Когда охотник становится жертвой
На первом OFFZONE мои коллеги читали классный доклад именно с таким названием (очень рекомендую посмотреть), когда мы атаковали внутренние HR-системы, разместив пейлоады в резюме на HeadHunter. Было очень весело!
Но сегодня не об этом, а об атаках на привилегированные приложения на вашем устройстве. И, как показывает практика, наибольшее количество Permissions у..... барабанная дробь.... антивирусов! Да, именно они для анализа вашего устройства требуют каких-то непомерных разрешений. И конечно, уязвимости в них могут быть очень лакомым кусочком для злоумышленника.
Взять, к примеру приложение McAfee Security: Antivirus VPN, которое запрашивало более 70-ти разрешений! Куда ему столько🙃
И вот исследование только одной, главной Activity, позволяет запускать произвольные компоненты приложения с произвольными данными. Например, можно позвонить на любой номер… Или сколько всего еще возможно, учитывая богатый функционал и огромное количество разрешений. И даже ребята Pic сделали и видео 😃
Статья сделана по всем канонам, сначала теория, про андроид-приложения, про разрешения, про интенты и потом уже непосредственно анализ и результаты. Все весьма последовательно, по делу и приятно читать. Ну и конечно, отсылки к предыдущим исследованиям тоже радуют)
Тут как обычно, сапожник без сапог. И меня всегда интересовал вопрос, а проверяют ли сканеры исходного кода свой собственный код? Или как у них это устроено вообще?)
Всем отличной пятницы и приятного вечера!
#android #vulnerabilities #antivirus #mcafee
На первом OFFZONE мои коллеги читали классный доклад именно с таким названием (очень рекомендую посмотреть), когда мы атаковали внутренние HR-системы, разместив пейлоады в резюме на HeadHunter. Было очень весело!
Но сегодня не об этом, а об атаках на привилегированные приложения на вашем устройстве. И, как показывает практика, наибольшее количество Permissions у..... барабанная дробь.... антивирусов! Да, именно они для анализа вашего устройства требуют каких-то непомерных разрешений. И конечно, уязвимости в них могут быть очень лакомым кусочком для злоумышленника.
Взять, к примеру приложение McAfee Security: Antivirus VPN, которое запрашивало более 70-ти разрешений! Куда ему столько🙃
И вот исследование только одной, главной Activity, позволяет запускать произвольные компоненты приложения с произвольными данными. Например, можно позвонить на любой номер… Или сколько всего еще возможно, учитывая богатый функционал и огромное количество разрешений. И даже ребята Pic сделали и видео 😃
Статья сделана по всем канонам, сначала теория, про андроид-приложения, про разрешения, про интенты и потом уже непосредственно анализ и результаты. Все весьма последовательно, по делу и приятно читать. Ну и конечно, отсылки к предыдущим исследованиям тоже радуют)
Тут как обычно, сапожник без сапог. И меня всегда интересовал вопрос, а проверяют ли сканеры исходного кода свой собственный код? Или как у них это устроено вообще?)
Всем отличной пятницы и приятного вечера!
#android #vulnerabilities #antivirus #mcafee
👍8🌚1
Аналогичная поверхность атаки и способы защиты для Android
А рядом, кстати, лежит и аналогичная статья по Android, крайне подробная и очень интересная.
Многие уязвимости весьма актуальны и их описание и способы устранения хорошо описаны.
Я прям очень доволен, что удалось это найти, хороший контент, хотя полностью досконально еще не успел изучить, сразу делиться)))
#android #vulnerabilities #awesome
А рядом, кстати, лежит и аналогичная статья по Android, крайне подробная и очень интересная.
Многие уязвимости весьма актуальны и их описание и способы устранения хорошо описаны.
Я прям очень доволен, что удалось это найти, хороший контент, хотя полностью досконально еще не успел изучить, сразу делиться)))
#android #vulnerabilities #awesome
Devsecopsguides
Attacking Android
In this comprehensive guide, we delve into the world of Android security from an offensive perspective, shedding light on the various techniques and methodologies used by attackers to compromise Android devices and infiltrate their sensitive data.
🔥6👍5❤2