Mobile AppSec World

2022-05-25 10:05:05 Сколько было разговоров о том, что Fuchsia OS заменит Android и начнется новая эра? И где теперь эта Fuchsia OS? Оказалось, что она все еще активно разрабатывается и похоже не собирается умирать. Чтобы не прозозохать все на свете и быть готовым, когда Fuchsia OS придет в ваш дом - рекомендую прочитать этот серьезный материал. Из статьи вы узнаете:
- Что из себя представлет Fuchsia OS и как выглядит ее модель безопасности
- Как собрать ОС из исходников и написать приложение для нее
- Как выглядит ядро ОС и как его подебажить с помощью GDB и QEMU
- Как разрабатывать эксплойты для ядра Fuchsia OS (Zirocon)

Под чай с печеньками прочитать не выйдет. Придется включать мозги Открыть/Комментировать

2022-05-24 15:53:06 Нелегкий путь к динамическому анализу мобильных приложений

В предверии демо, решил немного поделиться тем, что произошло с нашим продуктом за последние несколько месяцев.

А именно, с какими проблемами мы столкнулись, как их решали и чего добились. Вышло, на мой взгляд, достаточно интересно. Технической информации там не много, но я просто не мог не поделиться своими переживаниями и эмоциями от того, что нам удалось сделать.

Надеюсь, что вам тоже будет интересно почитать)

Спасибо!

#habr #stingray #release Открыть/Комментировать

2022-05-23 21:05:05 Открыть/Комментировать

2022-05-23 21:04:03 Демо нашего инструмента для динамического анализа мобильных приложений - Stingray

Всем привет!
Как многие из вас знают, я занимаюсь разработкой инструмента по динамическому анализу мобильных приложений под названием Стингрей.

Недавно мы выпустили большое обновление и я подумал, что мне хотелось бы рассказать о том, что наш продукт вообще умеет, как работает и какие проблемы призван решить. В связи с этим вопрос, было бы вам интересно послушать про то, что мы делаем?

Предполагается свободный формат, без официальных введений, маркетинга, рекламы и прочего, просто я расскажу про то, чем мы занимаемся каждый день и отвечу на вопросы, если они будут.

Ниже прикреплю голосование и если будет интерес, то в ближайшее время проведем небольшое демо/рассказ о наших приключениях и пообщаемся немного за безопасность приложений =)

Всех с понедельником и хорошей, продуктивной работы!

#demo #stingray #poll Открыть/Комментировать

2022-05-22 01:24:43 Статья от OverSecured - Android security checklist: theft of arbitrary files

Сегодня прекрасный день на контент, несмотря на то, что выходной. Вышла новая статья от OverSecured, на этот раз про типичные уязвимости при работе с файлами.

В статье разобраны основные недостатки приложений, которые позволяют получить доступ к внутренним файлам приложения, которые по моему опыту нередко хранят в себе много интересной информации в открытом виде.

Ну и в дополнении, одна из предыдущих статей про уязвимости в WebView дополнилась еще одним пунктом, на который точно стоит обратить внимание.

Как обычно (спасибо автору @bagipro за это), статья содержит детальные описания, примеры кода, реальные срабатывания и даже несколько PoC для эксплуатации. Люблю такие статейки.

Всем приятного чтения и хороших выходных!

#Oversecured #android #files #vulnerability #filestheft Открыть/Комментировать

2022-05-21 08:24:41 Доклады о мобильной безопасности с Positive Hack Days

Как вы знаете, на неделе прошла конференция Positive Hack Days и на ней были доклады про безопасность мобильных приложений.

Я ещё не все разобрал, но вот парочка достаточно интересных, которые можно посмотреть уже сейчас:

- Интервью эксперта о безопасности мобильных приложений
Достаточно интересный разговор про безопасность мобилок, текущую ситуацию с магазинами, основные вектора угроз и всякое такое. Послушать, как подкаст вполне.

- Уязвимое мобильное приложение AllSafe глазами аналитика
Доклад от аналитиков Appscreener (статический анализатор), про уязвимое приложение и разбор нескольких уязвимостей в нем, как искать и как эксплуатировать:
* Sql Injection
* Arbitrary code execution
* Insecure Content Provider

А вот и сам код приложения. Что приятно, автор на каждый «флаг» дает ссылки на статьи/репорты о реально найденных подобных багах.


По мере просмотра, если найду что-то интересное из докладов, обязательно расскажу :)

#phd #video #mobile Открыть/Комментировать

2022-05-21 06:50:08 Митап посвящённый переделке MASVS и MSTG

Как я несколько раз уже писал, сейчас идет активная работа над переработкой контента в основных документах OWASP по мобилкам(MSTG и MASVS), чтобы сделать их более привязанными к реальности и взаимодополняющими друг друга, а так же добавить немного автоматизации при работе с ними.

И вот, скоро, 18 августа в 18:30 PM (GMT-4) пройдет митап, посвященный текущему статусу переработки, покажут, что получается, расскажут про целевое видение и дальнейшие планы.

К сожалению, по Москве это 1:30 ночи 19-го числа. Не думаю, чоо все готовы будут столько ждать, поэтому хочу попробовать записать его и потом выложить куда-то, думаю, что должно быть достаточно интересно.

Ну и чтобы не забыть, можно поставить напоминалку или зарегаться у них на сайте и добавить событие в календарь.

#owasp #masvs #meetup Открыть/Комментировать

2022-05-20 13:49:45 Пятничные новости

Продолжая рубрику "Новости мобильной безопасности" за прошедшие недели - новая подборка!

Несмотря на праздники и весьма напряженные дни, контента для выпусков и новостей хватает, так что надеюсь каждый найдет для себя что-то полезное, если не успели прочитать все это в канале.

Всем хороших выходных и хорошей пятницы!

#habr #news #mobileappsec Открыть/Комментировать

2022-05-18 12:55:01 Fuzzing инструмента radare2 в Kubernetes

Весьма занятная статья вышла про увеличение скорости фаззинга используя кубер.

Автор реализовал (а вернее взял из предыдущего исследования) небольшой блок кода, который рандомно меняет последовательность бит в бинарном файле. После, измененный бинарный файл отправляется в radare2 и отслеживаются падения, то есть, удалось ли обработать файл или нет.

Ну и всё это развернуто в кубе и гоняется на каждый релиз.

Вообще, несмотря на кажущуюся сложность, статья написана весьма неплохо и читается очень легко.

#fuzzing #radare2 #kuber Открыть/Комментировать

2022-05-18 10:39:36 Смотреть трансляцию Positive Hack Days бесплатно и без смс можно здесь - https://event.phdays.com/ru. Есть удобный фильтр по зонам. Доклады уже идут! Открыть/Комментировать