Бесплатный митап Sber Mobile Meetup — 7 декабря, 17:00, онлайн

Сбер при поддержке JUG Ru Group проведет онлайн-митап для мобильных разработчиков. В программе — три доклада от специалистов, которые работают над сервисами Сбера:

– Андрей Попов — «Современный подход к анимациям в UICollectionView». Доклад об анимациях, применимых к коллекциям с помощью современных API в iOS SDK.
– Дмитрий Исаев — «Clean MMVM c Combine, SwiftUI в продакшене». Узнайте, как команда Сбера применила этот стек к большому объему бизнес-логики, вдохновившись Clean Code от дядюшки Боба Мартина.
– Андрей Данилов — «Как (не) ускорить сборку Android-проекта». Андрей расскажет, как не наступить на грабли при ускорении сборки: исправить порядок репозиториев зависимостей и найти альтернативы для неэффективных инструментов.

А еще вы сможете задать спикерам вопросы после докладов и пообщаться с коллегами в Spatial chat.

Участие бесплатное, нужно только зарегистрироваться. Ждем вас!

🚩Конференция OFFZONE пройдет 25–26 августа 2022 года 🚩

Международная конференция по практической кибербезопасности OFFZONE уже в третий раз пройдет в Москве с 25 по 26 августа 2022 года в очном формате.

Тщательно подобранный контент, любимое комьюнити и, конечно, уютная атмосфера постапа — все остается на местах.

К сожалению, ни в прошлом, ни в позапрошлом годах конференцию провести не удалось в связи со сложной эпидеомиологической обстановкой. К счастью, правила проведения массовых мероприятий более-менее устаканились, поэтому удалось определиться с датой.

Почему не онлайн? Организаторы отказались от этого формата, чтобы не потерять дух OFFZONE! Как ни крути, а живое общение и атмосферу ничем не заменишь.

Билетов пока нет в продаже, но уже скоро они появятся — планируйте бюджет заранее. Если у вас остался билет на OFFZONE 2020, то вы не только сможете посетить OFFZONE 2022 по нему, но и получите эксклюзивные футболки за верность конференции!

Цены, локация, спикеры, доклады — обо всем этом позже.

Следите за новостями на сайте конференции и в соцсетях:
• Телеграм-канал
• Twitter
• Instagram

Реверс протокола камер Reolink

Достаточно давно интересуюсь системами умного дома и в целом устройствами IoT.

И вот наткнулся на очень интересную статью про реверс проприетарного протокола камер Reolink с целью его преобразования в популярный и народный RTSP.

Чем она приглянулась и почему решил поделиться с вами? В статье много инструментов, которые мы часто используем, тут и Wireshark, анализ firmware, использование Ghidra, поиск строк, использование gdb, strace и многое другое. Интересно посмотреть на использование таких знакомых вещей под немного другим углом 😄

Надеюсь вам тоже будет немного интересно почитать, а может даже и полезно 🙃

#Reolink #iot #smarthome #reverse

Взлом Google Pay, Samsung Pay и Apple Pay

Все мы пользуемся таким уже привычным NFC. Ведь это так удобно, взял с собой телефон и никакие карты или наличка уже не нужны. Но как это работает внутри и главный вопрос - насколько это безопасно?

Я столкнулся с проблемой лично только один раз, когда ехал в автобусе, читал очередную статью, во время поворота неудачно прислонился вплотную к валидатору. И оплатил поездку, хотя не собирался этого делать 😄

Эта ситуация стала поводом начать разбираться в процессе привязки, оплаты, подтверждения и всего остального, связанного с картами в телефоне. Стало просто интересно, а что еще можно сделать и каким образом?

В процессе ознакомления мне много помогали коллеги из банковского сектора, а также шикарные материалы от Тимура Юнусова, потрясающего researcher'a и автора многочисленных статей по безопасности и различным атакам на банковские карты:
- Ата­куем бес­контак­тные кар­ты
- Как работа­ют ата­ки на чиповые кар­ты
- Как хакеры кра­дут день­ги с бан­ков­ских карт
- Раз­бира­емся, как работа­ют сис­темы безопас­ности кре­дит­ных карт

Очень рекомендую их прочитать (а еще посмотреть его выступления), чтобы понять как все устроено и какие атаки в принципе возможны. Написано очень и очень подробно с максимальным погружением в тематику.

