Mobile AppSec World

2021-02-12 18:08:27 Google продолжает радовать неплохими документами. На этот раз они собрали хороший чеклист, по основным требованиям к качеству Android-приложений. Это не какое-то божественно откровение, просто хороший чеклист. Нас, как обычно, интересует "шо там по безопасности". Рекомендации (или требования) опять же довольно стандартные, но удобно, что собраны в одном месте и без воды (в отличие от этого сообщения).

Коротко, что имеем:

- Запрашивать как можно меньше разрешений
- Без крайней нужды не запрашивать разрешения на возможности, которые тратят деньги пользователя (SMS и звонки)
- Запрашивать разрешения в контексте функциональности, а не "на всякий случай" при старте приложения
- Объяснять пользователю зачем запрашиваете разрешения
- Вся конфиденциальная информация должна храниться только во внутреннем хранилище (internal storage)
- ПД и прочая конфиденциальная инфа не должна попадать в логи
- Не использовать хардварные идентификаторы, такие как IMEI для идентификационных целей
- Предоставлять подcказки для autofill фреймворка
- Интегрировать One Tap Sign-up/Sign-in
- Интегрировать биометрическую аутентификацию
- Экспортировать только те компоненты, которые должны делиться данными с другими приложениями
- Все интенты и бродкасты должны следовать лучшим практикам безопасности (почитайте по ссылке, там много)
- Все контент провайдеры, которые шарят данные между вашими приложениями должны использовать protectionLevel=signature
- Весь сетевой трафик отправляется только по SSL
- Должен быть настроен пиннинг через network security configuration
- Если приложение использует сервисы Google Play, то security provider нужно инициализировать при старте приложения
- Все библиотеки должны иметь актуальные версии
- В приложении не должно быть отладочных библиотек
- Не использовать setAllowUniversalAccessFromFileURL() в WebView для доступа к локальному контенту. Вместо него нужно использовать WebViewAssetLoader. На Android 6.0 и выше, вместо этого нужно использовать HTML message channels.
- Приложение не должно динамически загружать код (dex файлы) из внешних источников. Нужно использовать App Bundles.
- Приложение должно использовать лучшие криптографические алгоритмы и генераторы случайных чисел из доступных на платформе, а не реализовывать свои алгоритмы шифрования.

https://developer.android.com/docs/quality-guidelines/core-app-quality#sc Открыть/Комментировать

2021-02-11 23:57:51 Способ MiTM при помощи VPN

Я уже как-то писал о способе завернуть трафик мобильного приложения через прокси при помощи VPN. А также при помощи API Android, но без VPN сервера.

И сегодня наткнулся на похожую статью, но с немного другим гайдом, попроще.

Это может помочь в случае, если приложение игнорирует настройки операционной системы по использованию Proxy. Немного наркоманский, но всё же способ :)

#VPN #MiTM #Proxy Открыть/Комментировать

2021-02-08 12:19:37 Сам выпуск, в котором обсуждали эту статью уже доступен на различных подкаст площадках.

Google Podcasts - https://podcasts.google.com/feed/aHR0cHM6Ly9hbmNob3IuZm0vcy80YjMyODkxYy9wb2RjYXN0L3Jzcw==

Apple Podcasts - https://podcasts.apple.com/us/podcast/android-guards-community-podcast/id1552280775

Или поищите в своем плеере подкастов, возможно есть уже и там. Открыть/Комментировать

2021-02-08 12:13:33 Вышла статья от Паши Васильева, с которым мы общались недавно в подкасте.

В статье подробно рассказывается, что плохого можно сделать с вашим телефоном если на нем разблокирован загрузчик. Всем любителям "root это мой выбор, я хочу решать сам!" посвящается

Как говорил ранее - рекомендую прочитать ее всем, независимо от вашего уровня. Она реально крутая.

https://habr.com/ru/post/541190/ Открыть/Комментировать

2021-02-07 23:01:47 Открыть/Комментировать

2021-02-07 23:01:46 Обновление политики конфиденциальности Apple

Ещё в прошлом году вышло обновление политики конфиденциальности загружаемых приложений в AppStore. Теперь на странице загрузки можно посмотреть всю информацию, которую собирает приложение.

