Вебинар по безопасной разработке

30-го июня в 21:00 по московскому времени (или в 14:00 по eastern time) пройдет двухчасовой вебинар по лучшим практикам в написании безопасного кода для мобильных приложений от компании NowSecure.

Судя по описанию должно быть достаточно интересно и познавательно, обещают осветить вопросы по следующим темам:
- Данные, хранящиеся в небезопасном месте
- Некорректная реализация сетевого взаимодействия
- Небезопасная аутентификация и авторизация
- Небезопасные практики кодинга (интересно, что они имеют ввиду)
- Защита от реверса

Я постараюсь быть, хоть время и позднее для нашего часового пояса. Всегда полезно ходить на подобные мероприятия, что-то новое определенно узнаешь и где-то тебя натолкнут на правильные мысли.

Ну или будем надеяться, что будет запись 😃

#webinar #securecoding

Обновление курсов и книг по безопасности и анализу мобильных приложений

Очередное обновление библиотеки!

На этот раз были добавлены книги по Android / iOS и два больших курса (спасибо @wusero)!

Книги:
- Android глазами хакера
- Android Security Cookbook
- iOS Application Security
- The Mac Handbook
- Beginner Guide to Exploitation on ARM 1
- Beginner Guide to Exploitation on ARM 2

Курсы:
- Pentester Academy - Pentesting iOS Applications
- GeekBrains - Безопасность мобильных приложений

Приятного чтения и просмотра!

#Books #Security #Android #iOS #Cources

Развитие механизмов безопасности Android

Я наконец-то доделал статью по развитию безопасности в Android от версии к версии, что добавлялось, что улучшалось, а может и ухудшалось в каждой новой версии этой замечательной операционной системы.

Статья получилось достаточно интересного, на мой взгляд, формата. Изначально она планировалась, как техническая с большим количеством различных деталей, но в итоге, по мере написания, я понял, что стоит уделить внимание и более общим вещам.
В этой статье можно найти информацию и про технические вещи и про изменения для пользователей.

Для себя отметил несколько новых и интересных деталей, о которых не подозревал до написания 😁

Необычный формат, посмотрим, насколько это зайдет, но надеюсь, что понравится!

#Habr #Android #Security

Подкаст про динамический анализ приложений

И еще одна отличная новость)
Поучаствовали с нашим ведущим разработчиком (@jd7drw) в подкасте про системы динамического анализа мобилок. Спасибо большое за приглашение каналу Android Guards и лично @OxFi5t, было очень здорово! 😎

В выпуске постарались рассказать много интересных вещей, но как это обычно бывает - много чего осталось за кадром и кучу вещей хочется после выпуска сказать немного по другому. Ну и вечный синдром самозванца - кажется, что это всё очевидно и никому не интересно 😁

Надеюсь, что вам понравится и обязательно оставляйте комментарии и вопросы) Очень интересно, что вы думаете обо всех этих очередных "сканилках" 😉

#Podcast #Android #Stingray

Бывает смотришь на девушку и думаешь — DAST или не DAST... Впрочем о чем это я... А, подкаст новый записали. На этот раз обсуждаем все прелести DAST анализа с ребятами, которые неплохо в этом разбираются. В выпуске присутствует жесткая критика MobSF, поэтому слабонервных прошу поаккуратнее с прослушиванием 😉

Послушать выпуск можно в Google/Apple подкастах и на Youtube:

🎥 YouTube: https://youtu.be/imrlMLVOTRY
🎙 Google Podcasts: https://bit.ly/360XYIi
🍏 Apple Podcasts: https://apple.co/3vWFYte

Конференция Mobius

Я думаю, что очень многие, кто занимается разработкой или безопасностью мобильных приложений знает о конференции Mobius. Мне к сожалению, не доводилось принимать в ней участие, но мы постараемся это исправить :)

Ребята попросили сделать пост и уверен, среди нас много тех, кому есть что рассказать 😁

Так что, если вы хотите выступить с какой-то интересной темой, особенно по безопасности, то пишите в контакты из сообщения ниже)

Ну и ждем интересных докладов по безопасности :)

#Mobius #conference

Конференция по мобильной разработке #Mobius ищет спикеров 🎙

Если вы давно хотите рассказать о чем-то из мира мобильной разработки и готовы поделиться знаниями с другими, то подавайте заявку!

