Конференция по мобильной разработке AppsConf
Знаю, что среди подписчиков достаточно большое количество разработчиков, поэтому хотел бы подсветить одну из очень хороших, на мой взгляд конференций по мобилкам - AppsConf.
Ну и на самом деле, тем, кто занимается безопасностью мобилок тоже крайне важно быть в курсе того, как развивается разработка, тренды и т.д. Ведь как анализировать приложения, если не знаешь, как именно они работают?)
Я обязательно подам доклад на конфу, так что вполне возможно, мы с вами там встретимся (если конечно доклад примут). CFP до 23-го февраля, так что еще успею из отпуска оформить заявку))
Ну а если нет, придется платить за билет :(
Так что, в любом случае, до встречи на конференции!!
P.S. И кстати, организаторы обещали мне проходку, поэтому скоро ждем конкурс!
Знаю, что среди подписчиков достаточно большое количество разработчиков, поэтому хотел бы подсветить одну из очень хороших, на мой взгляд конференций по мобилкам - AppsConf.
Ну и на самом деле, тем, кто занимается безопасностью мобилок тоже крайне важно быть в курсе того, как развивается разработка, тренды и т.д. Ведь как анализировать приложения, если не знаешь, как именно они работают?)
Я обязательно подам доклад на конфу, так что вполне возможно, мы с вами там встретимся (если конечно доклад примут). CFP до 23-го февраля, так что еще успею из отпуска оформить заявку))
Ну а если нет, придется платить за билет :(
Так что, в любом случае, до встречи на конференции!!
P.S. И кстати, организаторы обещали мне проходку, поэтому скоро ждем конкурс!
cfp.appsconf.ru
CFP AppsConf 2025
Подайте доклад на профессиональную конференцию для разработчиков мобильный приложений
👍13
НеКасперский
Без пароля Apple закрыла уязвимость, позволявшую доставать даннные из заблокированных iPhone. Режим USB Restricted Mode блокирует передачу данных через порт, если гаджет пролежал в заблокированном состоянии больше часа. По словам Apple, брешь использовалась…
Техническое описание уязвимости CVE-2025-24200
А вот и подоспело очень хорошее исследование описанной ранее проблемы с доступом по USB в последних версиях iOS.
В статье подробно расписано, как исследователи находили измененные части прошивки в security-патче от Apple по сравнению с предыдущей версией.
Даже если вам не очень интересно про эту уязвимость, советую почитать ради описанного относительно простого способа сравнить несколько версий прошивок.
Ну а тем кому небезинтересен iOS, внутри ждут подробности, как можно провернуть эту атаку (в теории), так как полностью раскрутить цепочку до конца так и не вышли)
Приятного чтения!
А вот и подоспело очень хорошее исследование описанной ранее проблемы с доступом по USB в последних версиях iOS.
В статье подробно расписано, как исследователи находили измененные части прошивки в security-патче от Apple по сравнению с предыдущей версией.
Даже если вам не очень интересно про эту уязвимость, советую почитать ради описанного относительно простого способа сравнить несколько версий прошивок.
Ну а тем кому небезинтересен iOS, внутри ждут подробности, как можно провернуть эту атаку (в теории), так как полностью раскрутить цепочку до конца так и не вышли)
Приятного чтения!
Quarkslab
First analysis of Apple's USB Restricted Mode bypass (CVE-2025-24200) - Quarkslab's blog
Apple released iOS 18.3.1 (build 22D72) to patch a vulnerability tied to the Accessibility framework and reported by Citizen Lab. Let's analyze it!
🔥6👍4
AI-инструменты для помощи в реверсе
Занятное видео, в котором рассказывается о роли AI-ассистентов, которые могут помочь нам при реверсе различных приложений.
Само собой, многие из нас уже используют подобные инструменты, но из видео я узнал о прикольном плагине r2ai, который предоставляет нативный интерфейс из командной строки для radare2.
