Mobile AppSec World

2022-05-05 12:02:31 Расшифровка зашифрованных фотографий из приложения ‘AVG’ Photo Vault

Прочитал статью про расшифровку файлов из ещё одного приложения от антивируса AVG и подумал, что где-то я видел подобный стиль написания и объяснения шифрования. Пошарившись по сайту увидел, точно! Вот мой пост от того же человека, который фотки из калькулятора расшифровывал!

А если посмотреть на его блог, то это похоже к него такое хобби, искать приложения, которые что-то прячут и шифруют, а потом пытаться их взломать и получить фото без пароля)

Интересное хобби у человека :) может быть иногда очень полезно

Так что, если интересуетесь темой шифрования, расшифровки и анализа алгоритмов, вам точно стоит заглянуть в его блог!

#crypto #vault #research Открыть/Комментировать

2022-05-04 22:08:47 Советы по программе обучения

Написал статью, которая касается не только безопасности и разработки мобильных приложений, а вообще в целом всего процесса разработки. А именно, несколько советов по тому, как сделать программу обучения или, по другому, awareness в области безопасности внутри компании.

Понятное дело, что в целом, это достаточно «простой» процесс, но как обычно дьявол кроется в деталях. Я постарался описать несколько советов о том, с чем нам приходилось сталкиваться, какие вещи лучше всего работают и несколько советов тем, кто только начинает строить у себя в компании этот процесс.

Статья получилась познавательной и надеюсь те, кто занимается обучением и поддержанием интереса к безопасности у себя в компании, найдут что-то новое для себя.

#awareness #rb.ru Открыть/Комментировать

2022-05-04 05:28:40 Доклад об эксплуатации типичных уязвимостей в iOS

Хороший доклад от «инженера в компании Google днём и исследователя ИБ ночью” про типовые уязвимости в iOS-приложениях. Доклад доступен как в видео формате, так и записан и переложен на бумагу сайт для тех, кому текст воспринимать легче.

Доклад достаточно хороший, описывает разные стороны, куда посмотреть в приложении, в частности:
- анализ содержимого пакета приложения
- анализ URL-схем (открытие произвольных URL в WebView)
- SSL Pinning и его отсутствие
- Анализ UIWebView

Есть на что посмотреть, есть что поизучать, особенно начинающим в этой непростой, но очень интересной сфере безопасности.

#ios #vulnerabilities #analysis Открыть/Комментировать

2022-05-03 08:05:50 Библиотека для iOS-приложений для определение Jailbreak, дебагер и много чего еще

Весьма интересный проект "iOS Security Suite", написанный на Swift, который поможет вам определить
- Наличие Jailbreak
- Подключенный дебаггер
- Запуск в эмуляторе (наверное все-таки в симуляторе)
- Наличие различных инструментов для отладки приложений

Ну и выглядит достаточно интересно всякие вещи в стадии Experimental:
- Определение хуков в рантайме
- Определение целостности файла из Bundle
- Определение Breakpoint

Посмотрел на код библиотеки, все здорово и она действительно реализует все OWASP-требования и даже чуть больше. Но есть одна оговорка, название у всего этого хозяйства ну прям слишком вызывающее, например для определения Jailbreak - IOSSecuritySuite.amIJailbroken(). Будет слишком просто найти. Так что я бы посоветовал взять исходники к себе и немного пошаманить, чтобы названия были не такие говорящие о том, что этот модуль делает.

А вообще очень неплохой проект для того, что бы сходу получить пачку детектов. Только не поступайте как я в свое время и не включайте детект и предупреждение/блокировку пользователей сразу, а соберите побольше статистики и посмотрите, какие проверки когда срабатывают. Я свое время неплохо так получил за то, что мы реализовали проверку, которая фалзила и отключили половину пользователей

Пока писал пост, вспомнил, что давно-давно уже писал про этот фреймворк. Но он развивается, всякие фишки появляются новые, так что советую посмотреть (ну и статью по обходу тоже)

#ios #security #defence #library Открыть/Комментировать

2022-05-02 06:08:10 Увлекательная статья про печать фейковых чеков

Легко написанная и быстро читающаяся статья про уязвимости в аппаратах, которые печатают чеки. Оказывается, на некоторых из них стоит Android!