В осеннем сезоне Mobius пройдет с 22 по 25 ноября, онлайн (гибридный формат решили отложить из-за непредсказуемости ввода ограничений на офлайн мероприятия).

Темы, которые ждут:
✔️ Платформы под капотом;
✔️ Software Craftsmanship;
✔️ Архитектура;
✔️ Качество продукта;
✔️ Тренды в мобильной разработке;
✔️ Инфраструктура.

Но не ограничивайтесь этим списком — вы можете подать заявку с любой темой из области мобильной разработки.

Если все-таки сомневаетесь, то программный комитет всегда готов обсудить актуальность темы и помочь выбрать правильный вектор доклада.

Отправить заявку можно на сайте, а задать вопросы — по почте [email protected]

И уже сейчас можно купить билет по самой низкой цене, ведь с каждым месяцем она будет увеличиваться.

​​Security проверки для релизных сборок

@dtereshin написал очень удобную и крутую штуку для проверки релизных сборок перед выкладкой в магазины приложений. И назвал её CheckKarlMarx (все совпадения случайны). Доступна как в виде исходного кода, так и докер-образа.

Что умеет сейчас и как работает:
- принимает на вход apk или ipa файл релизной сборки
- проверет некорректные настройки сети
- небезопасные (http), тестовые или внутренние URL (список задается при запуске)
- хранение различных ключей
- экспортируемые компоненты для Android-приложений
- небезопасные настройки Webview для Android приложений

На выходе получаем отчет с находками, его можно положить в ваш CI/CD инструмент рядом с другими линтерами и статус сканирования (exit code), на основе которого можно строить дальнейшие действия).

Просто, удобно и позволяет быстро определить, что в релиз приехало что-то не то)

Кстати, в том числе про этот инструмент будет доклад от автора на ZeroNights. Я точно приду послушать, все предыдущие выступления были отличными, думаю это тоже порадует.

Ну и отдельный лайк от меня за ник на GitHub 😂

#tools #android #ios

Correlium в массы

Есть такие интересные ребята, которые портировали Linux на новый Apple M1, компания называется Correlium. Они предоставляют различные виртуальные девайсы для тестирования, в том числе для целей поиска уязвимостей и отладки.

С недавнего времени они стали публично открытыми и любой желающий, за небольшую сумму, может получить в свое распоряжение эмулятор (по их словам) iOS устройства!

Если это действительно так, то это пока что единственная компания, которая смогла сделать полноценный эмулятор iOS устройства. Очень интересно, как они эмулируют камеру, отпечаток пальца или FaceId.

Как раз в нашем чате (спасибо @EZ3K1EL) скинули ссылку на статью о загрузке ipa-файла для анализа в их интерфейсе.

Очень хочется попробовать 😁

#iOS #Emulator #Correlium

Веселые репорты с неожиданными последствиями

Обожаю такие исследования, они привносят много позитива в вечер пятницы!

Итак, получаем удаленный доступ к дилдо!

Название говорит само за себя, исследователь провел анализ приложения, которое представляло из себя что-то вроде социальной сети для владельцев определенных устройств и научился получать доступ к любому аккаунту, списку друзей, управлению подключенными устройствами и все-все возможные интересные фишки приложения.
Классная статья, большинство векторов автор показывает на примерах Frida и radare2, так что есть что почитать (помимо смешков над темой, конечно).

Надо вспомнить и найти несколько похожих исследований и составить подборку лучших багов 😂

Но на самом деле интересует, откуда этот исследователь вообще об этом приложении узнал?