И официальная статья NowSecure про этот плагин.
В целом сложно переоценить помощь подобных инструментов, но вопреки расхожему мнению это всего лишь помощник, который может действительно ускорить процесс и помочь, но точно не сделать его полностью, не доросли еще модельки до этого :)
Занятное видео, в котором рассказывается о роли AI-ассистентов, которые могут помочь нам при реверсе различных приложений.
Само собой, многие из нас уже используют подобные инструменты, но из видео я узнал о прикольном плагине r2ai, который предоставляет нативный интерфейс из командной строки для radare2.
И официальная статья NowSecure про этот плагин.
В целом сложно переоценить помощь подобных инструментов, но вопреки расхожему мнению это всего лишь помощник, который может действительно ускорить процесс и помочь, но точно не сделать его полностью, не доросли еще модельки до этого :)
YouTube
AI-Powered Reverse Engineering: Decompiling Binaries with AI
#AI #ArtificialIntelligence #Decompilation #BinaryAnalysis #R2AI #Radare2 #LLMs
Artificial Intelligence is transforming the way we analyze and reverse-engineer applications and binaries. But what does this mean for security researchers and reverse engineers?…
Artificial Intelligence is transforming the way we analyze and reverse-engineer applications and binaries. But what does this mean for security researchers and reverse engineers?…
❤6👍3🔥2
Кто и как использует AI в работе?
А вообще вот вопрос у меня назрел. Я достаточно часто и много использую самые разные AI-инструменты в работе.
Начиная от расшифровки видео, транскрибацию, замена гуглению, помощь в презентациях, видео, картинках, текстах, разных PoC, написанию скриптов, систематизацию информации и т.д.
А чем и для чего пользуетесь вы? как инструменты помогают (или не помогают)?
Интересно вообще как и для чего и в каком режиме используете? Может кто что интересное присоветует)
Я чуть позже тоже напишу еще, как и чем я пользуюсь, может кому и интересно будет :)
А вообще вот вопрос у меня назрел. Я достаточно часто и много использую самые разные AI-инструменты в работе.
Начиная от расшифровки видео, транскрибацию, замена гуглению, помощь в презентациях, видео, картинках, текстах, разных PoC, написанию скриптов, систематизацию информации и т.д.
А чем и для чего пользуетесь вы? как инструменты помогают (или не помогают)?
Интересно вообще как и для чего и в каком режиме используете? Может кто что интересное присоветует)
Я чуть позже тоже напишу еще, как и чем я пользуюсь, может кому и интересно будет :)
👍9
Есть 100 кнопок, но знаю что делают только 5..
Не могу перестать смеяться)) 😂
Не могу перестать смеяться)) 😂
😁5
Forwarded from Сиолошная
Чуть больше 2 лет назад узнал тут, что в США есть список запрещённых букв, с которых не может начинаться трёхбуквенное название аэропорта. Одна из них — Q. Почему? Потому что с Q начинаются некоторые из служебных сообщений при телеграфировании (да-да, том настукивании точка точка тире точка).
Сегодня из Википедии узнал, что один из кодов QNB означает:
— (запрос) QNB = «Сколько кнопок на вашем радио?»
— (ответ) «QNB 100/5»
...100/5 означает, что кнопок 100, но отправитель знает, что делают лишь 5 из них. Интересно как после этого происходило дальнейшее общение))
Ну и чтоб два раза не вставать, ещё одно весёлое: QLF, «Ты посылаешь левой ногой? Попробуй посылать левой ногой!» — юмористически-уничижительный комментарий о качестве отправленного человеком сообщения. Буду теперь в комментах иногда писать QLF, вот😀
Сегодня из Википедии узнал, что один из кодов QNB означает:
— (запрос) QNB = «Сколько кнопок на вашем радио?»
