Свежий доклад по основам RE и пересборке Android приложений с VolgaCTF 2022. Контент для начинающих исследователей и для тех, кто хочет накидать себе в чемодан новых навыков.

Внимание, конкурс!

Всем привет!
И снова в нашей рубрике конкурс и разыгрываем билет на конференцию Mobius! Так как немного совсем времени осталось, победитель будет выбран в понедельник.

Условия конкурса:
В комментариях к этому посту или в чате напишите историю того, с какими аргументами против того, что мобильные приложения нужно проверять, вы сталкивались в своей работе? Основное, что слышал я, это «мобильное приложение всего лишь витрина данных, а защищать нужно бэк» или «гугл сам проверяет всё перед публикацией, зачем нам что-то делать?»

Ну или историю про лучший комментарий, почему найденную уязвимость не нужно исправлять.

К посту напишите тэг #mobius2

И немного информации о самой конфе:
Как пройти архитектурную секцию собеседования? Может ли «Аврора» стать альтернативой iOS и Android? Как работают in-app подписки в iOS?

На Mobius 2022 Autumn вы узнаете ответы на эти и другие вопросы. 9 и 10 ноября в онлайне и 21 ноября в офлайне.

На Mobius вы сможете не только послушать выступления, но и задать вопросы спикерам, а также пообщаться с другими единомышленниками.

Ученье - свет

Хоть и не прям про мобилки, но криптографию мы все применяем и иногда возникают вопросы общего характера.

Их можно снять, если посмотреть полноценную лекцию по критографию. Есть и практика и много теории.

#video #classes #yt #education

Еще пока не препод, но всё впереди :)

А пока делюсь со всем миром записями своих занятий!
За последний год мне удалось провести целый курс по информационной безопасности. От базовых основ GNU/LINUX, криптографии, сетей, веба до полноценного пентеста. Большую часть удалось записать.

На канале пока доступны два видео: лекция и практика по криптографии. Я далек от академичности, но абсолютно уверен, что знания должны распространяться свободно. С этого момента начинается моя карьера видео-блоггера 🤟😎

Делитесь видео с друзьями :)
Буду очень рад обратной связи и корректной критике в комментариях тут или под видосами на yt.

Итоги конкурса!

Итак, несмотря на огромное количество желающих и участвующих, я все-таки смог выбрать победителя...

И им стали оба два участника =)) Поздравляю вас, @iwillpicknicknamelater и @OxFi5t и спасибо Mobius за два билета))

В ближайшее время с вами свяжутся организаторы и передадут ваш заслуженный приз))

Думаю, что будет интересно! Более 30 докладов от спикеров из Яндекса, Сбера, Gradle, VK, Тинькофф, Skyeng и других компаний.

#mobius #конкурс

OWASP Global AppSec EU 2022

Внезапно понял, что у OWASP есть не только сайт и гитхаб репо, но и официальный ютуб :))

Посмотрев, что там, нашел весьма и весьма интересный плейлист с записью всех докладов с прошедшей в этом году Global AppSec конференции.

Выложили видосы не так давно и потихоньку ещё добавляют, последний апдейт был вчера. На самом деле, доклады самые разнообразные, начиная от рассказов про Security Champions, DefectDojo, OpenSAMM, заканчивая разбором различных уязвимостей. Весьма интересно и может быть полезно в работе, посмотреть как люди за морем-океаном живут и о чем думают в области AppSec.

По нашей тематике из этого списка можно выделить такие выступления:
- “Mobile Wanderlust”! Our Journey to Version 2 0!
- Exhibitor: How to Meet the New Mobile Application Security Imperative

Хорошего просмотра!

#owasp #video

Инструмент Taint-анализа для apk

Давно не было про новые тулы, как-то даже стало скучно.

Но вот, отличная новость, нашел новый для себя инструмент - статический taint анализатор AppShark.

Из интересного, что я отметил:
- потенциальная возможность искать интересные баги
- возможность написания своих правил
- основан на не менее известных тулах Soot и FlowDroid, но имеет свою собственную реализацию движка анализа

В общем, потенциально интересное решение, в ближайшее время более детально её погоняю и напишу, как оно)

Ну или если кто уже успел попробовать или использует, напишите, как оно?)

#android #taint #flow

Замечательная уязвимость, которая напоминает простую истину: используй все доступные возможности. Хакеру удалось обойти экран блокировки на Pixel 6 с помощью замены SIM карты на свою с ее последующей блокировкой и разблокировкой через PUK код. Выглядит довольно элегантно и совершенно точно нужно проверять эту возможность на других устройствах.

Google заплатил за нее 70 килобаксов так-то 🤑

Присоединяйтесь, эфир уже сегодня, будет интересно))

⚡️Государству F снова угрожают хакеры, и их атаки становятся все более изощренными. Что им удастся взломать на этот раз?

