Mobile AppSec World

2021-05-29 00:55:28 ​​Мы теряем таланты!

Новость уже немного поросла мхом, но тем не менее

Создатель и, что логично, основной разработчик magisk (утилита или набор скриптов для модификации Android, а так же сокрытия этого факта от системы и остальных приложений), перешел в команду безопасности Android, о чем сообщил в своем твиттере.

Очень неплохая статья на русском на Хабре, с обсуждением, к чему это может привести и чего дальше ждать. Как мне кажется, особо ничего хорошего для проекта Magisk :(

И это не первый и, думаю, не последний ход Google по найму людей, которые умеют качественно ломать Android в свою команду безопасности. Сначала @B3nac, потом автор magisk, интересно, кто будет следующим? Есть у меня один знакомый на примете

Но, поживём, увидим!

Всем хороших выходных!

#magisk #google #hiring Открыть/Комментировать

2021-05-27 20:17:54 Видео от замечательного @OxFi5t

Всё как обычно по делу! Открыть/Комментировать

2021-05-27 19:42:42 Давненько ничего не выкладывал на YouTube и на то были причины. Но о них как-нибудь потом. По ссылке найдете лекцию по основам информационной безопасности, которую я читал в рамках "Робопрактики", которую компания red_mad_robot каждый год проводит для мобильных разработчиков. В лекции можно найти:

- Основные понятия из мира ИБ
- Моделирование злоумышленников и угроз
- Основы криптографии (симметричная, асимметричная, цифовые подписи, сертификаты, хэш-функции, KDF-функции)
- HTTP vs HTTPS, MITM и SSL Pinning
- Основные угрозы мобильных приложений

Материал подойдет для всех грейдов разработчиков, которые желают разобраться в вопросах информационной безопасности или как-то систематизировать свои знания. Видео вышло довольно длинным, поэтому я добавил туда максимально гранулярные таймкоды. Короч я старался, похвалите меня



Открыть/Комментировать

2021-05-27 12:00:12 Новый стандарт межпроцессного взаимодействия на Mac

Недавно стало известно о новом формате межпроцессного взаимодействия на Mac, выпущенных с новым процессором М1.

Новый формат получил название M1racless и позволяет двум любым приложениям скрытно обмениваться между собой данными без использования памяти, сокетов, файлов и любых других стандартных функций операционной системы. При этом это возможно осуществить для процессов, запущенных от разных пользователей и с разными привилегиями

Ну а если серьезно, то это новая крутая уязвимость в самом чипе М1 и ее нельзя исправить программно, то есть - нужна новая аппаратная ревизия чипа) Уязвимость получила идентификатор CVE-2021-30747 и большую статью с ответами на большинство вопросов, которые возникают, когда слышишь про такую уязвимость.

По большому счету, чего-то безумно страшного не случилось, просто некоторые приложения смогут без ведома пользователя и операционной системой общаться между собой =) И в статье автор очень хорошо расписывает ответы на самые частые вопросы с неплохим юмором в ответах)

#Mac #CVE #Vulnerability Открыть/Комментировать

2021-05-25 14:51:59 Вебинар по динамическому анализу приложений

Друзья, через десять минут начинается наш первый вебинар - "Динамический анализ приложений". Очень волнительный первый опыт проведения подобных мероприятий Поговорим про динамику для мобильных и веб-приложений, посмотрим инструменты для анализа.

Если вы по каким-то причинам не зарегистрировались, то еще не поздно это сделать по ссылке: https://stingray-mobile.ru/vebinar-devsecops-dinamicheskij-analiz-prilozhenij.html

Если по ходу вебинара возникают вопросы, пишите их в чатик. Отвечу на вебинаре или, если не успею, в чате.

Всем до встречи! Открыть/Комментировать

2021-05-17 23:48:59 Chain of Trust в iOS. Часть первая - Boot ROM

Очень неплохая статья недавно вышла на Хабр про процесс доверенной загрузки в iOS, которая не позволяет запускать неподписанный код на устройствах APlle и гарантирует, что программная часть iPhone будет запущена только на выпущенном Apple железе. В статье описан первый этап из этой цепочки - BootRom.

Что в этой статье мне понравилось - это не просто копипаста с официальной документаци, как обычно это бывает, а полноценная статья с достаточным количеством интересной информации по внутреннему устройству этого процесса. Не сильно детальная, но от этого не менее интересная!

#iOS #ChainOfTrust Открыть/Комментировать

2021-05-11 13:32:19 Поиск талантов

Всем привет после долгих праздников, если вы из тех счастливчиков, что отдыхали и не работали

А сегодня я к вам с отличным предложением, если вы задумывались о том, чтобы сменить работу или хотели бы перейти из разработки в безопасность, это ваш шанс попасть в крутую компанию.

Мои хорошие друзья, очень крутая команда AppSec из Тинькофф Банк ищет себе в команду человека, который бы помог выстроить процесс безопасной разработки для мобильных приложений. Тут все радости жизни, и использование инструментальных средств, статический, динамический анализ, ручная проверка, интеграция в процесс, автоматизация всего и вся и возможность повлиять на продукты компании и сделать их еще более безопасными!

Немного из официального объявления:
Формат работы: офис, удаленная работа.
ЗП: до 250 000 руб. net.
Обязателен опыт разработки под Android или iOS.

За подробностями к @olyazlg.

#offer #job Открыть/Комментировать

2021-05-11 13:25:07 И снова про ключи в исходниках

После выхода вот этой замечательной статьи многие начали проверять, какие FCM ключи лежат у них в приложениях и проверять корректность их скоупа.

Недавно вышла еще одна интересная статья про утечки приватных ключей от AWS. В целом - та же самая история с неправильной конфигурацией прав доступа и их небезопасным хранением. При этом в статье приводится примеры приложений, у которых было найдены ключи, дающие доступ к сервисам ACM (Certificate Manager), ElasticBeanstalk, Kinesis, OpsWorks, S3. Один ключик и ты гуляешь по сервисам Adobe

Ну что же, это еще один повод проверить, какие ключи от каких сервисов и с какими правами вы используете в своих приложениях!

И да, всех с рабочей неделей после праздников, надеюсь вы успели немного отдухнуть

#AWS #Keys Открыть/Комментировать

2021-05-01 12:40:35 Перехват зашифрованного трафика «на лету»

Достаточно подробная статья про перехват ключей шифрования при помощи Frida.

Всё было бы вполне обыденно, если бы не дополнительное использование интересного плагина для BurpSuite - AES Killer, который позволяет менять контент в зашифрованных сообщениях.

То есть смысл простой, через фриду получаем ключ шифрования, прописываем его в плагин Burp и дальше видим расшифрованные значения в трафике. При этом на сервер отправляется зашифрованное сообщение (с нашими изменениями).

Всего несколько раз встречал подобное дополнительное шифрования внутри канала связи, но если кто-то вдруг столкнется с этим, вы теперь знаете, как облегчить себе жизнь :)

#frida #crypto #aes Открыть/Комментировать

2021-04-30 16:12:56 Эксплуатация уязвимостей Memory Corruption в Android

Как обычно максимально детальная и крутая статья от Oversecured, посвященная уязвимостям, связанным с Memory corruption.

Для меня всегда оставалось немного непонятным, что именно можно извлечь из подобных уязвимостей, если ты добился своего SIGSEGV

Благодаря этой уязвимости и нескольким условиям, можно попробовать как минимум получить критичные данные пользователя. А в статье как раз описан способ, как это можно сделать.

Всем хорошей пятницы и интересного чтения!

#MemoryCorruption #Oversecured #Education Открыть/Комментировать