Mobile AppSec World

2021-04-28 16:49:13 Вебинар по динамическому анализу приложений

Всем привет!

Мы долго хотели попробовать новый для себя формат онлайн-мероприятий и наконец-то решились.

25 мая в 15-00 пройдет совместный вебинар по практике динамического анализа приложений. Расскажем про то, как анализировать Web и мобильные приложения, обсудим, как эти практики можно автоматизировать и включить в процесс разработки.

Зарегистрироваться, чтобы не пропустить это событие можно по ссылке.

Приходите, постараемся сделать эти несколько часов интересными и полезными для всех! Открыть/Комментировать

2021-04-13 23:50:43 Несколько видео про техники эксплуатации различных уязвимостей в Android

Для тех, кто лучше воспринимает видео и демо, чем статьи есть два неплохих видео про Android от милой девушки.

Первое - Android App Security Basics, где очень неплохо рассказано про основные компоненты системы и приведены ссылки на более подробные лекции про каждый из них.

Второе видео - Hacking Android WebViews про различные техники эксплуатации уязвимостей в WebView. Рассказано и показано достаточно наглядно :)

Спонсором идей и контентом для данных видео послужили материалы Oversecured, так что скажем большое спасибо за офигенный материал :)

#android #education #videos Открыть/Комментировать

2021-04-12 19:24:16 Скрипт для автоматической установки утилит для анализа мобильных приложений (Android и iOS)

Достаточно интересный проект для автоматической установки множества полезных тулов на Ubuntu Server (в виртуалке или на живом компе). Я думаю, что и для Ubuntu Desktop тоже вполне себе пойдет. Либо её можно использовать, как отличный гайд по всем представленным в списке инструментам, если у вас возникла сложность с их установкой.

Специально для ленивых, кто не хочет заморачиваться сам и получить готовый список тулов или для параноиков, которые могут подергать команды для автоинстала и получить свой собственный скрипт. Ну или в крайнем случае просто убедиться, что все тулы, которые нужны стоят и обновлены.

Список инструментов, которые автоматом ставятся:
- APKTOOL (Android)
- ADB (Android)
- JADX (Android)
- ByteCode-Viewer (Android)
- Drozer (Android)
- Hopper (Android and i0S)
- Burp/ZAP (Traffic Inspection)
- Frida and Frida-Tools (Android and i0S)
- Frida Android Tracer (Android)
- Android Backup Extractor (Android)
- PIDCAT (Android)
- MobSF (Android and i0S)
- AndroBugs Framework (Android)
- QARK Framework (Android)
- RMS, Dexcalibur and Passionfruit (Android and i0S)
- Radare2 and R2Frida (Android and i0S)
- MARA Framework (Android)
- APKiD (Android)
- Simplify (Android)
- iProxy and iDeviceInstaller (i0S)
- Frida-IOS-Dump (i0S)
- GrapeFruit (i0S)
- Objection (Android and i0S)
- Tools on iDevice (i0S)
- GuiScrcpy (Android and i0S)

#tools #Android #ios Открыть/Комментировать

2021-04-08 14:30:54 Большое обновление курсов по анализу мобильных приложений

Всем привет!

На драйве из предыдущего поста произошло глобальное обновление курсов, лекций и практических материалов по анализу защищенности и пентесту мобильных приложений.
За весь этот замечательныый контент скажем огромное спасибо @EZ3K1EL!

В общем, welcome, теперь это все в едином месте)

Примерный состав курсов и их описание (некоторые еще в процессе загрузки и будут доступны чуть позже)

SANS Cources
- FOR 518 - Mac and iOS Forensic Analysis and Incident Response
- FOR 585 - Advanced Smartphone Forensics (2017)
- SEC 575 - Mobile Device Security and Ethical Hacking (2017)

The Complete Mobile Ethical Hacking Course (11 Gb)
- Introduction
- Lab Setup
- Mobile Backdoors
- Android Studio Fundamentals
- Java Fundamentals
- iOS Development Fundamentals
- Rooting & Jailbreaking
- Reverse Engineering Android
- Reverse Engineering iOS
- Cloud Hacking Firebase Security
- CTF Banking App Hacking
- In-Network Attacks for Mobile Devices
- Closing

The Complete Android Ethical Hacking Practical Course
- Introduction
- Termux Basics
- Metasploit Framework
- Protect your files with Encryption
- Phishing Attack and hw to prevent unknown threats
- How an attacker access your Front camera
- Access front camera and back camera of your victims android device 100 working
- Optional Section
- Reward Section

Pentester Academy - Android Security and Exploitation for Pentesters
- 26-Cydia-Substrate

Dynamic Mobile Application Analysis and Manipulation
- Intro
- Android Dynamic Anaysis with Drozer
- iOS Dynamic Analysis with Needle
- Modifying Mobile Applications
- Mobile Application Runtime Manipulation
- Automated Runtime Manipulation with Objection
- Application Security Verification


