Разрешения в Android
Вдохновлённые одной из статей Oversecured про типичные ошибки в разрешениях, которые присутствуют при разработке приложений мы решили собрать чек-лист чуть побольше и дать немного больше описания и теории всем, кто хотел бы узнать что-то новое или освежить воспоминания об этом инструменте.
По итогу родилась статья на Хабр.
Прошу вашего внимания и, надеюсь, что информация окажется полезной!
Всем приятного чтения и хорошего настроения!
#habr #android #permissions
Вдохновлённые одной из статей Oversecured про типичные ошибки в разрешениях, которые присутствуют при разработке приложений мы решили собрать чек-лист чуть побольше и дать немного больше описания и теории всем, кто хотел бы узнать что-то новое или освежить воспоминания об этом инструменте.
По итогу родилась статья на Хабр.
Прошу вашего внимания и, надеюсь, что информация окажется полезной!
Всем приятного чтения и хорошего настроения!
#habr #android #permissions
Хабр
Permissions в Android: как не допустить ошибок при разработке
Всем привет! На связи Юрий Шабалин, ведущий архитектор Swordfish Security и генеральный директор Стингрей Технолоджиз. Эта статья написана в соавторстве с Android-разработчиком Веселиной Зацепиной (...
🔥12👍1
Mobile AppSec World
Новая атака на цепочку поставок: Java и Android под ударом! Буквально на днях компания Oversecured выпустила потрясающую статью про новую атаку на цепочку поставок. В этот раз под ударом оказались Java-пакеты и, конечно, под раздачу попал и Android... Способ…
И снова про MavenGate!
Я не смог устоять перед такой изящной атакой и не рассказать о ней более подробно.
И как мне показалось, ее недостаточно осветили и скорее всего не так поняли. Многих ввёл в заблуждение ответ Sonatype, который утверждает, что атака невозможна. Дело в том, что на самом деле один репозиторий пока не в состоянии решить эту проблему. До тех пор, пока можно будет загружать любые компоненты в любые репозитории - она будет актуальна и ещё как возможна!
И на самом деле, уязвимы не только 18% компонент, но и многие проекты по цепочке, которые используют уязвимые либы как зависимости. И дальше, паровозиком транзитивных зависимостей и попадёт скомпрометированная библиотека в проект конечного разработчика.
На момент вчерашнего дня уже было куплено 15 доменов и потихоньку эта цифра растет. Кто их покупает и для чего, хороший вопрос, но я уверен, что эта атака обязательно стрельнет где-то :)
Ну а мы в свою очередь добавили к себе анализ SBOM-файла для Android приложений, для того чтобы определить, есть ли проблемные зависимости в приложениях, которые мы анализируем. Уверен, что мы сможем помочь выявить «шпиона» :D
Всем приятного чтения, мы очень старались!
#habr #sca #supplychain
Я не смог устоять перед такой изящной атакой и не рассказать о ней более подробно.
И как мне показалось, ее недостаточно осветили и скорее всего не так поняли. Многих ввёл в заблуждение ответ Sonatype, который утверждает, что атака невозможна. Дело в том, что на самом деле один репозиторий пока не в состоянии решить эту проблему. До тех пор, пока можно будет загружать любые компоненты в любые репозитории - она будет актуальна и ещё как возможна!
И на самом деле, уязвимы не только 18% компонент, но и многие проекты по цепочке, которые используют уязвимые либы как зависимости. И дальше, паровозиком транзитивных зависимостей и попадёт скомпрометированная библиотека в проект конечного разработчика.
На момент вчерашнего дня уже было куплено 15 доменов и потихоньку эта цифра растет. Кто их покупает и для чего, хороший вопрос, но я уверен, что эта атака обязательно стрельнет где-то :)
Ну а мы в свою очередь добавили к себе анализ SBOM-файла для Android приложений, для того чтобы определить, есть ли проблемные зависимости в приложениях, которые мы анализируем. Уверен, что мы сможем помочь выявить «шпиона» :D
Всем приятного чтения, мы очень старались!