— (ответ) «QNB 100/5»
...100/5 означает, что кнопок 100, но отправитель знает, что делают лишь 5 из них. Интересно как после этого происходило дальнейшее общение))
Ну и чтоб два раза не вставать, ещё одно весёлое: QLF, «Ты посылаешь левой ногой? Попробуй посылать левой ногой!» — юмористически-уничижительный комментарий о качестве отправленного человеком сообщения. Буду теперь в комментах иногда писать QLF, вот
Please open Telegram to view this post
VIEW IN TELEGRAM
😁12❤2🔥2🤔1
Дизассемблер для iOS и MacOS приложений
Дизассемблер/декомпилятор предназначенный специально для приложений iOS. На самом деле, представляет из себя надстройку над Ghidra с несколькими улучшениями для более удобной работы с iOS-приложениями.
По сути, основные фичи:
- Прямая поддержка IPA файлов
- Автоматическое декодирования ресурсов iOS
- Помогает не тратить время на декомпиляцию кода библотек
- Реконструирует классы Swift
- Встроенный LLM
В целом, может с ним чуть проще будет, чем с «голой» Гидрой, но мой интерес может представлять разве что встроенная LLM-ка (и то посмотреть надо что делает).
Если кому поможет в работе, будет здорово) а может кто уже использует и поделится мнением)
Дизассемблер/декомпилятор предназначенный специально для приложений iOS. На самом деле, представляет из себя надстройку над Ghidra с несколькими улучшениями для более удобной работы с iOS-приложениями.
По сути, основные фичи:
- Прямая поддержка IPA файлов
- Автоматическое декодирования ресурсов iOS
- Помогает не тратить время на декомпиляцию кода библотек
- Реконструирует классы Swift
- Встроенный LLM
В целом, может с ним чуть проще будет, чем с «голой» Гидрой, но мой интерес может представлять разве что встроенная LLM-ка (и то посмотреть надо что делает).
Если кому поможет в работе, будет здорово) а может кто уже использует и поделится мнением)
GitHub
GitHub - LaurieWired/Malimite: iOS and macOS Decompiler
iOS and macOS Decompiler. Contribute to LaurieWired/Malimite development by creating an account on GitHub.
🤣8🔥5👍2
Потрясный подкаст с Дмитрием Лукьяненько
Очень интересный подкаст вышел с единственным исследователем в СНГ, который обладает HackerOne MVH (Most Valuable Hacker) Belt!
И очень круто послушать, как он прошел такой путь от разработчика Android к багхантингу! Очень интересный путь и очень интересный подкаст, спасибо Дмитрий!
Очень интересный подкаст вышел с единственным исследователем в СНГ, который обладает HackerOne MVH (Most Valuable Hacker) Belt!
И очень круто послушать, как он прошел такой путь от разработчика Android к багхантингу! Очень интересный путь и очень интересный подкаст, спасибо Дмитрий!
❤6
Forwarded from Поросёнок Пётр
Много лет назад, когда я начинал свой путь в security, первой ступенькой в mobile security для меня стали доклады Дмитрия Лукьяненко. На тот момент он работал Android разработчиком и в свободное время занимался багхантингом.
Спустя столько лет я был очень рад встретиться с ним, поговорить о его пути, мотивации и результатах, которых он добился. Быть лучшим исследователем для многих крупных компаний — это заслуга, достойная огромного уважения!
Спасибо, что нашел время и поделился своим опытом!
Подписывайтесь на канал, ставьте лайки, оставляйте комментарии под выпуском 🫶
Спустя столько лет я был очень рад встретиться с ним, поговорить о его пути, мотивации и результатах, которых он добился. Быть лучшим исследователем для многих крупных компаний — это заслуга, достойная огромного уважения!
Спасибо, что нашел время и поделился своим опытом!
Подписывайтесь на канал, ставьте лайки, оставляйте комментарии под выпуском 🫶
YouTube
Дмитрий Лукьяненко - из разработчика в хакера Android приложений, поиск уязвимостей как работа(Ep.8)
Дмитрий Лукьяненко является белорусским багхантером и экс-Android-разработчиком, известным своими достижениями в области кибербезопасности. На данный момент он — единственный исследователь в СНГ, обладающий HackerOne MVH (Most Valuable Hacker) Belt!