Но сегодня не об этом, а о новой статье Тимура - "Взлом Google Pay, Samsung Pay и Apple Pay". Да, это как раз статья о том, какие атаки становятся возможными благодаря такой удобной и полезной функциональности наших устройств - бесконтактная оплата.
Не хочу раскрывать все детали, приведу лишь несколько слов автора, после которых очень хочется перечитать статью еще раз:

Атаки, которые возможны до сих пор:
1. Транспортная карта Visa + ApplePay — безлимитные платежи на заблокированном, разряженном или украденном устройстве. Также до сих пор возможны платежи по кошелькам Visa + Google Pay, тут с 2019 года ничего не изменилось.
2. MasterCard + Google Pay — возможно клонирование транзакций, когда украденной информации будет достаточно для совершения определенного числа платежей.
3. Остальные вариации карта + кошелек — атаки возможны только при манипуляции Transaction Stream.

Статья размещена на Хакер и пока что находится в закрытом доступе, но спасибо автору, он отправил мне PDF, чтобы все могли прочитать и ознакомиться с результатами исследования. И это действительно того стоит, очень и очень рекомендую всем, кому интересна тема бесконтактных платежей, как они устроены и как получить деньги с разряженного iPhone.

Приятного чтения!

#visa #mastercard #applepay #samsungpay #googlepay #research

Больши митапов богу митапов

Продолжая тему с онлайн-мероприятиями для разработки - завтра пройдет митап от Luxoft и JUG Ru Group. Я бы про Flutter послушал))

На самом деле не хочется превращать канал в доску объявлений, но в последнее время много кто проводит бесплатные вебинары/семинары по разработке и иногда по безопасности. Наверное, это все конец года, когда времени осталось немного, а планов куча (как это знакомо).

Так что если вы проводите какое-то бесплатное мероприятие или платное, но готовы сделать скидку/выдать мерч/какие-либо плюшки подписчикам канала или разыграть пару билетов, я готов это запостить)

И отдельная просьба тем, кто читает, напишите в комментах, в целом полезные такие анонсы или нафиг их?

Полный гайд по платформе iOS

Наверное один из самых полезных, структурированных и интересных гайдов по платформе iOS от @vadimszzz (также гайд доступен на habr, там можно оставлять комментарии).

Включает в себя огромное количество информации, начиная от обзора платформы, инструментов и до различных приемов и последовательности действий для анализа приложений!

В конце каждого раздела большое количество ссылок на статьи, инструменты и документацию, которые могут помочь разобраться дальше.

Безумно полезный и качественный материал, спасибо большое тебе еще раз @vadimszzz 😃 Сохранил себе в закладки и думаю не один раз еще загляну во время анализа или для понимания того, как и что устроено в iOS

#ios #analisys #overview

Использование шифрования в мобильных приложениях

Новая статья от Oversecured - "Use cryptography in mobile apps the right way" отвечает наверное на самый частый вопрос, зачем мне шифровать данные, если они и так находятся внутри песочницы приложения? Они же уже защищены!

И конечно, ответ на этот вопрос есть в статье! Я думаю, @bagipro может всех нас научить, как доставать внутренние файлы приложений самыми разными способами:
- через WebView
- через получение доступа к произвольным * контент-провайдерам
- через неявные интенты
- сотни других примеров, не освещенных в статьях в блоге (надеюсь пока не освещенных)

Надеюсь, что вечер пятницы теперь пройдет намного интереснее, учитывая количество отсылок на различные материалы в статье 😄

#oversecured #crypto

Новый релиз MSTG

Быстрый анонс всем известного Mobile Security Testing Guide.
Несколько часов назад вышла новая версия этого замечательного гайда.