Да-да, нас опять ждет осенний Standoff. Вместе с кибербитвой будет проходить митап, который можно смотреть онлайн. А в 14:00, в секции "Безопасность или паранойя? Разбираем клиентскую часть мобильных приложений" - я и небезызвестный @Mr_R1p обсудим темные стороны безопасности мобильных приложений.

Кроме этого выступления, обязательно обратите внимание на доклады "OAuth 2.0 и как его разламывать" и "37 слайдов про багбаунти".

Присоединяйтесь, трансляция начинается в 10:00 MSK.

Если сайт не работает, то трансляцию можно смотреть здесь - https://www.youtube.com/watch?v=5cJwQcMsYcY (блок Talks)

Начинаем через пару минут :)

Технического будет немного, но если хочется послушать абстрактные размышления на тему безопасности мобилок, буду вас ждать )

https://www.youtube.com/watch?v=_hHw_eMXywE

Если вы пропустили трансляцию нашего с @Mr_R1p выступления, то ее уже можно посмотреть на YouTube. Получилось скорее развлекательно чем технически, поэтому можете также показать это выступление вашему менеджеру ;)

Радости и благодарности пост

Всем привет, сегодня хочу сказать спасибо всей команде ребят, кто трудится над созданием нашего инструмента - Стингрей.

Мы участвовали во многих конкурсах, получали высокие оценки, иногда призы, но всегда нам чего-то не хватало для победы.

И вот, наконец, спустя годы, мы заняли первое место в конкурсе стартапов DeepTech Security в номинации “AppSec и DevSecops”.

Я очень-очень рад и хочу сказать огромное спасибо всей команде, ведь без них не было бы ничего! Да, пусть это временами трудно и приходится пробираться через дебри и нюансы мобильных приложений и операционных систем, но это делает нас намного сильнее! Спасибо вам, вы мои герои :)

#стингрей #конкурс #победа

Заметки на полях

В соседнем чате @horosho88 подсказал, как добавить сертификат в системные на 12-м Android. Думаю, многим будет полезно.

Спасибо, что делитесь своими наработками и лайвхаками, которые могут упростить жизнь другим :)

#android #certs #samsung #pinning

Небольшая заметка про добавление сертификата в BurpSuite на 12 Android (так как там возникают сложности с монтированием раздела system в rw . Если кто то столкнулся с проблемой на Samsung , что нельзя добавить через интерфейс мобилы и даже через adb в пользовательские серты , то нужно вручную создать папку cacerts-added по пути
/data/misc/user/0/ и накинуть ей права 777 , а затем уже попытаться добавить сертификат в полтзовательское хранилище , а потом модуль Фриды move cert перекинет в системные

Презентация с конференции PDUG (Positive Development User Group)

Будет интересна тем, кто занимается мобильной безопасностью.

Исследование защищенности мобильных приложений

Всем привет!

Долго не было ничего слышно и не зря)) Мы с командой делали довольно интересную вещь - проводили исследование защищенности мобильных приложений, выпущенных Российскими компаниями.

Суть исследования достаточно простая - мы взяли 800 Android-приложений, прогнали их через наш инструмент "Стингрей", разобрали ложные срабатывания, выбрали 20 категорий уязвимостей, наиболее интересных и часто встречающихся. Посчитали циферки, оформили, и вот результат:

По полученным цифрам более 83% приложений содержат уязвимости высокого или критичного уровня.

С подробными данными и самим отчетом можно ознакомиться на нашем сайте:
https://stingray-mobile.ru/oczenka-zashhishhennosti

Если говорить серьезно, то на безопасность мобильных приложений любят забивать или смотрят на них в самую последнюю очередь. Почему это до сих пор так?
Наверное, потому что бизнес или разработка не понимают актуальных угроз для мобильных приложений и какие именно риски несет в себе уязвимое мобильное приложение. Я рассказывал об этом недавно на митапе в Сколково, и скоро попробую еще раз это рассказать.

Потому что сейчас мобильные приложения это не просто "витрина данных", это полноценные системы, со своей архитектурой, базами данных, удаленными хранилищами, огромным функционалом и разнообразными техническими решениями. И к ним следует относится, как к полноценному звену всей системы, а иногда и более пристально, так как эксплуатируются они во "враждебной" среде, на устройстве пользователя, на котором может быть все, что угодно.

Так что посмотрите внимательно на отчет, мы постарались дать максимум ценной информации, включая описание выявленных проблем и способов их устранения и недопущения в дальнейшем. Очень надеюсь, что в следующем году безопасных и защищенных мобильных приложений станет больше!

Дальше больше, мы планируем сделать этот отчет ежегодным и отслеживать тренды в защищенности мобильных приложений и радовать всех интересным контентом!

С наступающим и приятного чтения!

#stingray #report #news #android