Способы обхода SSL Pinning в iOS

Вечная и не теряющая актуальности тема, как обойти SSL Pinning, как посмотреть трафик приложения?

Есть очень интересный твит, призванный собрать разные способы с их плюсами и минусами. Как обычно, комментарии очень хорошо дополняют исходный текст и там больше информации и очень много полезных ссылок на самые разные материалы. Советую полистать этим субботним вечером.

Ну и компании по анализу мобилок тоже не остаются в стороне, блог от AppKnox, который также собирает несколько способов обхода Pinning. Ничего нового, но описано неплохо и как методичка подойдет вполне 😁

Всем хороших выходных)

#ios #pinning #ssl

Exploits in the wild

Всем привет, особенно любителям видео контента :)

Нашел интересный вебинар про эксплуатацию уязвимостей в Android. И это эксплуатация именно уязвимостей в самом Андроид, не в приложениях. Интересный формат, посмотреть, как на самом деле обстоят дела с Android и каким атакам подвергались пользователи 😈

Сам ещё не успел посмотреть, но чувствую, будет очень интересно. Добавил в закладки на выходные :)

Ну и дополнительно к видео - слайды.

#exploit #Android #0day

Oversecured теперь и для iOS

Мы все так долго этого ждали! Поздравляем @bagipro с релизом самого крутого статического анализатора под iOS!
Теперь наравне с Android можно искать офигенные баги и для iOS!

И дополнительно, можно посмотреть на код уязвимого приложения, которое содержит все популярные баги (и не делать так при разработке) 😁

Надеюсь, на этом исследования и новые релизы не закончатся и мы увидим ещё много интересных уязвимостей и ресерчей 😉

Enjoy!

#oversecured #ios

Уязвимости в WebView

В блоге OverSecured очередное отличное пополнение - статья по наиболее часто встречающимся багам в WebView (Android security checklist: WebView).

Статья будет полезна любой аудитории, как разработчикам, чтобы понять, какие проблемы существуют и как их недопустить, и безопасникам, чтобы понять, как эксплуатировать различные баги в WebView.

Ну а баги на любой вкус, XSS, обход проверок на проверку URL, инъекции JS и многое другое. Ну а вишенкой на торте стала ссылка на библиотеку, которая помогает получить доступ к private API, использование которого запрещено в обычных приложениях. А это значит, что бага с HierarchicalUri снова работает на последних версиях Android!

Спасибо @bagipro за прекрасный материал!

#Android #Oversecured #WebView #Bugs

Закончился Android Dev Summit, а значит появилось несколько видео по "нашей теме", которые можно посмотреть.
1. Best practices for making your app private by design - если внимательно смотрели Google I/O и мой обзор после, то ничего интересного в этом видео вы не найдете. Кроме более конкретных примеров кода, которые так или иначе можно добыть из документации.
2. Android Memory Safety Tools - а это уже для любителей самописных нативных библиотек в приложениях. Рассказывают о тулах, которые могут быть полезны разработчикам таких решений: HWASan, GWP-ASan и Arm MTE. Если не пишите нативный код руками, то не тратьте время.
3. The most interesting (and unexpected) submissions to the Android Security Bulletin - вы еще не читаете ежемесячные бюллетени безопасности? После этого видео начнете =) Заманивают в свою багбаунти и сулят 100 килобаксов за обход экрана блокировки и рассказывают про несколько интересных CVE-шек.
4. Introducing Play Integrity API: Protect your apps and games - в очередной раз рассказали про Integrity API, который похоже будет единым фасадом над SafetyNet (можем ли мы доверять устройству?) и Google Play Licensing (можем ли мы доверять приложению?). А это означает, что думать о квотах, фолбэках на девайсах без гуглосервисах и еще куче вещей все равно придется. Ну и конечно же это нельзя просто взять и попробовать прямо сейчас. Надо заполнить форму и объяснить гуглу зачем оно вам надо....

Ближайшие конференции

Парочка постов про конференции, которые пройдут в ближайшее время.

Первая, это Мобиус, я думаю, достаточно интересно для разработки + есть скидос по коду maw2021JRGpc

Программа конференции для мобильных разработчиков Mobius 2021 Moscow готова🔥

В ней — 34 доклада и 2 воркшопа о разных аспектах мобильной разработки. Вот список тематических блоков:
✔ Архитектура. Как строить проекты так, чтобы они работали правильно и не ломались.
✔ Инфраструктура. Доклады об организации IT-процессов и инструментах для этого.
✔ Качество продукта. О том, что делать и чего не делать, чтобы результат был крутым.
✔ Под капотом. Копаемся во внутренностях инструментов и платформ, чтобы лучше их понимать и эффективнее использовать.
✔ Тренды мобильной разработки. Что-то набирает популярность, что-то теряет актуальность — выясняем, что брать в прод.

