Mobile AppSec World

2022-06-15 15:02:55 Внимание, розыгрыш билета на Mobius! Друзья, так как в нашем чате не только безопасники и хацкеры, но и разработчики, вашему вниманию предлагается конкурс/розыгрыш билета на оффлайн день конференции Mobius, которая пройдет чуть меньше чем через две недели… Открыть/Комментировать

2022-06-11 23:06:40 Реверс iOS-приложений для начинающих

Отличная статья по реверсу и модификации iOS-приложений доя начинающих!

Никаких больших и тяжелых софтин, вроде IDA, дизассемблеров и прочего, только классика: otool, cycript и lldb.

Очень рекомендую всем, кто желает попробовать свои силы и начать погружаться в тему безопасности iOS. В качестве тренировки автором написано простое приложение, на котором и предлагается попробовать свои силы. Также может подойти в дальнейшем для какого-то простенького ctf или задачки на собесе :))

В общем, приятного чтения!

#ios #disassemble #lldb Открыть/Комментировать

2022-06-10 21:48:09 Немного пятничной ностальгии

А тем временем прошло уже два года с момента создания канала! Даже немного не верится, что столько времени мне удаётся его не забрасывать :D

Спасибо, что читаете, общаетесь и создаете ту атмосферу, ради которой всё это и затевалось (в том числе)!

Я постараюсь радовать вас и в следующем году жизни хорошими материалами, конкурсами и чем-то ещё веселым))

На этой отличной новости желаю вам хороших и плодотворных длинных выходных!



И не забывайте писать истории, разыгрываем два билета, на оффзон и на мобиус :)

#пятница Открыть/Комментировать

2022-06-09 16:42:12 Внимание, розыгрыш билета на Mobius!

Друзья, так как в нашем чате не только безопасники и хацкеры, но и разработчики, вашему вниманию предлагается конкурс/розыгрыш билета на оффлайн день конференции Mobius, которая пройдет чуть меньше чем через две недели в Санкт-Петербурге.

Предыдущий конкурс был про рассказ о самых запоминающихся уязвимостях, которые были найдены. Но с другой стороны, не всегда получается что-то поломать и все мы писали какие-то странные вещи в отчетах по тестированию (особенно, когда ничего не нашлось, а написать что-то надо).

Суть конкурса, которая подойдет и разработчикам и безопасникам:
Напишите в комментариях к этому посту или в нашем чате историю про самую дикую дичь, которую вы видели в отчете пентеста по мобильным приложениям. А может вы и сами такое писали когда-то?

К сообщению прикрепите тэг #mobius, чтобы я потом смог найти это в комментариях и выбрать победителя.


Ну что, посмотрим, у кого истории будут интереснее, у людей, которые ищут уязвимости или которые читают наши отчеты

P.S. Так как конференция уже скоро и нужно планировать, этот конкурс продлится до среды (15 июня).

Не стесняйтесь, мы готовы к любым историям

Поехали!

#конкурс #mobius #story Открыть/Комментировать

2022-06-08 18:10:37 Внимание, розыгрыш билета на OFFZone 2022!

Всем привет!

Как вы знаете, скоро будет проходить очень крутая конференция по безопасности - OFFZone 2022, которая пройдёт в Москве 25-26 августа!

И, так как я принимаю в ней небольшое участие, я хотел бы разыграть проходку на это замечательное мероприятие.

Вообще, проходок и конкурсов будет несколько, это только первый из них! Один будет творческим, второй более техническим.

Итак, суть конкурса простая, у каждого из нас есть история (или даже несколько) о самых прикольных, интересных, сложных или тупых уязвимостей, которые находились в мобильных приложениях. А может вы и сами когда-либо допускали такие ошибки?)

Расскажите об этом, как вы их искали, почему это запомнилось, что понравилось, может, даже написали статью или пост про это.

В общем любые веселые, хардкорные или интересные находки!