#habr #sca #supplychain
Хабр
Разбираемся с MavenGate, новой атакой на цепочку поставок для Java и Android-приложений
Всем привет! Сегодня с вами Юрий Шабалин, генеральный директор «Стингрей Технолоджиз», и я хотел бы разобрать в этой статье новый тип атаки на цепочку поставок под названием «MavenGate». А что в ней,...
🔥8👍2
Фокус на безопасность мобильных приложений
Всем привет!
Давно ничего не писал, аж целых два месяца)) Но взял себя в руки и теперь и канал оживает, будут всегда свежие посты и новости и на Хабр вышла новая статья.
Статья не совсем техническая, она посвящена особенностям мобильных приложений, которые часто упускают из вида и забывают при построении процесса безопасной разработки. Да и просто при планировании мероприятий по анализу защищенности ресурсов мобилки всегда отодвигают "на потом". Возможно это связано с тем, что не все до конца понимают нюансы при релизе мобилок и всех векторов атак. И что устранение уязвимости в мобилке это немного не тоже самое, что устранение в серверной части.
Можно считать, что это некоторое логическое продолжение статьи "Мифы о безопасности мобильных приложений", только затрагивает она не заблуждения о мобилках, а их особенности.
Я постарался изложить свои мысли по этому поводу, надеюсь это поможет кому-то по новому взглянуть на мобильные приложения, и запланировать мероприятия по регулярному анализу их защищенности (ну а мы поможем). Ну или просто посмотреть на взгляд со стороны, как это воспринимаем мы, по свою сторону баррикад, возможно я просто чего-то не понимаю, поэтому пожалуйста, не стесняйтесь писать комментарии.
Приятного чтения, надеюсь, вам понравится!
#android #ios #mobile #habr
Всем привет!
Давно ничего не писал, аж целых два месяца)) Но взял себя в руки и теперь и канал оживает, будут всегда свежие посты и новости и на Хабр вышла новая статья.
Статья не совсем техническая, она посвящена особенностям мобильных приложений, которые часто упускают из вида и забывают при построении процесса безопасной разработки. Да и просто при планировании мероприятий по анализу защищенности ресурсов мобилки всегда отодвигают "на потом". Возможно это связано с тем, что не все до конца понимают нюансы при релизе мобилок и всех векторов атак. И что устранение уязвимости в мобилке это немного не тоже самое, что устранение в серверной части.
Можно считать, что это некоторое логическое продолжение статьи "Мифы о безопасности мобильных приложений", только затрагивает она не заблуждения о мобилках, а их особенности.
Я постарался изложить свои мысли по этому поводу, надеюсь это поможет кому-то по новому взглянуть на мобильные приложения, и запланировать мероприятия по регулярному анализу их защищенности (ну а мы поможем). Ну или просто посмотреть на взгляд со стороны, как это воспринимаем мы, по свою сторону баррикад, возможно я просто чего-то не понимаю, поэтому пожалуйста, не стесняйтесь писать комментарии.
Приятного чтения, надеюсь, вам понравится!
#android #ios #mobile #habr
Хабр
Фокус на безопасность мобильных приложений
Всем привет! На связи Юрий Шабалин, генеральный директор «Стингрей Технолоджиз». Недавно я проводил вебинар для новых сотрудников компании, в котором рассказывал про проблемы...
👍9❤5🔥4
Профиль защиты ЦБ РФ и мобильные приложения: разбираемся, как соответствовать
Всем привет!
Наверное, всем рано или поздно приходится сталкиваться с нашим законодательством, требованиями и стандартами. Вот и меня это не обошло стороной и пришлось начать разбираться в ОУД4, соответствии ему, что требуется, как выполнять и т.д. Это был непростой, но на удивление, крайне увлекательный путь, который в итоге привел меня к написанию статьи для таких же как я, тех кто никогда не имел дела с нашими стандартами и ему пришлось в это погрузиться.
Я никогда раньше не погружался в эти документы и это было большим испытанием) Но, к счастью, знающие люди помогли разобраться и объяснили, что и для чего необходимо. И, скажу вам, теперь мне все стало намного понятнее.
Что интересно, в документе, который я изучал более внимательно, а это логическое продолжение ОУД - "Профиль защиты", есть даже упоминание мобильных приложений и как раз это меня и зацепило. Если есть мобильные приложения, значит их тоже надо проверять в составе всего продукта.
