Mobile AppSec World

2021-06-13 10:38:45 ​​ZeroNights 2021

Всем любителям конференций :)

Уже очень скоро, 30 июня в Питере пройдет одна из основных конференций по информационной безопасности - ZeroNights 2021. Мне лично очень нравится и сама конфа и атмосфера, которой она сопровождается.

Мы в этом году, к сожалению не выступаем, но надеюсь, что к следующему году мы уж точно наберем достаточно материала и времени для нескольких выступлений так что в этом году просто послушаю доклады и пообщаюсь с друзьями за бутылочкой Club Mate)

По нашей теме, будет как минимум один интересный доклад об уязвимостях в Samsung (опять) и о построении собственных эмуляторов на базе QEMU. Обязательно пойду послушать :)

Если кто-то соберется поехать, то увидимся на конференции!

#zeronights #conference Открыть/Комментировать

2021-06-11 17:00:09 Уязвимость в Mattermost приложении под Android

Уязвимость Persistant Arbitrary code execution в приложении Mattermost под Android. Очень интересная бага, учитывая, что это OpenSource проект, и на его основе многие компании строят свои внутренние мессенджеры. Так что, если вы используете в компании Mattermost, то обновитесь на свеженькую версию)

Суть атаки в наличии уязвимости Path Traversal в одном из параметров, который принимает ContentProvider. Благодаря этому можно перезаписать одну из нативных библиотек в приложении и при следующем запуске будет выполнен код, который атакующий зашил в метод OnLoad внутри натива.

Крайне знакомая техника, где же я о ней читал?

#Mattermost #Vulnerability #ACE Открыть/Комментировать

2021-06-11 11:00:09 Запуск приложений Mac на Jailbreaked iPhone

Пока кто-то пытается запускать любые iOS-приложения на M1 и обойти ограничения Apple на запуск неподписанного кода, другие пытаются запустить приложения для Mac на айфоне. Зачем? Ну не знаю, например, чтобы проверить предположение, что mac и ios взаимодополняют друг-друга и могут спокойно запускать приложения друг-друга. Ну или просто just-for-fun)

На самом деле очень интересная статья, которая может помочьт во внутреннем изучении системы и понимании логики работы обеих систем.

#iOS #MacOS #M1 #iPhone Открыть/Комментировать

2021-06-10 19:56:01 Анализ безопасности приложений Samsung

Бери Samsung, говорили они, он безопасный, говорили они

И по итогу, установка произвольных приложений (при этом им система еще выдает административные права), кража СМС, контактов, кража данных из нотификаций и много чего еще. Что-то уже не кажется, что все так хорошо))

И все это описано в потрясающей статье от великолепного @bagipro про исследование безопасности предустановленных приложений в Samsung. Все уязвимости найдены при помощи сканнера Oversecured ;)

В статье подробно изложены методики анализа и причины возникновения уязвимостей, а также представлены PoC для последующего изучения и повторения техник) Ну а что мне больше нравится, это название статьи "...Part 1", которое подразумевает продолжение.

Очень ждем продолжения и больше-больше крутых техник и уязвимостей!

#OverSecured #bagipro #vulnerabilities Открыть/Комментировать

2021-06-09 18:05:49 Произошло целых два события: отгремела Google I/O 2021 и у меня нашлось время собрать всякую интересную инфу по privacy & security фишкам, которые там показали. Обзор получился довольно объемный, поэтому в описании вас традиционно ждут таймкоды и куча тематических ссылок. Смотрите, комментируйте, задавайте вопросы. Там есть что обсудить!


Открыть/Комментировать

2021-06-03 01:20:40 Запись с вебинара

Всем привет! Выложили запись с вебинара, кто не успел поприсутствовать лично, можно посмотреть в комфортное время.

Вроде получился достаточно неплохой обзор практик, которые можно применять при анализе мобильных приложений и немного рассказал про то, как динамику проводим мы. Может быть немного по капитански, но я правда старался) Первое подобное мероприятие, которое относится непосредственно к тому, что я делаю, так что было немного волнительно

Формат достаточно неплохо зашел, так что подумаем над тем, чтобы его продолжить в виде нескольких видео по нашему продукту и как мы реализовали поиск интересных дефектов.