В 2019…
В 2019…
👍11❤4🔥2
iOS-пентест без Jailbreak
Все мы знаем сложности в современном мире, где для того, чтобы удобно проанализировать приложение на iOS нужно устройство с Jailbreak. Но что делать, если в скупках и на авито уже закончились iPhone X, а приложение требует iOS 17+?
Ответ с подробными шагами по установке окружения есть в интересной статье. Авторы подробно рассказывают, как проводить полноценный анализ iOS-приложений на современных устройствах без джейлбрейка. Как скачать приложение с AppStore (с использованием Apple Configurator), как снять защиту FairPlay (твик Iridium), как подготовить сертификаты и переподписать приложение с дебаг-режимом и наконец подключиться к нему при помощи Objection и получить полный доступ к песочнице, хукам и т.д.
Очень интересная статья, для себя отметил несколько новых инструментов и техник.
Изучаем и пользуемся!
#iOS #Jailbreak #Pentest
Все мы знаем сложности в современном мире, где для того, чтобы удобно проанализировать приложение на iOS нужно устройство с Jailbreak. Но что делать, если в скупках и на авито уже закончились iPhone X, а приложение требует iOS 17+?
Ответ с подробными шагами по установке окружения есть в интересной статье. Авторы подробно рассказывают, как проводить полноценный анализ iOS-приложений на современных устройствах без джейлбрейка. Как скачать приложение с AppStore (с использованием Apple Configurator), как снять защиту FairPlay (твик Iridium), как подготовить сертификаты и переподписать приложение с дебаг-режимом и наконец подключиться к нему при помощи Objection и получить полный доступ к песочнице, хукам и т.д.
Очень интересная статья, для себя отметил несколько новых инструментов и техник.
Изучаем и пользуемся!
#iOS #Jailbreak #Pentest
Dvuln
Modern iOS Pentesting: No Jailbreak Needed - Dvuln
Dvuln is a specialist information security company founded by Australian cyber security specialists based out of Sydney, Melbourne and Brisbane
👍11🔥6👎1😱1
Кофе и код, что может быть лучше?
Всем привет!
Ребята из дружественного канала делают очень классные и крутые подкасты, видосы и другой контент по мобильной разработке, а главное регулярно проводят оффлайн-встречи.
Присоединяйтесь!)
Всем привет!
Ребята из дружественного канала делают очень классные и крутые подкасты, видосы и другой контент по мобильной разработке, а главное регулярно проводят оффлайн-встречи.
Присоединяйтесь!)
⚡4🔥4👨💻2😍1
Forwarded from Сергей Гнатюк
🤖 Android | 📱 Mobile | 🍏 iOS
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👨💻4❤2👍1🙏1
Для начинающих в iOS
Все мы когда-то начинали свой путь и все проходили различные уязвимые приложения, чтобы понять, как это вообще, анализировать мобильные приложения, какие проблемы бывают и какие инструменты использовать.
Для iOS наиболее популярными приложениями являются DVIAv2 и iGoat.
И вот небольшой гайд по решению задач в приложении iGoat. Чем он может быть полезен? Как минимум тем, что дает базовое представление об используемых инструментах, техниках и проблемах для iOS-приложений. Повторив то, чтоинаписано в статье можно как минимум часть нужного и полезного софта поставить к себе и более того, попробовать им воспользоваться.
Ну а повторение этих действий на своих приложениях может привести к очень интересным находкам :)
#iOS #challenge #ctf #iGoat
Все мы когда-то начинали свой путь и все проходили различные уязвимые приложения, чтобы понять, как это вообще, анализировать мобильные приложения, какие проблемы бывают и какие инструменты использовать.
Для iOS наиболее популярными приложениями являются DVIAv2 и iGoat.
