но ожидаю, что без корреляции уязвимостей от разных инструментов это будет просто агрегированный отчёт из кучи инструментов. Хотя это тоже не так уж и плохо.

Исходный код проекта на github тут.

#Android #Tools

Обновление политики конфиденциальности Apple

Ещё в прошлом году вышло обновление политики конфиденциальности загружаемых приложений в AppStore. Теперь на странице загрузки можно посмотреть всю информацию, которую собирает приложение.

Все очень долго обсуждали тему с данными,которые собирает Facebook, там было целых 3-4 экрана всего, что они коллекционируют)) мне кажется нет ни единой крошки информации, которое бы это приложение не собирало)))

Но! Сегодня речь немного о другом, а именно о приложениях Google. Я не знаю, правда это или нет, так как проверять все их приложения времени особо нет, но на фотографии ниже представлены обновления приложений от Google. Большая часть из них последний раз обновились аккурат до 8-го декабря...

Я посмотрел на пару популярных: карты, почта, календарь, youtube. Из них только youtube загружен недавно..

Совпадение, заговор или просто приложения настолько идеальны, что их больше не нужно обновлять?)) Не знаю, с чем это связано, но сам факт очень интересен, почему нет обновлений на протяжении уже нескольких месяцев?)

Вышла статья от Паши Васильева, с которым мы общались недавно в подкасте.

В статье подробно рассказывается, что плохого можно сделать с вашим телефоном если на нем разблокирован загрузчик. Всем любителям "root это мой выбор, я хочу решать сам!" посвящается 😉

Как говорил ранее - рекомендую прочитать ее всем, независимо от вашего уровня. Она реально крутая.

https://habr.com/ru/post/541190/

Сам выпуск, в котором обсуждали эту статью уже доступен на различных подкаст площадках.

Google Podcasts - https://podcasts.google.com/feed/aHR0cHM6Ly9hbmNob3IuZm0vcy80YjMyODkxYy9wb2RjYXN0L3Jzcw==

Apple Podcasts - https://podcasts.apple.com/us/podcast/android-guards-community-podcast/id1552280775

Или поищите в своем плеере подкастов, возможно есть уже и там.

Способ MiTM при помощи VPN

Я уже как-то писал о способе завернуть трафик мобильного приложения через прокси при помощи VPN. А также при помощи API Android, но без VPN сервера.

И сегодня наткнулся на похожую статью, но с немного другим гайдом, попроще.

Это может помочь в случае, если приложение игнорирует настройки операционной системы по использованию Proxy. Немного наркоманский, но всё же способ :)

#VPN #MiTM #Proxy

Google продолжает радовать неплохими документами. На этот раз они собрали хороший чеклист, по основным требованиям к качеству Android-приложений. Это не какое-то божественно откровение, просто хороший чеклист. Нас, как обычно, интересует "шо там по безопасности". Рекомендации (или требования) опять же довольно стандартные, но удобно, что собраны в одном месте и без воды (в отличие от этого сообщения).

Коротко, что имеем:

- Запрашивать как можно меньше разрешений
- Без крайней нужды не запрашивать разрешения на возможности, которые тратят деньги пользователя (SMS и звонки)
- Запрашивать разрешения в контексте функциональности, а не "на всякий случай" при старте приложения
- Объяснять пользователю зачем запрашиваете разрешения
- Вся конфиденциальная информация должна храниться только во внутреннем хранилище (internal storage)
- ПД и прочая конфиденциальная инфа не должна попадать в логи
- Не использовать хардварные идентификаторы, такие как IMEI для идентификационных целей
- Предоставлять подcказки для autofill фреймворка
- Интегрировать One Tap Sign-up/Sign-in
- Интегрировать биометрическую аутентификацию
- Экспортировать только те компоненты, которые должны делиться данными с другими приложениями
- Все интенты и бродкасты должны следовать лучшим практикам безопасности (почитайте по ссылке, там много)
- Все контент провайдеры, которые шарят данные между вашими приложениями должны использовать protectionLevel=signature
- Весь сетевой трафик отправляется только по SSL
- Должен быть настроен пиннинг через network security configuration
- Если приложение использует сервисы Google Play, то security provider нужно инициализировать при старте приложения
- Все библиотеки должны иметь актуальные версии
- В приложении не должно быть отладочных библиотек
- Не использовать setAllowUniversalAccessFromFileURL() в WebView для доступа к локальному контенту. Вместо него нужно использовать WebViewAssetLoader. На Android 6.0 и выше, вместо этого нужно использовать HTML message channels.
- Приложение не должно динамически загружать код (dex файлы) из внешних источников. Нужно использовать App Bundles.
- Приложение должно использовать лучшие криптографические алгоритмы и генераторы случайных чисел из доступных на платформе, а не реализовывать свои алгоритмы шифрования.

https://developer.android.com/docs/quality-guidelines/core-app-quality#sc

Обновление книги Android Internals
Ух ты! Под новый год оказывается вышло обновление одной из самых классных книг по Android - "Android Internals: A Confectioner's Cookbook" с дополнениями по Android 10, 11 и кучей новой информации.

К сожалению, на просторах интернета не найти, но, тот кто любит такие вещи, должен оценить. Я вот собираюсь себе заказать :)

Если что, первое издание есть в подборке книг тут

#books #Android #Internals

Вступление про безопасность iOS

@testing_guy продолжает радовать ссылками, спасибо! На этот раз видео с недавно прошедшей (в 2020 году) конференции по iOS про то, как сделать iOS приложения более безопасными!

Я с удовольствием посмотрел это видео, оно отличное для того, чтобы вкатиться в тему и получить представление об угрозах касательно iOS, узнать про OWASP и т.д.

Я сначала удивился, что такие простые вещи рассказывают на конференции в 2020 году! Чувак рассказывает про Owasp Testing Guide и показывает примеры на уязвимом приложении от того же Owasp. Но потом посмотрел и всё понял, это конференция разработчиков, так что норм :)

На самом деле, в тренингах я тоже много рассказываю и про овасп и про тестинг гайды и прочие основные вещи. Так что видео очень хорошее для для тех, кто хочет приобщиться к теме безопасности iOS и понять,на что смотреть.

Приятного просмотра!

#iOS #OWASP #Talks

О! Шикарная тема аутентификации по пину :)

Приходите поспорить и пообщаться, думаю, есть, что обсудить)

Я часто говорю про аутентификацию по pin-коду, но еще чаще я слышу вопросы на эту тему. При кажущейся простоте, тема весьма глубокая и неоднозначная. В четверг (18.02.2021) поговорим на эту тему максимально подробно и разберемся, какие есть проблемы у локальной аутентификации по короткому коду. Кроме очевидной теории, конечно же пощупаем это на практике! Взломаем pin-код реального приложения в прямом эфире и поговорим как улучшить текущую реализацию локально и с применением сервера.

https://youtu.be/XTzOD9CnK6U

Эксплойт для всех Samsung девайсов

Боже, это прекрасно!
Приложение без разрешений, которое автоматом становится администратором устройства и получает огромное количество власти, в том числе и удалять другие приложения :D

Вроде как подвержены все Самсунги) как хорошо, что у меня Сяоми и там уже всё давно предустановлено из коробки)))

Ждём подробностей от лучшего Android багхантера и автора этой новости - @bagipro

#Android #Samsung #Exploit