HACKPROGLIB Telegram 4658
🔍 Как простой файл в приложении привёл к краже сессий

Разработчик хранил access/refresh токены в SharedPreferences/NSUserDefaults. Исследователь распаковал сборку → нашёл токен → подставил Authorization: Bearer <token> — и вошёл в аккаунт жертвы.

➡️ Что произошло:

— быстрое считывание токенов с устройства
— захват сессий — личные данные и действия от имени пользователя
— массовый фишинг по похищенным контактам
— срочный хотфикс, репутационный и юридический урон

➡️ Починили так:

— перевели секреты в Keychain / Android Keystore
— сделали короткие access-токены + одноразовые refresh
— привязали токен к устройству и детект reuse
— добавили сканы сборок и security-tests в CI

💡 Не храните токены в plain files — мобильный клиент не место для секретов.

🐸 Библиотека хакера

#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
2👍1👾1



tgoop.com/hackproglib/4658
Create:
Last Update:

🔍 Как простой файл в приложении привёл к краже сессий

Разработчик хранил access/refresh токены в SharedPreferences/NSUserDefaults. Исследователь распаковал сборку → нашёл токен → подставил Authorization: Bearer <token> — и вошёл в аккаунт жертвы.

➡️ Что произошло:

— быстрое считывание токенов с устройства
— захват сессий — личные данные и действия от имени пользователя
— массовый фишинг по похищенным контактам
— срочный хотфикс, репутационный и юридический урон

➡️ Починили так:

— перевели секреты в Keychain / Android Keystore
— сделали короткие access-токены + одноразовые refresh
— привязали токен к устройству и детект reuse
— добавили сканы сборок и security-tests в CI

💡 Не храните токены в plain files — мобильный клиент не место для секретов.

🐸 Библиотека хакера

#breach_breakdown

BY Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность




Share with your friend now:
tgoop.com/hackproglib/4658

View MORE
Open in Telegram


Telegram News

Date: |

Done! Now you’re the proud owner of a Telegram channel. The next step is to set up and customize your channel. A new window will come up. Enter your channel name and bio. (See the character limits above.) Click “Create.” Choose quality over quantity. Remember that one high-quality post is better than five short publications of questionable value. Channel login must contain 5-32 characters Judge Hui described Ng as inciting others to “commit a massacre” with three posts teaching people to make “toxic chlorine gas bombs,” target police stations, police quarters and the city’s metro stations. This offence was “rather serious,” the court said.
from us


Telegram Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
FROM American