Ну что, попробуете разобраться вместе со мной, как соответствовать профилю защиты для мобильных приложений?
#habr #профильзащиты #ОУД4
Всем привет!
Наверное, всем рано или поздно приходится сталкиваться с нашим законодательством, требованиями и стандартами. Вот и меня это не обошло стороной и пришлось начать разбираться в ОУД4, соответствии ему, что требуется, как выполнять и т.д. Это был непростой, но на удивление, крайне увлекательный путь, который в итоге привел меня к написанию статьи для таких же как я, тех кто никогда не имел дела с нашими стандартами и ему пришлось в это погрузиться.
Я никогда раньше не погружался в эти документы и это было большим испытанием) Но, к счастью, знающие люди помогли разобраться и объяснили, что и для чего необходимо. И, скажу вам, теперь мне все стало намного понятнее.
Что интересно, в документе, который я изучал более внимательно, а это логическое продолжение ОУД - "Профиль защиты", есть даже упоминание мобильных приложений и как раз это меня и зацепило. Если есть мобильные приложения, значит их тоже надо проверять в составе всего продукта.
Тестирование на проникновение, в зависимости от типа ОО, может включать в себя следующие направления исследований, применимые к ОО и среде его функционирования:
а) оценка защищенности веб-приложений;
б) оценка защищенности специализированных банковских приложений (специализированного ПО) финансовых организаций;
в) оценка защищенности мобильных устройств
Ну что, попробуете разобраться вместе со мной, как соответствовать профилю защиты для мобильных приложений?
#habr #профильзащиты #ОУД4
Хабр
Профиль защиты ЦБ РФ и мобильные приложения: разбираемся, как соответствовать
Всем привет! На связи Юрий Шабалин, генеральный директор «Стингрей Технолоджиз». Вообще я сторонник технических материалов, статей с примерами кода или разбором технологий, но сегодня речь пойдет о...
🔥7👍3👏1
Персональные данные и мобильные приложения, как они связаны?
Всем привет!
Я наконец выплыл из отпуска и возвращаюсь в рабочее русло 😄
И на повестке дня сегодня не что иное, как персональные данные и их утечки.
Меня очень давно интересовал этот вопрос, можно ли считать хранение или утечку ПДн через мобилку на самом деле утечкой, чем это может грозить и вообще, что же такое мобильное приложение с точки зрения нашего законодательства?
Я потратил достаточно много времени и экспертизой своих коллег чтобы разобраться в этом вопросе и вот результат - статья на Хабр.
Как мне кажется получилось достаточно неплохо, по крайней мере для себя я определился и с понятиями ПДн в мобилках и с определением приложений вообще в законах. Надеюсь, вам тоже это будет интересно. Особенно, учитывая, что сейчас на рассмотрении закон о введении оборотных штрафов для компаний, допустивших утечки.
Приятного чтения!
#habr #ПДн
Всем привет!
Я наконец выплыл из отпуска и возвращаюсь в рабочее русло 😄
И на повестке дня сегодня не что иное, как персональные данные и их утечки.
Меня очень давно интересовал этот вопрос, можно ли считать хранение или утечку ПДн через мобилку на самом деле утечкой, чем это может грозить и вообще, что же такое мобильное приложение с точки зрения нашего законодательства?
Я потратил достаточно много времени и экспертизой своих коллег чтобы разобраться в этом вопросе и вот результат - статья на Хабр.
Как мне кажется получилось достаточно неплохо, по крайней мере для себя я определился и с понятиями ПДн в мобилках и с определением приложений вообще в законах. Надеюсь, вам тоже это будет интересно. Особенно, учитывая, что сейчас на рассмотрении закон о введении оборотных штрафов для компаний, допустивших утечки.
Приятного чтения!
#habr #ПДн
Хабр
Защита персональных данных в мобильных приложениях: как не нарушить закон
Всем привет! На связи снова Юрий Шабалин, генеральный директор «Стингрей Технолоджиз». В предыдущей статье я рассказывал о влиянии Профиля защиты ЦБ РФ на мобильные приложения. В продолжение темы...
🔥12❤2👍2