Пока что, всех обещанных изменений в нем нет, но какие-то первые шаги уже прослеживаются. Из глобальных изменений:
- Replace Outdated Drozer when Possible
- Update iOS Binary Protection Checks
- Add iOS Debugging Symbols Inspection
- Add APK Signature Scheme (v4) by @Saket-taneja
- Add Patching Example for Debugging iOS Apps
- Add check for JWT Claim by @Saket-taneja
- Add section Loaded Native Libraries by @cpholguera
- Add Visual Studio App Center by @anantshri
- Add Privacy Labels and Rework Privacy Chapter

Так что гайд стал чуть более актуальным :)

#owasp #mstg #release

Новый год к нам мчится

Друзья, спасибо всем вам огромное за то, что весь этот непростой год читали, обсуждали, комментировали и всячески поддерживали этот скромный канал по безопасности мобильных приложений :)

Надеюсь, что материалы, статьи и инструменты хоть немного помогли вам в работе, а может просто разнообразили вашу ленту и контент)

Под конец года было очень много приятных забот и рабочих задач, так что поддерживать регулярность материалов было непросто. Но, я очень надеюсь взять себя в руки и в следующем году порадовать более стабильными постами.
Ну и конечно, не обойдется без новых форматов и идей)

Так что всем счастливого года, творческих и профессиональных успехов и главное, здоровья и гармонии!

Ура! 🎄🥳🍾🥂

#newyear

Ну и не могу не зарепостить новость и статью от @OxFi5t из его канала)

Спасибо тебе за уникальный контент, что ты делаешь! И ждем новых интересных вещей в следующем году!

Это будет крайний пост в этом году и я выбрал для него статью, которая очень подходит к такому событию.

Android Component Security | The Four Horsemen

В статье дается пусть и базовая, но очень хорошо структурированная информация о том, как можно атаковать компоненты android приложений. Автор не стал в очередной раз разгонять про “зопускаем др0узер...”, а рассказал про вектора атаки и показал код, которым эти атаки реализуются. Подробно описывать не буду. Наливайте чай, кофе, какао, каркадэ, берите шаурму или гоячую ачму и читайте ;)

Пару слов о моих проектах: никто не забыт и ничто не забыто. Пока нет времени делать что-то для YouTube, да и подкаст не записывается по щелчку пальцев. Кроме этого, меняется фокус моих интересов, а вместе с ним будет меняться направление материалов, которыми я с вами делюсь. Никаких потрясений, мы тут все еще говорим про безопасность в Android, но в новом году ожидайте чуть больше материалов из “лагеря атакующих”.

С Новым Годом!

Красивая статистика за 2021 год.

Немного красивости нашел, интересно посмотреть на статистику) конечно многое мне не сильно понятно, но выглядит красиво. :D

Импорт HTTP Archive (HAR) в Burp Suite

Для начала, всех с наступившим годом и практически прошедшим первым месяцем работы. Надеюсь, что у вас он оказался таким же плодотворным, как и у меня 🥳

Ну, а в качестве первого поста в этом году, я хотел бы поделиться некоторыми нашими наработками. А именно - импортом файлов формата HAR в Burp Suite для дальнейшего анализа и сканирования API.

Во время автоматического анализа мобильных приложения мы перехватываем трафик и снимаем SSL Pinning, ну а потом переводит всё сетевое общение бэка и приложения в удобный читаемый формат. В планах самим проводить различные проверки безопасности API, но пока это находится в разработке, мы используем интеграции с другими системами динамического анализа (DAST). Интеграция - выгрузить сетевые запросы в таком формате, чтобы их смогли импортировать к себе различные Web-сканеры.

Таким форматом и стал HTTP архив. Это достаточно стандартный формат, самый простой способ его получить это открыть "Инструменты разработчика" в браузере и на вкладке Networking выбрать пункт "Save as HAR". В результате мы получим некоторый json-файлик, который будет содержать все request/response с заголовками и т.д. Различные Enterprise инструменты вроде Acunetix, Netsparker и остальные умеют парсить такой формат и на его основе проводить сканирование.