Автор описывает, как устроены такие устройства, как он проводил исследование и какие результаты получил.

Для нас, наверное не так интересно, но мне почему-то прям понравилось :) думаю, почитать за чашкой кофе можно вполне)

Всем хороших праздников!

#fiscal #android #research Открыть/Комментировать

2022-05-01 05:47:32 Немного об особенностях eSIM в Android

Немного не о безопасности, но раз уж сегодня праздник и не хочется прям сильно технического, обойдемся просто очень интересной статья, которая рассказывает о том, что такое eSIM, какие технологии используются и какие есть ограничения. А именно, что для eSIM до недавнего времени нельзя было держать два активных профиля. То есть одна eSIM - один оператор. В том числе и для этого многие производители устройств оставляли как минимум один слот для классической сим-карты.

Но Google решил пойти чуть дальше и в 2020 году запатентовал решение для программной возможности активной работы двух профилей на одном eSIM чипе. И это прям очень круто, теперь без физической симкарты можно спокойно использовать несколько операторов, которые предоставляют eSIM.

Нововведение должно заработать в Android 13.

#eSIM #DualSIM #Android Открыть/Комментировать

2022-04-30 06:46:58 Рефакторинг MASVS - секция CODE

Недавно я писал про планы провести глобальный "ребрендинг" и рефакторинг основных документов от OWASP для мобильных приложений. Секция про криптографию уже переработана и сейчас настала очередь рздела V7 - Code.

И надо сказать, что переделывают его неплохо, по крайней мере все спорные требования, которые было иногда трудно понять либо совсем убрали, либо перенесли в правильные разделы. К примеру требование "MSTG-CODE-7 Error handling logic in security controls denies access by default." наконец-то переехало в секцию архитектуры, где ей самое место.

А требование про "A mechanism for enforcing updates of the mobile app exists." либо вообще уберут, либо оно также переедет в архитектуру.

Так как этот документ и вообще проект OWASP это общественное мероприятие, обсудить и прокомментировать можно в обсуждении на github ( и там же актуальный дифф).

Так что, если есть, что сказать - добро пожаловать в комьюнити OWASP :)

#owasp #masvs #mstg #refactoring Открыть/Комментировать

2022-04-29 18:04:15 Экосистемы сейчас на хайпе. Про них даже один известный человек высказался: "Есть элементы этой экосистемы, которые нужно доработать. Нужно сделать свой интернет-магазин, потому что App Store и Google Play на сегодняшний день у нас уже практически могут скоро не дать возможности скачивать приложения".

А вот насколько хорошо разработчики приложений понимают, как построить безопасную экосистему? Чтобы не теоретизировать, я решил посмотреть на существующие экосистемы и рассказать вам об одной интересной уязвимости, которая характерна именно для экосистем приложений. Никакой теории, только код, кишки и ссылки для дальнейшего изучения. Открыть/Комментировать

2022-04-29 18:04:14 Ядовитая экосистема

Всем привет!
Встречайте пятничный предне-майский research от @OxFi5t!

Классная статья и очень интересная бага, я даже не знал, что так можно было делать) Открыть/Комментировать

2022-04-29 13:30:18 Отличный канал по iOS разработке

Я нечасто делюсь различными каналами, но в данном случае, не могу не поделиться, нашёл классный канал об iOS-разработке.

Автор пишет много и интересно про различные нюансы iOS разработки и особенности работы приложений. Иногда проскакивает материал и по нашей тематике. например про утечки памяти (тут и тут можно посмотреть).

Вообще для меня разработка на iOS всегда была сильно сложнее Android, но это и логично, в одном случае более менее понятная Java, возможность собирать приложения в любой операционке, открытый API. А в другом случае, это только Mac и иногда о внутренностях приходится либо догадываться, либо искать доклады, где люди реверсят различные механизмы iOS.

Так что в части поиска различных решений и подсказок по iOS разработке, думаю, что не раз еще обращусь к автору канала)

И кстати, сегодня вышла отличная статья на Хабр на тему, почему Apple может не пропустить ваше приложение в свой магазин. Спойлер - потому что потому :D

Вот с Google таких проблем нет, моя малварь до сих пор там живет и собирает лайки от довольных пользователей "Калькулятора для бухгалтера"


#iOS #development #teelegram Открыть/Комментировать