#Fun #Vulnerability

Продолжение истории с форматной строкой в iOS

Apple быстро пофиксила баг с форматной строкой в iOS, который позволял отключить WiFi на устройстве. Естественно, Apple не признал это уязвимостью и не присвоил никакого CVE (подумаешь WiFi помирает от названия точки доступа).

Но некоторые исследователи раскрутили эту мелкую багу до удаленного выполнения кода на устройстве. Реализация стала возможной благодаря процессу wifid, который обрабатывает протоколы, связанные с WiFi соединением и запущен от root.

Для реализации атаки понадобилась виртуалка с Linux и WiFi свисток за 10$ 😁

Очень классный кооперативчик получился) Один нашел баг, но не смог его раскерутить,. а другие докрутили его до RCE. Очень похоже на то, как появился Checkra1n.

#iOS #RCE #news

Ложное срабатывание антивируса ESET

Относительно недавно вышло обновление баз антивируса ESET для Android и многие компании-разработчики столкнулись с очень неприятной ситуацией, антивирус начал ругаться на их приложение и говорить, что оно заражено и опасно. При этом срабатывания были только в ESET и под раздачу попали многие популярные приложения: Edge Browser, hh.ru, ДомКлик и многие многие другие.

Некоторые компании начали разбираться что произошло и проверять, на какие версии их приложения ругается антивирус, а на какие нет и каки изменения были между этими версиями. Если вы один из таких разработчиков или безопасников, то не переживайте, волноваться не стоит, все с вашим приложением в порядке. Просто это подтвержденное ложное срабатывание и разработчики антивируса официально это подтвердили на своем форуме.

Говорят, что исправили в обновлении 15495, но если это не так, можно написать им в ветку форума, чтобы устранить это срабатывание.

#Android #ESET #FalsePositive

Розыгрыш билетов на конференцию Podlodka

Всем привет! Так получилось, что в среду, то есть завтра, я буду делать доклад на онлайн конференции Podlodka Android Crew!

Как спикеру мне положено два бесплатных билета, которые я хотел бы разыграть среди вас :)

Всё очень просто, в комментариях под этим постом или в наш чат кидайте новости из мира мобильной безопасности, ссылки на тулы, writeup’ы и прочее-прочее!

Завтра ближе к вечеру я выберу две наиболее понравившиеся мне ссылки и материалы и победителям отдам билеты. Судейство будет максимально субъективным (!)

Говорят, конфа должна быть очень крутая, много годного контента, так что попробуем :₽

#android #podlodka

​​Результаты

Я, конечно, не ожидал такого ажиотажа, поэтому не смог в полной мере прочитать все материалы, которые вы прислали в предыдущем посту и все решил великий рандом =)

Поэтому, заходим на random.org и генерируем два случайных числа в диапазоне от 1 до 3-х :D

@dmitriy_sam и @OxFi5t ваши промокоды скоро будут в личке)

Способы защиты Pokemon Go

Когда игра только вышла было достаточно сложно в неё играть, так как читеров была куча :) Что там говорить, мой первый аккаунт тоже забанили 😃 Но популярность росла и Niantic сделали многое для защиты своего приложения!

Нашел очень хорошую статью про техники защиты в этой игре. Разобраны механизмы, которые применяются для детекта читеров, детально описано, как их найти. Можно очень многое почерпнуть из этой статьи и пополнить коллекцию приемов :)

А что ещё интереснее, это ссвлка в конце на обзор реверса похожего по защите приложения, тоже рекомендую посмотреть, а также зайти в список статей, там много интересного, включая первую часть обзора реверса приложения.

#iOS #cheat #pokemon

Гайд по реверсу iOS приложения на примере ExpressVPN

Очень неплохая статья о нелегком пути реверса на iOS вышла недавно на Хабре от @skillzq.