Среди спикеров — Кирилл Розов, Giorgio Natili, Николай Иготти, Виталий Фридман.

Полная программа на сайте — переходите туда, чтобы узнать больше и выбрать билеты.
А промокод maw2021JRGpc поможет приобрести Personal Standard билет по цене прошлого месяца.

Ближайшие конференции, часть 2

Следующей достаточно интересной конфой может стать конференция от NowSecure (не смотря на то, что прошлые их семинары были слабоваты), что-то мне подсказывает, что эти выступления будут интересными. Обещают переработку OWASP Mobile 🙀 и много докладов про то, какой хороший у них инструмент )))

В общем, можно сходить на несколько интересных докладов, не относящихся к их продукту)

Hi everyone,
on November 16th - 17th, 2021 next Tuesday Nov 16, 2:30 PM EST / 8:30 PM CET we will be giving a nice talk at the virtual NSConnect: https://events.bizzabo.com/NSConnect21/agenda/session/634089
We’ll be introducing most of the big changes that will come to the OWASP MASVS and MSTG including the big refactoring of the MASVS verification controls. We’re very excited to share this with you all!
You can register for free here using the promo code HOLGUERAC21:
https://events.bizzabo.com/NSConnect21/home
There will be a lot of Mobile Application Security focused sessions including some from the creators of radare2 and Frida and from our great OWASP members such as @Vandana and @Steve Springett
Please share around, there’s still time and everyone’s welcome!

Получение строк из dex файла

В соседнем чате возник интересный вопрос, как получить все строки из apk, а именно из dex-файла?

Действительно, в случае с бинарниками всё просто, воспользоваться стандартной утилитой strings и получить строки, с которыми дальше уже можно делать угодно.

Но в случае с dex такой подход не сработает (вроде). На просторах гитхаба был найден скрипт, который умеет быстро выводить строки. Можно легко собрать ссылки, понять, используется ли где-то http, может найти пару-другую ключей шифрования 😅

Сам ещё не пробовал, но в ближайшую неделю точно придется :)

#Android #dex #strings

Получение строк из dex файла, часть 2

В комментариях @IkeMurami подсказал еще несколько полезных инструментов, которые умеют делать аналогичные вещи: androguard (правда давненько не было обновлений) и lief.

Оба имеют достаточно интересный функционал по анализу, и если androguard работает преимущественно с Android, то lief умеет работать с намного большим количеством форматов, включая и iOS-ный MachO.

Пример кода на основе LIEF:

from pathlib import Path
import lief

lief_dex_file = lief.DEX.parse(’my.dex’)
if lief_dex_file.strings:
print('I have strings')
for s in lief_dex_file.strings:
// do smth
print(s)

Так что, не китайским кодом едины :)))

Спасибо за то, что оставляете комментарии, это очень помогает и очень полезно!

#Android #iOS #dex

Delivery Club опубликовали решение задачи, которую я публиковал некоторое время назад. Ощущение искусственности самой задачи, которое у многих возникло - полностью подтвердилось =) Но это ничуть не умаляет заслуг человека, который эту задачу решил и написал репорт (он и приведен в статье).
Лично у меня, после прочтения репорта, возникло ощущение того, что эта задача - демо-версия вот этого челленджа. Рекомендую прочитать write-up-ы к нему, они довольно интересны.

Доклады с BlackHat EU

Подъехала пачка докладов с блэкхата по нашей тематике. Есть хардкорные вещи про эксплуатацию уязвимостей в ядре и более приземленные для простых смертных.

1. The art of exploiting UAF by Ret2bpf in Android kernel
Хардкорная история и описание эксплойтов для ядра Андроида.
Презентация и сопутствующая к ней статья

2. Re route Your Intent for Privilege Escalation (A Universal Way to Exploit Android PendingIntents in High profile and System Apps).
Любимая всеми тема с перенаправлением интентов и получением привилегий. Очень интересный доклад. Кстати, Oversecured умеет эти баги находить в статике, а мы скоро научимся в динамике их подтверждать :) Тут преза

3. A Deep Dive into Privacy Dashboard of Top Android Vendors
Анализ того, как работает Privacy Dashboard у различных вендоров и что под капотом у него. Преза

Как будут видосы (или как я их найду), обязательно выложу или дополню пост) Презы это конечно хорошо, но хотелось бы и сам доклад глянуть.