Я был достаточно сильно удивлен, что в BurpSuite нельзя его импортировать (а может просто плохо искал). Есть вот такой плагин, но для него нужно сначала конвертировать HAR в csv, а только потом уже импортить его (при этом часть данных у меня терялась).

В итоге, мы написали свой плагин для того, чтобы в SiteMap берпа можно было импортировать чистый HAR и дальше запускать скан или делать то, что обычно делают =) У плагина есть две версии, для GUI и для headless режима, что может быть удобным для дальнейшей автоматизации.

Теперь станет чуть удобнее отправлять собранный трафик в Burp и "краулить" API, достаточно просто в браузере мышкой потыкать и сохранить все запросы 🤓

А тем, кто в компаниях занимается AppSec есть небольшой бонус. Если в вашей компании используются UI-тесты (например каким-нибудь Selenium), то можно в них добавить небольшое изменение и они будут сохранять HAR-файлы с трафиком, который происходил во время прогона тестов. Дальше их можно автоматически забирать, отдавать в Burp и проводить активное сканирование. В зависимости от покрытия автотестами, можно каждую сборку после автотестов прогонять на безопасность и иметь всегда актуальный снимок трафика вашего приложения. Ну а можно просто с тестировщиками договориться, что бы они при прогоне ручных тестов сохраняли из браузера этот HAR-файлик.

Надеюсь, что кому-то эта информация и эти плагины помогут в построении процессов безопасной разработки или немного упростят жизнь, ну а мы планируем их поддерживать и дальше развивать.

Всем хорошей пятницы 😁

#stingray #traffic #burp #har

Управление эмулятором GameBoy при помощи Frida

Все мы знаем эти познавательные статьи о том, как начать работать с Frida. Каждый раз повторяются одинаковые вещи на чуть-чуть разных примерах. Куча таких статей и постить их не сильно интересно, так как полезного в них не особо много.

Но встречаются и исключения, как в этой замечательной статье. Вместо того, чтобы показать, что такое Frida на примере обычного снятия SSLPinning или подобных вещей, человек взял и написал эмуляцию нажатий клавиш для эмулятора GameBoy с использованием Frida 🤪
Да, это уж точно не назовешь классическим гайдом по началу работы с инструментом. Тем не менее, в этой статье хорошо описаны принципы работы, основные и более продвинутые вещи при использовании Frida.

Но получилось действительно классно, в итоге можно управлять эмулятором через отправку API запросов с параметрами, и в зависимости от запроса вызывать определенное действие в эмуляторе через прямой вызов кода при помощи Frida.
А значит, на Frida вполне можно повторить Twitch Plays, когда из чата парсились команды, прокидывались в игру и весь этот процесс стримился online.

Кстати, неплохая идея для маленького CTF, напиши бота, который пройдет реальную несложную игру в эмуляторе и получи что-нибудь приятное.

#Frida #guide #crazy

Нативный запуск Android приложений в Windows 11

С выходом новой Windows 11, Microsoft анонсировала очень интересный механизм "Windows Subsystem for Android", а именно полноценный запуск, установка обычных Android-приложений напрямую в Windows.

То есть, можно поставить приложение и запускать его по ярлыку на рабочем столе (оно будет открываться как любое другое win-приложение). К сожалению, количество приложений лимитировано теми, что есть в Amazon Appstore, но тем не менее очень интересная штука!

И конечно вопрос, а можно ли это использовать для своих исследовательских целей (натравить Frida или Objection)? И ответ на этот вопрос есть в этой статье, где рассказано как шаг за шагом поставить обычный WSA или как его модифицировать, чтобы получить root-доступ, Magisk и использовать дальше как среду тестирования, вплоть до перехвата трафика. Я, конечно, не сильно понимаю, зачем это надо, но мало ли станет интересно попробовать 🤓

Очень интересная статья и заставляет немного задуматься, как технологии начинают потихоньку смешиваться друг с другом. Сначала М1 с его возможностью запускать и устанавливать iOS-приложения, теперь Windows с его нативной интеграцией с Android.