Stayu tuned, как говорится

#Webinar #record #stingray Открыть/Комментировать

2021-06-01 22:30:57 Нужна помощь специалистов

Всем привет, пользуясь тем, что могу сюда писать обращаюсь к вам за помощью

Если вы разрабатываете или анализируете приложения, накидайте, пожалуйста в комментарии популярные библиотеки, которые часто используются при разработке Android или iOS приложений.

Сейчас прорабатываем интересную концепцию по поиску уязвимостей, хотелось бы побольше живых данных для старта набрать.

У меня пока что получился такой минимальный список:
https://github.com/google/guava
https://github.com/ReactiveX/RxJava
https://github.com/opencv/opencv
https://github.com/square/okhttp
https://github.com/alibaba/fastjson
https://github.com/google/gson
https://github.com/JetBrains/kotlin
https://github.com/square/retrofit

Накидайте названий или ссылок, чего угодно, буду очень благодарен, а после нашего эксперимента расскажу о результатах, какие бы они не были )) Открыть/Комментировать

2021-05-30 16:57:31 И ещё немного о приватности в Android 12

Официальная дока по улучшениям в обеспечении приватности пользовательских данных.

По накатанной дорожке, от релиза к релизу, Google ужесточает правила игры и запрещает приложениям собирать больше информации. И Android 12 не стал исключением. Немного наиболее интересных обновлений:

Буфер обмена
Теперь при чтении из буфера обмена, пользователю будет показано сообщение. Ранее гугл отключил доступ к буферу приложениям в фоне, а теперь ещё и нотификацию показывает.

Отчет о приватности
Анонсировали дашборд, в котором можно посмотреть отчет за последние 24 часа, в какое время какие приложения имели доступ к камере, микрофону и локации.

Выключение камеры и микрофона
Появились два новых выключателя в настройках, которые отвечают за камеру и микрофон. Если их выключить, то при попытке доступа к этим сенсорам будет выведено предупреждение, что сначала необходимо включить камеру и микрофон в настройках.

Ещё много занятных вещей появилось. И всё сильнее Google заботится о том, чтобы данные получали только они, а не другие приложения и сервисы

#Android12 #update #news Открыть/Комментировать

2021-05-29 17:14:52 Поправка к предыдущему посту

Прошу прощения, немного не верно понял информацию, удаляются не старые версии алгоритмов из поддержки, а именно их реализация в библиотеке BoucyCastle.

Через такой хитрый ход Google продвигает собственную библиотеку ConsCrypt.

Так что можно жить дальше :))

Спасибо большое @AndroidDevSec за поправку :) Открыть/Комментировать

2021-05-29 16:43:56 Устаревшие алгоритмы шифрования в Android

В новой версии Android, уже 12-й (!), объявили об удалении устаревших алгоритмов шифрования.

Дословно:
«Android 12 has removed many BouncyCastle implementations of cryptographic algorithms that were previously deprecated, including all AES algorithms.»

Думаю, что это нарушит работу многих приложений, так что, если вы используете алгоритмы, которые удалены, это может стать проблемой. Конечно, можно подключить внешнюю библиотеку и продолжать жить счастливо, но я бы рекомендовал все-таки обновить технологии шифрования. Тем более, учитывая, сколько уязвимостей есть в библиотеке BouncyCastle.

Другое интересное новшество:
"Your app uses 512-bit key sizes. Conscrypt doesn't support this key size. If necessary, update your app's cryptography logic to use different key sizes."

Размер теперь имеет значение
Если я правильно понял, необходимо использовать более длинные ключи в новых версиях Android. И это не может не радовать!

Конечно, это повлияет на разработку и заставит немного подкрутить логику работы с шифрованием, но в дальнейшем может повысить защищенность (очен на это надеюсь, по крайней мере).

Читая всё это задумался и начать писать статью о том, как эволюционировала безопасность системы Android со времён 4-й версии. Так что надеюсь, что в ближайшее время смогу порадовать интересным материалом!

#Android12 #update #news Открыть/Комментировать