И вот небольшой гайд по решению задач в приложении iGoat. Чем он может быть полезен? Как минимум тем, что дает базовое представление об используемых инструментах, техниках и проблемах для iOS-приложений. Повторив то, чтоинаписано в статье можно как минимум часть нужного и полезного софта поставить к себе и более того, попробовать им воспользоваться.
Ну а повторение этих действий на своих приложениях может привести к очень интересным находкам :)
#iOS #challenge #ctf #iGoat
🔥9👍3🤓1
Если в эмуляторе нужно вставить картинку для отображения в камере
Маленькие заметки на полях, вдруг кому-то покажется актуальным. Как добавить изображение в дефолтную камеру в эмуляторе. Ну например, если нужно считать QR-код, а из файла нет такой возможности этого сделать, только через камеру.
Есть небольшая хитрость, а именно кастомные постеры прямо внутри камеры. Как это сделать на примере QR кода:
1. Находим и открываем любым удобным текстовым редактором файл внутри директории с Android SDK
2. Вносим в конец файла следующие строки:
Этот блок позволит вам поставить изображение
3. Копируем файл с изображением в директорию относительно расположения AndroidSDK -
4. Перезапускаем эмулятор (но это не точно, может и так сработать)
4. ...
5. Profit! Открываем камеру и видим наше изображение в центре экрана!
Надеюсь этот маленький гайд когда-то сэкономит кому-то время и это было не зря)
#Android #Emulator #Camera #QR
Маленькие заметки на полях, вдруг кому-то покажется актуальным. Как добавить изображение в дефолтную камеру в эмуляторе. Ну например, если нужно считать QR-код, а из файла нет такой возможности этого сделать, только через камеру.
Есть небольшая хитрость, а именно кастомные постеры прямо внутри камеры. Как это сделать на примере QR кода:
1. Находим и открываем любым удобным текстовым редактором файл внутри директории с Android SDK
nano /emulator/resources/Toren1BD.posters2. Вносим в конец файла следующие строки:
poster custom
size 1 1
position 0.1 -0.1 -1.9
rotation 0 0 0
default qr.png
Этот блок позволит вам поставить изображение
qr.png в центр экрана3. Копируем файл с изображением в директорию относительно расположения AndroidSDK -
cp qr.png emulator/resources/qr.png4. Перезапускаем эмулятор (но это не точно, может и так сработать)
4. ...
5. Profit! Открываем камеру и видим наше изображение в центре экрана!
Надеюсь этот маленький гайд когда-то сэкономит кому-то время и это было не зря)
#Android #Emulator #Camera #QR
🔥20❤3👍2
ИИ-Шизофреник, насколько это реально?
Все мы знаем, что известные ИИ модельки достаточно часто галлюцинируют и могут выдавать фантазию за действительность. Но насколько это распространенный случай и главное, можно ли намеренно "испортить" чью-то модель, заставляя ее думать, что 2+2=5?
На самом деле можно и очень очень многое зависит от данных, на которых модель обучалась и обучается ли она в процессе своей работы на ответах пользователям.
И как раз очень скоро будет вебинар как раз на эту тему «ИИ-шизофрения: Или все дело в исходных данных».
Основные темы:
- Влияние качества данных на эффективность ИИ.
- Типичные ошибки и искажения в данных.
- Методы предотвращения ошибок и повышения надежности ИИ-систем.
Я очень надеюсь на него попасть или хотя бы посмотреть в записи)
Все мы знаем, что известные ИИ модельки достаточно часто галлюцинируют и могут выдавать фантазию за действительность. Но насколько это распространенный случай и главное, можно ли намеренно "испортить" чью-то модель, заставляя ее думать, что 2+2=5?
На самом деле можно и очень очень многое зависит от данных, на которых модель обучалась и обучается ли она в процессе своей работы на ответах пользователям.
