Mobile AppSec World

2021-08-19 11:01:08 Канал про безопасность iOS

Больше каналов Богу каналов! А на самом деле, отлично, что появляются новые классные каналы про безопасность мобильных приложений, особенно тематические, по Android, iOS, Windows Phone (прости господи)!

А этот канал от @EZ3K1EL, человека, который выложил немало ссылок, которые попали к нам в канал и чат.

Так что прошу, канал по безопасности iOS: https://t.me/IOSAppSec

Подписываемся, ставим колокольчик и вот это все
Я уже подписался, буду тоже следить

#iOS #Security #tg Открыть/Комментировать

2021-08-19 10:52:33 ​​Увидимся на ZeroNights

Всем привет, уже скоро, на следующей неделе, 25 августа, всё-таки пройдет конференция ZeroNights!

Я на самом деле очень жду этого события, так как давно не выбирался на подобные мероприятия, особенно в оффлайн формате. Очень хочется увидеть всех знакомых и друзей, послушать интересные доклады и побывать на Hardware Village, затариться мерчем и отдохнуть!

Кто еще не определился, ехать или нет, мой совет, езжайте, не пожалеете!

Увидимся на ZN! До следующей недели :)

#ZN #Conference Открыть/Комментировать

2021-08-17 23:03:57 Анализ безопасности приложений Samsung Бери Samsung, говорили они, он безопасный, говорили они И по итогу, установка произвольных приложений (при этом им система еще выдает административные права), кража СМС, контактов, кража данных из нотификаций и много… Открыть/Комментировать

2021-08-12 01:20:00 Разбор CTF с использованием Frida

Вышла ещё статья из серии «решаем ctf при помощи Frida». Это уже пятая статья в серии, так что если не читали предыдущих, очень рекомендую посмотреть.

Данный мануал ещё интересен тем, что наглядно показывает, как можно искать и обходить наиболее популярные детекты root на Android. Конечно, в реальной жизни бывает сложнее, но как отправная точка отлично подойдет.

Ну а тем, кто задумывается или реализовывает детект в своем приложении, посмотреть, как это обходят и подумать над усложнением этой задачи

#Android #CTF #frida Открыть/Комментировать

2021-08-09 01:16:26 Первая тысяча

Юхху! Канал пробил 1000 человек! Знаменательная цифра, как никак :)

Спасибо большое вам, что читаете, что общаетесь в чате, скидываете интересные новости и делитесь опытом! Многие статьи или тулы пришли от подписчиков и это здорово!

Начиналось всё год назад, как попытка систематизировать то, что есть и желанием поделиться материалами, которые читаю. Надеюсь, что вам также интересно читать про новости мира безопасности мобилок, как и мне!

Спасибо всем, что вы остаетесь тут и читаете всё это. Без вас канала бы просто не было, я б просто забил, а тут прям ответственность что-ли чувствуешь!

Через некоторое время хочу попробовать еще несколько активностей, надеюсь вам зайдет

Ну а пока, хорошей недели!

#news #1000 Открыть/Комментировать

2021-08-06 01:41:34 Анализ приложения ProtonMail

Отличнейшая статья по анализу приложения ProtonMail, где наглядно и очень подробно расписаны и пояснены используемые принципы шифрования и защиты.

Особенно приятно, что ребята сделали проект открытым и его исходники доступны на github. Вот он, принцип Керкгоффса в действии!

В статье рассказано, как устроено локальное шифрование файлов, использование пин-кода и что делают специалисты, чтобы всё-таки получить исходные письма :)

На самом деле, можно многое почерпнуть как из статьи, так и из исходников по принципам хранения данных локально на устройстве.

За ссылку спасибо большое @EZ3K1EL

#iOS #forensic #protonmail Открыть/Комментировать

2021-08-04 14:29:00 ​​Модификация Android-приложений

В мире мобильных приложений под Android всегда есть интересные моменты, связанные с модификацией приложений. Выключение рекламы, разблокировка Pro-версий, модификация логики работы, отключение проверок безопасности

Мне в свое время очень понравилось модифицировать игру ClumsyBird, где закомментировав одну строку в smali можно было бесконечно летать через деревья и набирать огромное количество очков.

Но разобрать более сложное не так просто, поэтому хорошим способом прокачаться в этом деле может быть построение диффа между оригинальным приложением и модифицированным, чтобы посмотреть, что изменилось и какие паттерны для поиска можно использовать в дальнейшем (понятно, что для каждого приложения они будут отличаться, но нечто общее можно всегда найти).

Где можно взять модифицированные приложения и в достаточно большом количестве? Есть очень интересный канал, в котором выкладывают модифицированные версии приложений (чаще всего игры). Я иногда выкачиваю пару приложений, сравниваю с оригиналами и пытаюсь повторить модификацию) Иногда получается, иногда нет :D Ну и пару игрушек себе поставил с модами, надеюсь хоть там меня не забанят

Так что, если вам интересно прокачаться в подобных модификациях и хочется потренироваться не на CTF, а на реальных приложениях - заходите в канал https://t.me/progifresh, не пожалеете (а может и свое приложение там найдете))

#Reverse #Android #ВП Открыть/Комментировать

2021-08-04 01:54:46 Гайд по реверсу iOS приложения на примере ExpressVPN

Очень неплохая статья о нелегком пути реверса на iOS вышла недавно на Хабре от @skillzq.

Автор разбирает приложение ExpressVPN, как оно осуществляет SSL Pinning, как его снимать, как найти место, где шифруется запрос и как вытащить ключ шифрования и много других интересных моментов.

Приятно почитать и особенно круто, что в конце статьи есть ссылка на Github автора, где можно посмотреть, как именно он все это свел в работающий полноценный модуль для тестирования!

За это отдельный респект, всегда после таких статей не хватает чего-то подобного, когда можно взять и детально разобрать работающий код!

Спасибо автору!

#iOS #Reverse Открыть/Комментировать

2021-08-03 01:15:09 Способы защиты Pokemon Go

Когда игра только вышла было достаточно сложно в неё играть, так как читеров была куча :) Что там говорить, мой первый аккаунт тоже забанили Но популярность росла и Niantic сделали многое для защиты своего приложения!

Нашел очень хорошую статью про техники защиты в этой игре. Разобраны механизмы, которые применяются для детекта читеров, детально описано, как их найти. Можно очень многое почерпнуть из этой статьи и пополнить коллекцию приемов :)

А что ещё интереснее, это ссвлка в конце на обзор реверса похожего по защите приложения, тоже рекомендую посмотреть, а также зайти в список статей, там много интересного, включая первую часть обзора реверса приложения.

#iOS #cheat #pokemon Открыть/Комментировать

2021-07-28 18:09:06 ​​Результаты

Я, конечно, не ожидал такого ажиотажа, поэтому не смог в полной мере прочитать все материалы, которые вы прислали в предыдущем посту и все решил великий рандом =)

Поэтому, заходим на random.org и генерируем два случайных числа в диапазоне от 1 до 3-х :D

@dmitriy_sam и @OxFi5t ваши промокоды скоро будут в личке) Открыть/Комментировать