Писать можно в комментариях к этому посту или в наш чат c тегом #offzone1

В конце, как наберется достаточно историй (скажем, через 2 недели), я выберу ту историю, что понравилась больше всего и отдам бесплатную проходку на конференцию!

Думаю, что каждый из нас может вспомнить что-то интересное, давайте немного поностальгируем и повеселимся!

#offzone #offzone2022 #конкурс Открыть/Комментировать

2022-06-08 06:59:15 Уязвимость в UNISOC

Хорошая статья, правда не про приложения, а про мобильные устройства и их хардварную часть.

Уязвимость в чипсете UNISOC, которая позволяет, по факту, полностью отключить человека от мобильной сети.

Статья интересна техническим описанием протоколов и различными схемами коммуникации, многочисленными отсылками к документации и спецификациям. В общем, для лучшего понимания, как наши устройства работают - самое то!

Хорошего чтения!

#unisoc #vulnerability #dos Открыть/Комментировать

2022-06-07 08:46:34 Полезный Frida-tool для iOS/Android

Достаточно интересный репозиторий для анализа iOS-приложений, который представляет из себя обвязку над несколькими функциями фриды и умеет делать еще несколько полезных вещей:
- дамп расшифрованного ipa
- логи с устройства
- отключение проверки на jailbreak/pinning
- получение дампа памяти с приложения

И ещё много полезных вещей, которыми можно управлять из единого места. Написано на питоне, так что без труда можно модифицировать под себя.

Рядом лежит второй похожий репо этого же автора, только для Android. Тот же самый функционал с набором разных скриптов под frida. Можно интересное посмотреть что-то.

И последний репозиторий от этого же автора, с большим количеством видео и примерами по использованию - перехват зашифрованного трафика для некоторых приложений, которые дополнительно делают что-то с данными при передаче их на сервер.

Кстати, видео-уроки/демо по работе с этими инструментами есть у автора на Youtube, так что можно вживую посмотреть, как эти инструменты работают.

Вообще, выглядят эти тулы достаточно интересно и перспективно.

#ios #frida #frida-ios-hook #Android Открыть/Комментировать

2022-06-06 07:23:36 Уязвимости в предустановленных приложениях

А ещё и во фреймворке компании “mce Systems” были найдены исследователями Майкрософт (как-то их research-команда мимо меня проходила, не знал, что они анализируют что-то кроме себя самих).

Вообще статья достаточно неплоха, и баги интересные (выполнение кода, инжект JS, повышение привилегий через десериализацию). Описаны тоже неплохо, даже иногда с советами, как можно этого избежать.

В общем, можно глянуть и если вам на проверку пришло приложение, с похожей библиотекой, вспомните про этот пост и проверьте, нужную ли версию они юзают

P.S. В статье первый раз увидел упоминание PiTM (Person in the Middle), сначала задумался и даже загуглил, что это за разновидность такая атаки)))))

#microsoft #android #vuln #research #pitm Открыть/Комментировать

2022-06-06 07:08:05 Определение «зловредности» приложения.

Попался на глаза интересный репозиторий, который используя специально обученную ML-модель определяет, является ли Android-приложение malware и с какой вероятностью.

Сеть натренирована на репозитории, в котором представлена куча всяких зловредов под Android (около 300 штук), на любой вкус. Можно самому посмотреть, как какой из них работает.

Интересно попробовать свои приложения в него позагружать и посмотреть, какие из них он посчитает вредоносом.

#Android #malware Открыть/Комментировать

2022-06-02 19:27:15 Объявляем Call for Papers для OFFZONE 2022!

Почитать о подаче заявок, принципах CFP и бонусах для спикеров можно на сайте. Если коротко:

Заявку можно подать до 3 июля.
Будет два формата выступлений — Talk и Short Talk.
Подавать заявку нужно лично. Нет, через пиарщика нельзя.
Приложить к докладу можно любые материалы. Да, даже фото котиков, если они помогут оценить качество исследования.

До встречи Открыть/Комментировать