Секретики

Яблочники по всему миру, сами того не подозревая, хранят свои банковские сведения в открытом доступе.

По данным Cybernews, более 156 тысяч приложений в App Store от Apple содержат в своих исходных кодах свыше 815 тысяч секретных сведений, включая платёжные системы, API, а также ключи к облачному хранилищу.

Исследователи обнаружили более 406 ТБ данных просто из-за того, что из 83 тысяч уязвимых конечных точек хранилищ 836 не требуют аутентификации.

Сотни конфиденциальных ключей могли быть использованы хакерами для компрометации личных данных пользователей, осуществления платежей и возвратов. Представители Cybernews обратились к Apple за комментариями, поэтому исход ситуации ещё только предстоит выяснить.

А пока напомним, что в 90% случаев мониторинг обновления приложений у корпорации занимает всего 24 часа. При этом самый крутой и известный бренд смартфонов не проверяет присутствие зашитых секретов в приложениях.

Где-то тихо улыбаются ведрофонеры 🤪

НеКасперский

Изучая документацию jadx наткнулся на упоминание, что его можно подключить как библиотеку в свое Java приложение. И эта идея настолько понравилась, что в итоге вылилась в небольшой комбайн, который удобно использовать для первоначальной обработки JAR/WAR/APK приложений при анализе защищенности.

https://github.com/BlackFan/BFScan

BFScan анализирует строковые константы в Java-классах и ресурсах приложения для поиска строк, похожих на URL, пути или захардкоженные секреты.
А также формирует сырые HTTP запросы и OpenAPI спецификацию на основе конфигов, аннотаций методов и классов. При этом поддерживаются как клиентские библиотеки (например, Retrofit), используемые в APK для взаимодействия с бэкендом, так и серверные технологии, такие как Spring-аннотации. Что значительно облегчает тестирование API, когда тело HTTP запроса необходимо сформировать из десятка вложенных классов.

Рассмотрим пример работы утилиты с классом, использующим Spring-аннотации.

@RestController
@RequestMapping("/api")
public class UserController {

    @PostMapping("createUser")
    public String create(@RequestParam Optional<String> someParamName, @RequestBody User user) {
        return "response";
    }

В случае, если обрабатываемое приложение использует поддерживаемую библиотеку, утилита сгенерирует файл, содержащий все HTTP запросы, поддерживаемые приложением.

POST /api/createUser?someParamName=value HTTP/1.1
Host: localhost
Connection: close
Content-Type: application/json

{
  "name": "name",
  "age": 1
}

Приложение удобно использовать как для клиентских приложений, когда вы анализируете API мобильного приложения. Так и в случае, если вы получили скомпилированный JAR/WAR от серверного приложения, для поиска в нем захардкоженных секретов или дальнейшего анализа API эндпоинтов, которое оно обрабатывает.

Если приложение обфусцировано, что часто бывает с APK, утилита проанализирует все аннотации и, если они похожи на типичное объявление API эндпоинтов, построит HTTP запросы на основе них. В случае, если данная функциональность сработала неправильно, используя jadx вы можно легко сформировать mapping-файлы для переименования обфусцированных классов и корректного формирования HTTP-запросов.

Плагин для Magisk - перехват трафика Flutter-приложений

Всем привет!

Недавно мне написал @mike_fpv с крутой историей про то, что они сделали! А именно, удобный плагинчик для перехвата трафика Flutter-приложений. Все мы знаем, что флаттер игнорирует системные настройки проксирования и нужно либо патчить приложение reFlutter-ом, либо ручками настраивать iptables (там где они есть).

История создания плагина от автора:

Хочу поделится информацией о своем плагине, который мне очень помогает в регулярной работе с перхватом траффика флаттер приложений. C коллегой, настраивали перехват флаттер трафика на одном из устройств и я с удивлением обнаружил, что оказывается ProxyDroid вообще выпилили из Google Store. Суть в том, что для флаттера не достаточно только прописать прокси в настройках вай-фай, но так же нужно менять маршрутизацию на самом устройстве, и раньше для этого служил ProxyDroid, но на SamsungS24 + Android 14 я обнаружил, что он только делает вид что работает, но по факту ничего не делает. Помучившись с изменением iptables вручную через коммандную строку, я написал свой плагин для Магиска. Его суть довольно простая - отслеживать изменение конфигурации для файфая и автоматически патчить iptables на нужные параметры. В итоге я пользуюсь им сам уже более 2х месяцев и только положительные впечатления, когда переключаюсь на разные компы и разные прокси, переключение происходит максимально бесшовно. Уверен кому то тоже пригодится, особенно, когда ProxyDroid стал недоступен.

