Mobile AppSec World

Всех с наступающим Новым Годом!

Друзья мои, хочу вас поздравить с наступающим новым годом!

Оглядываясь назад я вижу, какая огромная работа была проделана, сколько всего мы в этом году пережили и сколько всего сделали!

Я хочу поблагодарить всех вас, что читаете, поддерживаете, общаетесь, это безумно важно на самом деле! Это помогает писать статьи, посты, делиться с вами наблюдениями и интересными статьями и инструментами.

Отдельное спасибо, я хочу сказать своей команде, которая развивает «Стингрей», без вас, ребята и девушки, не было бы ничего!

Лично для меня это был, наверное, один из самых сложных и тяжелых годов.. Надеюсь, что у вас он прошел полегче 😅

Желаю всем нам главное здоровья, спокойствия, размеренной работы и активной личной жизни! Чтобы все профессиональные стремления воплощались, а личная жизнь била энергией и всегда отвлекала вас от рутины!

С новым годом нас!

Ура!
❤️ 🎉 🎄 💪 ❤️ 🥂

Внешние сервисы в мобильных приложениях на примере Firebase

Все мы встречаем во время анализа приложений различные токены от внешних сервисов. Но далеко не всегда мы обращаем на них внимание, а зря 😁

Самым часто встречающимся сервисом, по моему наблюдению, является Firebase. Это и пуши и Firebase Remote Config и много чего еще.

Мы не могли обойти эту тему и описали свой небольшой ресерч на тему корректности использования внешних сервисов и настройки ключей для них.

И конечно, написали небольшое приложение, которое вам поможет определить, от каких сервисов и с какими правами выданы ключи.

Надеюсь будет интересно и жду ваших комментариев!

Небольшая статья, которая поможет разобраться в разнообразии *links в Android

Всем привет!

Давно меня не было слышно, очень-очень плотно работа забрала себе :D
Но все-таки, хочется немного порадовать себя и вас. Сегодня у нас вышла новая статья по механизмам работы WebLinks, AppLinks и DeepLinks в Android. Я очень часто их путал и до конца не понимал, а в чем же отличие одного механизма от другого.

И наконец-то, совместно с @veselinaz до конца разобрались, что это и с чем едят.

Ну и конечно, сложно было не попробовать что-то сломать и попробовать проверить разные теории, как обойти проверку по верефицированному домену. Не скажу, что у нас получилось, сломать мы так ничего и не смогли, зато написали небольшую статью, чтобы всегда можно было освежить память и вспомнить, чем каждый из механизмов отличается и как поведет себя Android в той или иной ситуации.

Очень надеюсь, вам понравится!

Приятного чтения!

Замечательные времена удаленных эксплойтов

Кто-то помнит те чудные и прекрасные времена с постоянным Jailbreak, когда не нужно было беспокоиться о перезагрузках, о тех отличных Jailbreak через посещение сайта! Отличное было время!

И спустя много лет вышла статья, которая очень подробно раскрывает все технические детали и поясняет, как это было реализовано..

Очень круто и очень интересно!

Вот бы такое для iOS17...

#ios #jailbreak

Каналы по безопасности

Всем привет!
Я немного слоупок, поэтому возможность шарить папки с чатами оказалась внезапно очень удобной))
А тут и коллеги сформировали неплохую подборку из разных каналов по ИБ

В папке собраны телеграм-каналы, где можно найти актуальные новости, аналитику и практические советы по защите от киберугроз. Уверен, эта подборка будет полезна тем, кто неравнодушен к вопросам кибербезопасности как в интернете, так и за его пределами.

Добавляйте к себе папку и делить с друзьями и коллегами

В общем, добавляйте и читайте)

Flutter и биометрия, как сделать лучше?

Всем привет!
Не так давно я рассказывал вебинар и доклад на OFFZone про безопасность мобилок и упоминал там про Flutter.

Упоминал я его в негативном ключе, так как очень часто при реализации аутентификации допускаются стандартные ошибки.
В первую очередь это касается биометрии и подсчета неправильных попыток для ввода пин кода:

1. Отсутствие реакции на изменение биометрических данных (когда меняем/добавляем отпечаток/FaceId, по новому можно зайти в приложение)
2. Бесконечный перебор пинкода (из-за того, что счетчик это переменная внутри Flutter, которая хранится в памяти)
3. Использование Event-bound подхода, когда есть возможность на скомпрометированном устройстве подменить ответ системы и всегда возвращать true на запрос о совпадении биометрии.

Для перебора пинкода все понятно, нужно просто вынести счетчик куда-то в постоянное хранилище, а не держать его в памяти, чтобы он не обнулялся с каждым перезапуском приложения.