#blackhat #android #talks

Большой сборник материалов по iOS

На соседнем канале, посвященному iOS опубликована шикарная ссылка на гитхаб репозиторий, который содержит в себе большое количество статей, книг, writeup по уязвимостям, обнаруженным в iOS и в целом по безопасности iOS

#iOS #Security #Books

Here you can find write ups for iOS Vulnerabilities that have been released. 👽🔌


URL - https://github.com/writeups/iOS

#IOSAppSec #IOS #Learning #Hacking

Workshop по безопасности Android

Нашелся тут достаточно интересный Android Security Workshop, состоящий из трёх модулей, в каждом из которых разбирается много интересных вещей, не только про уровень приложений, но и о самой архитектуре Android и моделях безопасности.

Состав курса:
Модуль 1:
- Access Control In the Android OS
- SELinux
- Application Signing
- Permission Based Access Control
- Hardware Based Security Features

Модуль 2:
- Application Components
- WebViews / Use and Abuse
- The Window Manager / Use and Abuse
- Accessibility Service, Admin API, DCL, Reflection / Use and Abuse

Модуль 3:
- The Java Native Interface


Достаточно неплохой материал, помогает понять, как устроены механизмы внутри. А зная это, можно уже переходить и к более интересным вещам 😉

Кстати, у автора ещё много интересных статей, которые можно почитать. И он же является автором небезызвестного фреймворка Medusa.

#Android #Workshop #Slides

Анализ приложений при помощи Jadx и Frida

Пару дней назад релизнулся один из самых классных декомпиляторов - jadx! Проект очень быстро развивается, автор очень быстро фиксит баги и добавляет функционал (кстати это тоже наш соотечественник).

В связи с этим радостным событием хочу порекомендовать статью для начинающих, анализ и модификация приложений при помощи jadx и frida.

Для матерых специалистов будет мало что полезного, но для тех, кто начинает свой путь, вполне годно. Рассказана основа, структура apk, как использовать jadx, что искать и что с этим потом делать 😀

Полезная штука в общем. Ну и для тех, кто любит пообходить всякое, автор написал приложение, которое имплементирует SSL Pinning на нескольких разных популярных фреймворках. Можно попрактиковаться и открутить их всех! :D

Статья, кстати, от автора тулы для перехвата трафика, которая обещает автоматический сетап для браузеров, мобилок, приложений на электроне и т.д. Не знаю, зачем я это написал, но она OpenSource, может кому пригодится доя быстрого анализа)

#https #frida #jadx #ctf #pinning #mitm

Изменения в MASVS и MSTG

Не так давно прошел митап от OWASP, где обсуждались изменения и будущие улучшения в главных документах для мобилок от OWASP (стандатрте MASVS и гайду MSTG).

Обещают автоматическую генерацию чеклистов на основании MASVS, глобальную переработку структуры и контента, более прозрачную связь между этими документами.

Насколько я понял, бегло пробежав по видео - можно подискуровать и предложить что-то своё в issue на github или присоединившись в Discord.

Интересная и правильная активность, постараюсь в ближайшее время посмотреть подробнее и накидать ссылок на самые интересные изменения.

Посмотреть весь доклад можно на YouTube.

Плюсом к обсуждению переработки документов, на том же вебинаре можно посмотреть доклад Cracking Android PINs.

#owasp #masvs #mstg

А вот и описание второго доклада на канале от @OxFi5t с мероприятия OWASP.

Я до него так и не добрался, посмотрев только первую часть про обновление OWASP Mobile. Как оказалось зря :))

Интересный доклад с прошедшего недавно митапа OWASP Melbourne, в котором рассказывается история человека пытающегося обойти экран блокировки путем подбора пин-кода. tl;dr - обошел с помощью NetHunter-а, OTG кабеля и самописного скрипта для брутфорса. Скрипт забирайте здесь.
Доклад совершенно ненапряжный и его можно посмотреть просто по фану. Там показано довольно много способов решения этой задачи и не исключено, что те, котрые не сработали у него - сработают у вас.
Способы такие:
1. Попробовать руками первые 20 вариантов из списка DataGenetics Research
2. Проверить комбинации важных дат (дни рождения, дни свадьбы, последние 4 цифры номера телефона, слова вроде LOVE,FUCK,etc... в T9 варианте)
3. Использовать Find My Device от Google
4. Использовать Find My Mobile от Samsung (или аналоги от других вендоров)
5. CVE-2015-3860 - крэш экрана блокировки на Samsung. Можно поискать аналоги у других вендоров
6. Использовать ADB чтобы удалить файл с пин-кодом/паттерном /data/system/gesture.key
7. Воспользоваться вот этим списком из еще 7ми способов с форума XDA
8. Попробовать специальные утилиты и устройства для мобильной криминалистики (forensic tools): Cellebrite, Oxygen, XRY, GrayKey, Octoplus, Odin + TWRP
9. Поискать публичные эксплойты
10. Использовать USB Rubber Ducky или аналоги (опционально спаять свой)
999. Выполнить сброс к заводским настройкам

Happy hacking 😎