Автор разбирает приложение ExpressVPN, как оно осуществляет SSL Pinning, как его снимать, как найти место, где шифруется запрос и как вытащить ключ шифрования и много других интересных моментов.

Приятно почитать и особенно круто, что в конце статьи есть ссылка на Github автора, где можно посмотреть, как именно он все это свел в работающий полноценный модуль для тестирования!

За это отдельный респект, всегда после таких статей не хватает чего-то подобного, когда можно взять и детально разобрать работающий код!

Спасибо автору!

#iOS #Reverse

​​Модификация Android-приложений

В мире мобильных приложений под Android всегда есть интересные моменты, связанные с модификацией приложений. Выключение рекламы, разблокировка Pro-версий, модификация логики работы, отключение проверок безопасности 😉

Мне в свое время очень понравилось модифицировать игру ClumsyBird, где закомментировав одну строку в smali можно было бесконечно летать через деревья и набирать огромное количество очков.

Но разобрать более сложное не так просто, поэтому хорошим способом прокачаться в этом деле может быть построение диффа между оригинальным приложением и модифицированным, чтобы посмотреть, что изменилось и какие паттерны для поиска можно использовать в дальнейшем (понятно, что для каждого приложения они будут отличаться, но нечто общее можно всегда найти).

Где можно взять модифицированные приложения и в достаточно большом количестве? Есть очень интересный канал, в котором выкладывают модифицированные версии приложений (чаще всего игры). Я иногда выкачиваю пару приложений, сравниваю с оригиналами и пытаюсь повторить модификацию) Иногда получается, иногда нет :D Ну и пару игрушек себе поставил с модами, надеюсь хоть там меня не забанят 😄

Так что, если вам интересно прокачаться в подобных модификациях и хочется потренироваться не на CTF, а на реальных приложениях - заходите в канал https://yangx.top/progifresh, не пожалеете (а может и свое приложение там найдете))

#Reverse #Android #ВП

Анализ приложения ProtonMail

Отличнейшая статья по анализу приложения ProtonMail, где наглядно и очень подробно расписаны и пояснены используемые принципы шифрования и защиты.

Особенно приятно, что ребята сделали проект открытым и его исходники доступны на github. Вот он, принцип Керкгоффса в действии!

В статье рассказано, как устроено локальное шифрование файлов, использование пин-кода и что делают специалисты, чтобы всё-таки получить исходные письма :)

На самом деле, можно многое почерпнуть как из статьи, так и из исходников по принципам хранения данных локально на устройстве.

За ссылку спасибо большое @EZ3K1EL

#iOS #forensic #protonmail

Первая тысяча

Юхху! Канал пробил 1000 человек! Знаменательная цифра, как никак :)

Спасибо большое вам, что читаете, что общаетесь в чате, скидываете интересные новости и делитесь опытом! Многие статьи или тулы пришли от подписчиков и это здорово!

Начиналось всё год назад, как попытка систематизировать то, что есть и желанием поделиться материалами, которые читаю. Надеюсь, что вам также интересно читать про новости мира безопасности мобилок, как и мне!

Спасибо всем, что вы остаетесь тут и читаете всё это. Без вас канала бы просто не было, я б просто забил, а тут прям ответственность что-ли чувствуешь! 😁

Через некоторое время хочу попробовать еще несколько активностей, надеюсь вам зайдет 😉

Ну а пока, хорошей недели!

#news #1000

Разбор CTF с использованием Frida

Вышла ещё статья из серии «решаем ctf при помощи Frida». Это уже пятая статья в серии, так что если не читали предыдущих, очень рекомендую посмотреть.

Данный мануал ещё интересен тем, что наглядно показывает, как можно искать и обходить наиболее популярные детекты root на Android. Конечно, в реальной жизни бывает сложнее, но как отправная точка отлично подойдет.

Ну а тем, кто задумывается или реализовывает детект в своем приложении, посмотреть, как это обходят и подумать над усложнением этой задачи 😉

#Android #CTF #frida