До недавнего времени по двум другим проблемам я не знал решения, так как практически все Flutter-приложения с биометрией имели подобную проблему.

Но, сегодня мне подсказали один замечательный плагин, который позволяет отслеживать изменение биометрии на устройстве и очень круто!

Я теперь всем его буду рекомендовать) То есть, это библиотечка для Flutter, которая позволяет приложению отслеживать и реагировать на изменение биометрических данных на устройстве. И при их изменении можно будет попросить пользователя снова пройти аутентификацию по паролю(например) и в случае успеха перерегистрировать биометрию! Класс!

Однако, по проблеме обхода есть еще вопросы.. Может кто-то знает хорошую библиотеку для Flutter, которая бы делала биометрию корректно и безопасно?)

Поделитесь, пожалуйста)

#flutter #biometric #bypass

Исследователи McAfee обнаружили новый тип мобильного ПО SpyAgent для Android, реализующую технологию оптического распознавания символов OCR для кражи фраз мнемонических ключей из изображений на устройстве.

Мнемонический ключ — это, по сути, фраза из 12-24 слов, которая обеспечивает восстановление доступа к криптокошельку в качестве резервного ключа.

Такие секретные фразы являются крайне востребованной целью для злоумышленников, поскольку получение к ним доступа позволит им завладеть как кошельком, так и средствами на нем.

Поскольку такой ключ трудно запомнить, его часто скриншотят и хранят в изображениях на мобильном устройстве, нежели чем отдельно выписанную фразу на бумажке в безопасном месте.

Замеченная McAfee вредоносная кампания затронула как минимум 280 APK, распространяемых за пределами Google Play с помощью SMS или вредоносных сообщений в социальных сетях.

Некоторые из заряженных приложений для Android выдают себя за государственные сервисы, сайты знакомств и порноресурсы.

Основной таргет пришелся на Южную Корею, но McAfee заметила планвное расширение географии атака в сторону Великобритании.

При этом выявлены также и признаки того, что версия для iOS находится на стадии разработки.

После заражения нового устройства SpyAgent начинает отправлять на свой C2 следующую конфиденциальную информацию: список контактов (для дальнейшего распространения), входящие SMS с OTP, пригодные для OCR изображения, а также общую информацию об устройстве.

SpyAgent также способна получать команды с C2 для изменения настроек звука или отправки SMS-сообщений, которые, вероятно, используются для рассылки фишинговых текстов с целью распространения вредоносного ПО.

Как удалось выяснить McAfee, операторы SpyAgent особо не соблюдали надлежащие меры безопасности при настройке своих серверов, что позволило исследователям получить к ним доступ.

Изучив панель администратора, а также украшенные файлы и данные, McAfee смогли идентифицировать ряд жертв вредоносного ПО, одной из которых оказалось устройство Apple iPhone c iOS 15.8.2 с системным языком, установленным на упрощенный китайский («zh»).

При этом если изначально вредоносное ПО взаимодействовало со своим C2 посредством простых HTTP-запросов, то последняя версия использует соединения WebSocket.

Украденные изображения обрабатываются и сканируются с помощью OCR на стороне сервера, а затем соответствующим образом организуются на панели администратора, что обеспечивает оперативность использования в атаках.

Следует отметить, что технология OCR не нова в киберподполье, в июле 2023 Trend Micro находила два семейства вредоносных ПО для Android под названием CherryBlos и FakeTrade, распространявшихся через Google Play.

Так что можно смело констатировать, что такая тактика начинает набирать популярность.

Ох, вот это новости :)
OCR в вирусах, для меня что-то новое, на самом деле, не встречал такого раньше.

Современные подходы неуязвимости

🗓 10 сентября, 11:00 мск

Не пропустите вебинар, на котором мы обсудим, как сделать свою компанию неуязвимой.

🎯 Ключевая задача — сделать атаку на организацию «невыгодной» для злоумышленников. То есть выстроить систему безопасности так, чтобы временные и материальные затраты хакера стали сильно выше, чем предполагаемая монетизация от успешной атаки.

Как выбрать оптимальные инструменты для выстраивания защиты, будем разбираться с командой Alpha Systems, которые расскажут о новом подходе по управлению уязвимости.

Во время вебинара ответим на следующие вопросы:
1. Как организовать учет ИТ-активов и не стать «5 колесом» для ИТ-департамента?
2. Как подойти к процессам по поиску и управлению уязвимостями, выстроить и оптимизировать их?
3. В чем кроятся корневые причины эксплуатации уязвимостей, и как им противодействовать?
4. Как обеспечить скорость и эффективность обработки инцидентов, выстроить этапность и приоритезацию?
5. Как выстроить работу команды, чтобы никто не сошел с ума и не закопался в рутине?