И как раз очень скоро будет вебинар как раз на эту тему «ИИ-шизофрения: Или все дело в исходных данных».
Основные темы:
- Влияние качества данных на эффективность ИИ.
- Типичные ошибки и искажения в данных.
- Методы предотвращения ошибок и повышения надежности ИИ-систем.
Я очень надеюсь на него попасть или хотя бы посмотреть в записи)
👍4
Если стандартные способы распаковки apk не работают
Недавно нашел очень интересный инструмент apkInspector, который может помочь в случаях, когда не работает apktool или другие похожие тулы.
Авторы написали очень классную статью, зачем и для чего они сделали подобный инструмент. На самом деле для случаев, когда используются методы защиты от статического анализа, например, нестандартные методы сжатия или измененную структуру AndroidManifest.xml.
Так, если в проектах попадется приложение, которое не получится поисследовать стандартными инмтрументами, попробуйте этот тул, вполне возможно это вам поможет :)
Недавно нашел очень интересный инструмент apkInspector, который может помочь в случаях, когда не работает apktool или другие похожие тулы.
Авторы написали очень классную статью, зачем и для чего они сделали подобный инструмент. На самом деле для случаев, когда используются методы защиты от статического анализа, например, нестандартные методы сжатия или измененную структуру AndroidManifest.xml.
Так, если в проектах попадется приложение, которое не получится поисследовать стандартными инмтрументами, попробуйте этот тул, вполне возможно это вам поможет :)
GitHub
GitHub - erev0s/apkInspector: apkInspector is a tool designed to provide detailed insights into the zip structure of APK files…
apkInspector is a tool designed to provide detailed insights into the zip structure of APK files, offering the capability to extract content and decode the AndroidManifest.xml file. - erev0s/apkIns...
🔥15👍6❤3
Вторая часть статьи про фаззинг нативных компонентов Android
Когда-то давно мы находили прикольную багу в автоматическом распознавании счета 1С и заполнения соответствующих полей в приложении. Для распознавания библиотека делала снимок с камеры, складывала его на sd-карту, считывала это изображение и после проводила OCR. Само собой, мы написали небольшой скрипт, который бы ждал появления файла с определенным названием в директории и подменял его на другой. И все данные по переводу оказывались данными злоумышленника 😈
Потом в этой же библиотеке мы при помощи AFL нашли достаточно большое количество крашей)
Но это все ручной анализ, а вот в статье ребята рассказывают про более системный подход, представляя его, как подробное руководство по процессу фаззинга нативных компонентов Android, начиная с анализа Java-слоя и заканчивая созданием харнесса для нативных функций.
Надеюсь, вам понравится!
#Android #native #fuzzing
Когда-то давно мы находили прикольную багу в автоматическом распознавании счета 1С и заполнения соответствующих полей в приложении. Для распознавания библиотека делала снимок с камеры, складывала его на sd-карту, считывала это изображение и после проводила OCR. Само собой, мы написали небольшой скрипт, который бы ждал появления файла с определенным названием в директории и подменял его на другой. И все данные по переводу оказывались данными злоумышленника 😈
Потом в этой же библиотеке мы при помощи AFL нашли достаточно большое количество крашей)
Но это все ручной анализ, а вот в статье ребята рассказывают про более системный подход, представляя его, как подробное руководство по процессу фаззинга нативных компонентов Android, начиная с анализа Java-слоя и заканчивая созданием харнесса для нативных функций.
Надеюсь, вам понравится!
#Android #native #fuzzing
Conviso AppSec
Introduction to Fuzzing Android Native Components: Strategies for Harness Creation
Learn how to build effective harnesses for fuzzing native libraries on Android. Explore techniques and strategies to uncover vulnerabilities
👍10🔥4❤3🍌1😈1
Курсы по мобилкам от 8ksec.io
Всем привет!
Я постил несколько статей из блока компании 8ksec, они были очень даже неплохие. И тут обнаружил, что у них есть курсы по анализу мобилок.