Интересно, мы когда-то доживем до того дня, когда уже не будет разницы под какую платформу было разработано приложение, а можно будет просто взять и поставить его на любой мобильник/девайс/комп и т.д.?

#Android #WSA #Windows

Android Awesome Security

В нашем чате скинули достаточно неплохую подборку различных материалов из разряда awesome подборок.

Основная их проблема в том, что они достаточно быстро устаревают, а поддерживать их не хватает времени или сил. Но в случае этой подборки, материалы в ней пока что актуальные, свежие и собраны по делу.

Так что, смело можно пройтись по блоку со статьями и курсами и посмотреть то, что пропустили за последнее время!

#android #awesome

Переработка MASVS

А тем временем переработка MASVS идет полным ходом, как нам и обещали в конце года. Сейчас в самом разгаре проработка секции CRYPTO, и черновик можно посмотреть вот по этой ссылке

Что сказать, многие пункты или убрали или переработали и объединили. Например самый первый пункт теперь объединяет в себе все best practice по реализации шифрования:
- not using custom-made crypto.
- prefer platform provided crypto APIs (e.g. Apple CryptoKit)
- if possible, perform crypto operations inside secure hardware (e.g. iOS SE)
- else, consider well-tested & vetted libs: e.g. wolfSSL, boringSSL, openSSL

Если раньше это было размазано по нескольким пунктам в качестве отдельных требований, теперь все в одном флаконе. Не уверен, что это позитивно скажется на проверках, но посмотрим, что получится в итоговом документе.

В любом случае, приятно, что эти материалы развиваются и модифицируются в форму, в которой их будет удобно применять (надеюсь)

#OWASP #MASVS #Creypto

Обход проверок на наличие Jailbreak

В чате возник интересный вопрос, как обойти все проверки на Jailbreak в приложении iOS?

Как показывает практика, в большинстве случаев хватает обхода вполне обычных вещей, которые рекомендуют делать при детекте jailbreak:
- Проверка артефактов в файловой системе
- URL-схема Cydia
- Вызов fork() или system()
- Возможность записи вне директории приложения (при этом файл обычно содержит в себе слово jailbreak)
- и тд и тп)

Частично обход таких проверок можно найти в objection, в соответствующем модуле.

Иногда этого не достаточно и приходится искать более полные скрипты, например на Frida CodeShare (ресурс, который позволяет обмениваться своими наработками для Frida). Например вот такой скрипт тоже стоит рассмотреть или если нужно trace того, как приложение детектит jail можно воспользоваться вот этим снипетом.

Маленькая заметка
Безумно неудобно искать что-то на codeshare, так как там нет поиска, но зато есть замечательный поисковый механизм гугла, который может нам помочь в этом. Вводим в гугле site:https://codeshare.frida.re/ jailbreak. И теперь видим все результаты с сайта codeshare в которых есть слово jailbreak. Не идеал, но достаточно удобно.

Есть еще отличная преза про детект Jail и обхода этих проверок. Посмотреть можно вот тут.

Ну и конечно, статья, которая уже была на канале, но все равно актуальная и тоже по теме - анализ Pokeon Go на предмет обнаружения Jail и Frida. Тоже можно почерпнуть много интересного от разработчиков, которые много сил приложили к тому, чтобы обнаруживать читеров (хотя все равно иногда безуспешно).

Но иногда приходится байпасить тулы, которые очень хорошо умеют обнаруживать и работу под отладчиком и джеил устройства, например iXGuard. В таком случае приходится или их реверсить и пытаться понять, как они это делают или собирать все возможные пути обхода и надеяться, что это поможет.

Если у вас есть наработки или какие-то скрипты в паблике, которые вы используете для обхода проверок, напишите, пожалуйста в чате или в комментах к этому посту, попробуем собрать свое небольшое CodeShare =) Может кому-то это сэкономит время и силы)

P.S. За ссылки на статьи и скрипты спасибо @vadimszzz и @hd_421

Спасибо!

#iOS #jailbreak #bypass #frida