🗣 Спикеры:
— Игорь Смирнов, CEO Alpha Systems
— Рустам Агаев, CTO Alpha Systems

Участие бесплатное по предварительной регистрации.

А вот и пост от партнёров КОД ИБ.

Я бы послушал чисто из-за названия :)

Безопасность в GameDev или исследуем Unity

Всем привет!

Как-то так сложилось, что до Unity я никак не могу добраться, а ведь это отдельный очень классный и крутой мир!

Очень многие игры построены именно на этом движке и уметь их анализировать и модифицировать это отдельный скил.

Не встречал до этого нормальных статей, но вот одна из немногих, которая не только показывает принципы анализа подобных приложений, но и делает это на конкретном примере конкретной игры с вполне четкой целью.

Именно такие вещи, с теорией, практикой и реальными примерами лучше всего мне заходят.

Так что не только играйте в игры, но и ломайте изучайте их!

#unity #gamedev

͏Тем временем, в киберподполье подкатили новинки в категории iOS RCE.

KeeperZed предлагает приобрести iOS 0-day RCE эксплойт, который не требует взаимодействия с пользователем (ZeroClick) и обеспечивает полный контроль над устройствами под управлением iOS 17.xx и iOS 18.xx

Ммммм, пятничные сплойты)

Были б еще в открытом доступе :)

Запись вебинара по безопасности мобильных приложений

Для тех, кто:
- хотел, но успел
- не хотел, но успел
- кто и не хотел и не успел :D

Запись нашего вебинара по безопасности мобильных приложений. На мой взгляд получилось весьма неплохо, такой небольшой овервью того, что было интересного за последние полгода, что чаще всего встречаем, на что обращаем внимание)

В общем, всем спасибо, надеюсь понравится)

Запись вебинара по мобильной безопасности уже на YouTube!

Привет, друзья!

Недавно команда AppSec Solutions с продуктом Стингрей провела вебинар «Стендап о безопасности мобильных приложений». Было жарко! 🔥 Мы обсудили самые актуальные уязвимости и новые векторы атак на 2024 год.

Если пропустили — не беда! Запись уже готова:🔜ссылка

А теперь внимание: 🎆 бонус! Мы подготовили для вас демо-анализ безопасности вашего мобильного приложения!

Чтобы его получить, просто в любой из форм обратной связи на сайте, укажите ключевое слово "вебинар".
🔜Проверить приложение

Благодарим вас за участие и до встречи на наших следующих мероприятиях!

Уязвимости в Google Pixel

На вебинаре, который недавно проходил (кстати, скоро будет запись), спросили, а нет ли каких-то проблем с Pixel или OnePlus?
Конечно, такого лютого списка, как с Samsung или Xiaomi нет, но вот есть крайне занятная статейка.

Условно, на куче Pixel'ей было установлено приложение Showcase.apk (с системными привилегиями), которое нельзя удалить.

Это приложение получало конфиг с удаленного сервера по HTTP и благодаря этому моно было выполнять произвольный код от имени системы :)

Кто спрашивал про Pixel, они тоже не идеальны :)

#android #pixel

Подружились тут с ребятами из КодИБ на оффзоне :)

Поэтому приглашаю вас на их мероприятие) Обычно там всегда очень классная атмосфера и хорошие спикеры (сам там был) :D

⭐️ ПО для удаленного доступа — незаменимый инструмент специалистов по ИБ, руководителей ИТ-компаний, технической поддержки организации и системных администраторов, который решает множество задач:

— Организация безопасного удаленного доступа
— Автоматизация администрирования ИТ Инфраструктуры
— Организация удаленной интерактивной тех. поддержки
— Импортозамещение
— Миграция на альтернативные ОС

В выборе универсального решения для удаленного доступа и управления конечными устройствами поможет вебинар от команды Код ИБ и RuDesktop.

🗓 27 августа в 11:00 (мск) узнайте о широких возможностях отечественного ПО. Спикеры познакомят вас с уникальным решением и ответят на все вопросы.

Участие бесплатное по предварительной регистрации.

Итоги CTF!

Друзья! Привет всем!
Те, кто участвовал в CTF, спасибо вам огромное!

Прошу подойти к нашему стенду участников с Никами в системе;
1. czuryk
2. mamkin_haker
3. elliot

Начислим вам оффкоинов :D

Своя игра!

Всем привет! Через 5-10 минут начинаем свою игру! Приходите все, кто хочет принять участие на стенд Mobile Appsec World!

Что нового в мире мобилок за этот год?

Через 10 минут на Community Track буду выступать про безопасность мобилок, немного обзорный доклад о том, какие тенденции мы наблюдаем, что нового и интересного произошло с начала года :)

Если интересно, приходите послушать!

Для тех, кто не смог найти - наше CTF-приложение