Судя по описанию неплохо, но вопрос, может кто их проходил или знает как оно там? Поделитесь опытом :)
Всем привет!
Я постил несколько статей из блока компании 8ksec, они были очень даже неплохие. И тут обнаружил, что у них есть курсы по анализу мобилок.
Судя по описанию неплохо, но вопрос, может кто их проходил или знает как оно там? Поделитесь опытом :)
8kSec Academy
On-demand Mobile Security Training | 8kSec Academy
Master mobile security with 8kSec Academy's on-demand courses. Learn penetration testing, vulnerability research, and reverse engineering for iOS and Android devices at your own pace.
🔥3👍2
Какой первый вопрос должен быть в чате по мобильной безопасности?
Само собой главный вопрос, который всех интересует: “Как снять SSL Pinning?” Ну или на крайний случай, «Как обойти проверку на root”?
По сети сейчас гуляет репозиторий с фрида скриптом, который позволяет снимать пиннинг и обходить проверки на рута, так сказать два в одном!
Я долго до него добирался, так как ожидал увидеть что-то обыденное и давно известное. Но репозиторий приятно удивил! На самом деле, очень неплохая подборка способов обхода пиннинга, рута и детектов фриды.
Конечно, в особо замороченных приложениях это не спасет, но скрипт написан качественно и более того, его пока еще поддерживают.
Так что, как отправная точка, более чем!
#frida #root #sslpinning
Само собой главный вопрос, который всех интересует: “Как снять SSL Pinning?” Ну или на крайний случай, «Как обойти проверку на root”?
По сети сейчас гуляет репозиторий с фрида скриптом, который позволяет снимать пиннинг и обходить проверки на рута, так сказать два в одном!
Я долго до него добирался, так как ожидал увидеть что-то обыденное и давно известное. Но репозиторий приятно удивил! На самом деле, очень неплохая подборка способов обхода пиннинга, рута и детектов фриды.
Конечно, в особо замороченных приложениях это не спасет, но скрипт написан качественно и более того, его пока еще поддерживают.
Так что, как отправная точка, более чем!
#frida #root #sslpinning
GitHub
GitHub - 0xCD4/SSL-bypass: SSL bypass check
SSL bypass check. Contribute to 0xCD4/SSL-bypass development by creating an account on GitHub.
👍9🔥5❤2😁1
Секреты-секретики!
Очень классная статья про исследование iOS-приложений в Appstore и их тем секретам, что они хранят внутри себя!
Со своей стороны могу только подтвердить этот факт, мы неоднократно писали об этом. И про то как эти секреты обнаружить и проверить, и про то, как проверять и искать конкретно секреты от Firebase.
И часто на самом деле, iOS-приложения более подвержены этому риску, не знаю уж почему. Но если в Android применяют шифрование при хранении в local-storage, то в iOS чаще нет. Это же касается и секретов в коде.
Так что пожалуйста, проверяйте свои приложения и выпиливайте оттуда секреты. Ну или правильно настраивайте внешние сервисы!
Очень классная статья про исследование iOS-приложений в Appstore и их тем секретам, что они хранят внутри себя!
Со своей стороны могу только подтвердить этот факт, мы неоднократно писали об этом. И про то как эти секреты обнаружить и проверить, и про то, как проверять и искать конкретно секреты от Firebase.
И часто на самом деле, iOS-приложения более подвержены этому риску, не знаю уж почему. Но если в Android применяют шифрование при хранении в local-storage, то в iOS чаще нет. Это же касается и секретов в коде.
Так что пожалуйста, проверяйте свои приложения и выпиливайте оттуда секреты. Ну или правильно настраивайте внешние сервисы!
Cybernews
Massive research into iOS apps uncovers widespread secret leaks, abysmal coding practices
New research reveals 71% of Apple iOS apps contain hardcoded secrets, exposing sensitive keys that could lead to data breaches and unauthorized access to cloud storage.
👍1