Mobile Penetration Testing
- Mobile Penetration Testing
- Network Activity Analysis
- Network Manipulation Attacks
- Network Traffic Manipulation
- SSLTLS attacks
- Intercepting SSLTLS traffic
- Leveraging Mobile Malware
- Where to go from here

The Stolen Device Threat and Mobile Malware
- The Stolen Device Threat
- Jailbreaking iOS
- Rooting Android
- Data Storage on Android
- Data Storage on iOS
- Mitigating Malware

Static Application Analysis
- Static Application Analysis
- Manual Static Analysis
- Automating App Analysis
- Obfuscated Apps
- Third Party App Platforms

Udemy - Masters in Ethical Hacking with Android
Очень много контента

JSInfoSec Android Hacking
Очень много видео-уроков и лекций

Скачать все это (и не только) - можно тут

#books #education #courses Открыть/Комментировать

2021-03-23 11:17:53 Проблемы с WebView

А тем временем на Android-устройствах наблюдается проблемы с компонентом WebView из-за чего многие приложения крашатся и вылетают.

По словам аналитиков проблема в последнем обновлении компонента, которое и привело к трагическим последствиям. Как мы помним, Google начал выкатывать обновления системных элементов и обновления безопасности через сервисы Play Store, что существенно облегчило их своевременную доставку до устройств пользователей. Но, похоже, не всегда это работает во благо пользователей

У себя я такого не наблюдаю, но это скорее всего из-за того, что обновления на китайские трубки прилетают всё-таки позже. Так что будьте аккуратны)

#Android #Updates Открыть/Комментировать

2021-03-22 22:57:57 Неофициальный клиент club house на Android оказался вирусом

Ну просто Breaking news! Неофициальный клиент ClubHouse под Андроид тырил учетные данные от кучи приложений.

Как только ClubHouse начал адскую пар-компанию и стал безумно популярен, я ждал новостей про новые стилеры, мимикрирующие под него. Ну просто невозможно же пройти мимо такого хайпа)) Я думаю, что если попробовать поискать в PlayStore или просто в гугле, можно еще много подобных вещей найти))

Так что будьте аккуратны и не ставьте что попадя на свой телефон :)

#malware #android Открыть/Комментировать

2021-03-19 21:20:48 Алло, мы ищем таланты

Всем привет!

Меня зовут Юрий Шабалин (@Mr_R1p), я автор этого, надеюсь, полезного, канала.

В последнее время было не так много постов, но я обязательно исправлюсь, материала скопилось очень много и очень интересного! А все из-за увлекательной работы, в которую я ушел с головой.

Как некоторые из вас знают, мы разрабатываем систему Stingray, которая проводит динамический анализ мобильных приложений. До этого времени мы были в основном сосредоточены на Android, но пришло время полноценно подключить к этому действию и iOS.

Друзья, мы ищем себе в команду специалистов по анализу iOS-приложений, которым интересно не только искать известные уязвимости в приложениях, но и придумывать новые способы эксплуатации, а так же автоматизировать всё это добро. Заниматься придется много чем, это и исследовательская работа, и проработка архитектурных решений и, конечно главное - поиском уязвимостей.

Если кому-то из вас интересно попробовать свои силы и присоединиться к нашей дружной команде, пишите мне в личку, все более подробно расскажу. Ну или если есть кого порекомендовать или поделиться нашей вакансией или этим постом, то я буду очень благодарен.

Спасибо за внимание) Открыть/Комментировать

2021-03-15 20:24:54 Записали подкаст с Сергеем Тошиным. По его словам, а также по версии Google Play Security Rewards — Сергей является хакером #1 . В выпуске обсуждаем путь на вершины bug bounty, часто встречающиеся баги и авторский проект для поиска таких багов — Oversecured сканер.

Послушать выпуск можно в Google/Apple подкастах и на Youtube:
YouTube:


Google Podcasts: http://bit.ly/2PVXGh5
Apple Podcasts: http://apple.co/3eDKkAB Открыть/Комментировать

2021-03-15 20:24:54 Сергей Тошин (@bagipro) - самый крутой хакер Android, очень рекомендую послушать подкаст с его участием! Открыть/Комментировать

2021-03-10 21:58:33 Курс по взлому мобильных приложений

Спасибо @ezek1el_red, благодаря ему у нас есть возможность посмотреть и скачать курс от китайцев по анализу мобильных приложений!

Размер внушающий - 2,2 Гб, так что будьте осторожнее

Состав курса:
01 Introduction
02 Run Android on Windows
03 Run iPhone on MAC
04 Hack Android with Metasploit
05 Android Debug Bridge
06 OWASP GOAT
07 Ghost Framework
08 Android Hack via Browser Attacks
09 Android Defense

Сам курс пока не смотрел, но какая-то часть может быть безусловно полезна)

#Courses #Training Открыть/Комментировать