Mobile AppSec World Telegram Posts

Если в эмуляторе нужно вставить картинку для отображения в камере

Маленькие заметки на полях, вдруг кому-то покажется актуальным. Как добавить изображение в дефолтную камеру в эмуляторе. Ну например, если нужно считать QR-код, а из файла нет такой возможности этого сделать, только через камеру.

Есть небольшая хитрость, а именно кастомные постеры прямо внутри камеры. Как это сделать на примере QR кода:

1. Находим и открываем любым удобным текстовым редактором файл внутри директории с Android SDK
nano /emulator/resources/Toren1BD.posters

2. Вносим в конец файла следующие строки:

poster custom
size 1 1 
position 0.1 -0.1 -1.9
rotation 0 0 0
default qr.png

Этот блок позволит вам поставить изображение qr.png в центр экрана

3. Копируем файл с изображением в директорию относительно расположения AndroidSDK -
cp qr.png emulator/resources/qr.png

4. Перезапускаем эмулятор (но это не точно, может и так сработать)

4. ...

5. Profit! Открываем камеру и видим наше изображение в центре экрана!

Надеюсь этот маленький гайд когда-то сэкономит кому-то время и это было не зря)

#Android #Emulator #Camera #QR

Для начинающих в iOS

Все мы когда-то начинали свой путь и все проходили различные уязвимые приложения, чтобы понять, как это вообще, анализировать мобильные приложения, какие проблемы бывают и какие инструменты использовать.

Для iOS наиболее популярными приложениями являются DVIAv2 и iGoat.

И вот небольшой гайд по решению задач в приложении iGoat. Чем он может быть полезен? Как минимум тем, что дает базовое представление об используемых инструментах, техниках и проблемах для iOS-приложений. Повторив то, чтоинаписано в статье можно как минимум часть нужного и полезного софта поставить к себе и более того, попробовать им воспользоваться.

Ну а повторение этих действий на своих приложениях может привести к очень интересным находкам :)

#iOS #challenge #ctf #iGoat

Кофе и код, что может быть лучше?

Всем привет!
Ребята из дружественного канала делают очень классные и крутые подкасты, видосы и другой контент по мобильной разработке, а главное регулярно проводят оффлайн-встречи.

Присоединяйтесь!)

☁️Офлайн-встречи мобильных разработчиков уже в эти выходные!

😉Привет! На связи Coffee&Code — международное сообщество мобильных разработчиков.

😎Приглашаем вас на бесплатные встречи мобильных разработчиков в формате дружеской беседы. Будем обсуждать разработку, делиться опытом, задавать вопросы и просто приятно проводить время в кругу единомышленников.

🤪Пообщаемся на технические темы, обсудим интересные события из мобильной разработки, разберем вопросы с собеседований и поделимся опытом!

🤖 Android | 📱 Mobile | 🍏 iOS

📍СПИСОК ГОРОДОВ

💃Также мы выкладываем интересные технические/полезные видосики в наш YouTube канал и записываем Подкаст! Ждем тебя на встречах!

iOS-пентест без Jailbreak

Все мы знаем сложности в современном мире, где для того, чтобы удобно проанализировать приложение на iOS нужно устройство с Jailbreak. Но что делать, если в скупках и на авито уже закончились iPhone X, а приложение требует iOS 17+?

Ответ с подробными шагами по установке окружения есть в интересной статье. Авторы подробно рассказывают, как проводить полноценный анализ iOS-приложений на современных устройствах без джейлбрейка. Как скачать приложение с AppStore (с использованием Apple Configurator), как снять защиту FairPlay (твик Iridium), как подготовить сертификаты и переподписать приложение с дебаг-режимом и наконец подключиться к нему при помощи Objection и получить полный доступ к песочнице, хукам и т.д.

Очень интересная статья, для себя отметил несколько новых инструментов и техник.

Изучаем и пользуемся!

#iOS #Jailbreak #Pentest

Много лет назад, когда я начинал свой путь в security, первой ступенькой в mobile security для меня стали доклады Дмитрия Лукьяненко. На тот момент он работал Android разработчиком и в свободное время занимался багхантингом.

Спустя столько лет я был очень рад встретиться с ним, поговорить о его пути, мотивации и результатах, которых он добился. Быть лучшим исследователем для многих крупных компаний — это заслуга, достойная огромного уважения!

Спасибо, что нашел время и поделился своим опытом!
Подписывайтесь на канал, ставьте лайки, оставляйте комментарии под выпуском 🫶

Потрясный подкаст с Дмитрием Лукьяненько

Очень интересный подкаст вышел с единственным исследователем в СНГ, который обладает HackerOne MVH (Most Valuable Hacker) Belt!

И очень круто послушать, как он прошел такой путь от разработчика Android к багхантингу! Очень интересный путь и очень интересный подкаст, спасибо Дмитрий!

Дизассемблер для iOS и MacOS приложений

Дизассемблер/декомпилятор предназначенный специально для приложений iOS. На самом деле, представляет из себя надстройку над Ghidra с несколькими улучшениями для более удобной работы с iOS-приложениями.

По сути, основные фичи:

- Прямая поддержка IPA файлов
- Автоматическое декодирования ресурсов iOS
- Помогает не тратить время на декомпиляцию кода библотек
- Реконструирует классы Swift
- Встроенный LLM

В целом, может с ним чуть проще будет, чем с «голой» Гидрой, но мой интерес может представлять разве что встроенная LLM-ка (и то посмотреть надо что делает).

Если кому поможет в работе, будет здорово) а может кто уже использует и поделится мнением)

Чуть больше 2 лет назад узнал тут, что в США есть список запрещённых букв, с которых не может начинаться трёхбуквенное название аэропорта. Одна из них — Q. Почему? Потому что с Q начинаются некоторые из служебных сообщений при телеграфировании (да-да, том настукивании точка точка тире точка).

Сегодня из Википедии узнал, что один из кодов QNB означает:
— (запрос) QNB = «Сколько кнопок на вашем радио?»
— (ответ) «QNB 100/5»

...100/5 означает, что кнопок 100, но отправитель знает, что делают лишь 5 из них. Интересно как после этого происходило дальнейшее общение))

Ну и чтоб два раза не вставать, ещё одно весёлое: QLF, «Ты посылаешь левой ногой? Попробуй посылать левой ногой!» — юмористически-уничижительный комментарий о качестве отправленного человеком сообщения. Буду теперь в комментах иногда писать QLF, вот 😀

Есть 100 кнопок, но знаю что делают только 5..

Не могу перестать смеяться)) 😂