Все очень долго обсуждали тему с данными,которые собирает Facebook, там было целых 3-4 экрана всего, что они коллекционируют)) мне кажется нет ни единой крошки информации, которое бы это приложение не собирало)))

Но! Сегодня речь немного о другом, а именно о приложениях Google. Я не знаю, правда это или нет, так как проверять все их приложения времени особо нет, но на фотографии ниже представлены обновления приложений от Google. Большая часть из них последний раз обновились аккурат до 8-го декабря...

Я посмотрел на пару популярных: карты, почта, календарь, youtube. Из них только youtube загружен недавно..

Совпадение, заговор или просто приложения настолько идеальны, что их больше не нужно обновлять?)) Не знаю, с чем это связано, но сам факт очень интересен, почему нет обновлений на протяжении уже нескольких месяцев?) Открыть/Комментировать

2021-02-06 21:42:05 Онлайн анализатор Android приложений

Недавно появилось упоминание бета версии анализатора для выявления уязвимостей в мобильных приложениях под названием Pithus.

По словам автора это совсем бета, работает на небольших ресурсах и ограничивает выдачу 50-ю результатами.

Анализ Pithus основан на нескольких хорошо известных инструментах:
- APKiD
- ssdeep
- Dexofuzzy
- Quark-Engine
- AndroGuard
- MobSF
- Exodus-core
- MalwareBazaar

Честно говоря, сам ещё не успел попробовать, но ожидаю, что без корреляции уязвимостей от разных инструментов это будет просто агрегированный отчёт из кучи инструментов. Хотя это тоже не так уж и плохо.

Исходный код проекта на github тут.

#Android #Tools Открыть/Комментировать

2021-02-06 00:23:53 Улучшение механизмов безопасности на основе данных

Неплохая статья от Google по механизмам защиты в Android и как они выбираются и внедряются.

Увлекательный рассказ о том, как именно определяется области а Android, которые требуют усиления безопасности. Google анализируют данные от внешней программы багбаунти, от внутренних пентестов (их команда Red Team), а так же данные с фаззеров на эмуляторах и реальных устройствах.

Интересно почитать, про то, что делает такой гигант для безопасности своей платформы

#Android #Google #Data Открыть/Комментировать

2021-02-05 01:36:43 Разбор Flutter

Почему-то очень знакомая статья по виду, но не помню, чтобы я её скидывал.

Введение в реверс flutter приложений, где неплохо расписана вводная часть, про то как он устроен, что мы видим со стороны реверса, основные особенности.

Не так, чтобы это была методичка по анализу, но для понимания как и что устроено подойдёт отлично!

#flutter #android #reverse Открыть/Комментировать

2021-02-02 23:32:02 Несколько интересных уязвимостей в Facebook

Похоже, что кто-то неплохо покопался в приложении Facebook и нашел там ряд занятных уязвимостей. И спасибо автору, что про них написал, хотя мог бы и поподробнее вообще-то

Первая уязвимость связана с возможностью запуска deeplink. Интересный вектор, связанный с добавлением в интерфейс нового элемента, который контролируется злоумышленником.

Вторая уязвимость связана с возможностью обхода ограничений "закрытых страниц", на которых нельзя сделать снимок экрана. Способ обхода достаточно прост - закрытая страница открывается в WebView вместо стандартного компонента и защита не работает.

В этой баге меня больше всего радует ответ Facebook: "Да там куча возможностей обойти этот механизм, спасибо, что рассказали ещё об одном" Типо мы знаем, но чот сложно всё закрыть, так что пофиг)

#Facebook #Android #Writeup #Vulnerabilities Открыть/Комментировать