Ну и собственно ссылка на сам плагин:
https://github.com/czuryk/IPTUpdaterPlugin/

Вот побольше бы таких людей, кто делает вещи, которые нам очень помогают. Спасибо большое @mike_fpv!

#Flutter #Android #Traffic

Розыгрыш билета на конференцию Территория Безопасности!

Всем привет!
Уже скоро пройдет конференция, которая мне очень понравилась в прошлом году, на которой я обязательно буду в этом и хотел бы пригласить и вас)

И конечно, как обещал, розыгрыш одной проходки на конференцию!

Условия конкурса:
1. В комментарии к этому посту оставляем комментарий с тэгом #ТБ
2. Форвардим этот пост или любой другой из канала знакомым/друзьям

В целом и все)
В среду среди отметившихся проведу розыгрыш через рандомайзер и отдам билет)

Очень жду вас, друзья) И увидимся обязательно на ТБ)

#конкурс #билеты #халява #территорияБезопасности

Встретимся на вебинаре!

Все, кому интересна тема анализа OpenSource, приходите, не пожалеете)

Уже завтра!

Google прикрывает лавочку AOSP?

Поступок Google в марте 2025-го шокировал: вся разработка Android уходит за закрытые двери. Больше никаких открытых коммитов в AOSP (Android Open Source Project) в реальном времени — теперь только готовый код после релиза. Зачем это Гуглу, что это значит для нас и как теперь жить?

AOSP: Открытость на паузе

AOSP — это сердце Android, открытый код, который любой может взять и крутить. Samsung делает One UI, Xiaomi — MIUI, а гики пилят LineageOS. Google рулит проектом, но раньше часть работы велась публично через AOSP Gerrit — там можно было подсмотреть, что готовится в новой версии. Теперь — всё. С 31 марта 2025-го разработка уходит в секретные внутренние ветки, доступные только партнёрам с лицензией GMS (Google Mobile Services). Код в AOSP выложат только после финального релиза — типа Android 16 или патчей.

Зачем?

Google говорит: так проще. Публичная ветка отставала от внутренней — сравни AOSP и бету Android 16: функции и API вечно запаздывали. Синхронизация веток ханимала время, патчи конфликтовали (вспомни настройку экранной лупы — гемор ещё тот). Теперь всё в одном месте, без лишней возни. Но есть нюанс: открытость AOSP была фишкой Android 16+ лет. Это шаг назад?

Как это работает

Google всегда держал две ветки: публичную AOSP и внутреннюю для своих и OEM’ов (Samsung, Qualcomm и ко). Код всё ещё выложат под Apache 2.0, но не в процессе, а постфактум. Для юзеров и девелоперов — ноль изменений. Pixel’ы и Galaxy обновятся как обычно, Play Store не тронут. Но для следящих за коммитами в поисаках интересного (типа упоминания Pixel 10), и контрибьюторов — ад. Отслеживать прогресс разработки станет сложнее.

Плюсы и минусы

Google обещает ускорение разработки — меньше багов, быстрее релизы. OEM’ы с GMS-доступом тоже в шоколаде: они и так видят черновики. Но кастомщики вроде LineageOS или GrapheneOS в пролёте — им ждать финального кода, а не смотреть исходники. Меньше спойлеров о новых фишках (прощай, ранний слив через Gerrit). И главное: внешние патчи в AOSP могут устареть, пока Google пилит своё втихую.

Что дальше?

Android не становится закрытым — код всё ещё открыт после релиза. Но процесс теперь больше похож на iOS: разработка в бункере, а не на виду. Для бизнеса и юзеров — пофиг, для энтузиастов — удар. Google хочет упростить себе жизнь, но теряет дух открытости, который тянул Android вверх. В 2025-м это уже не "Linux для телефонов", а продукт под замком.
Делаем ставки, что будет дальше и ждем реакции разработчиков отечественных форков AOSP

Источник

Я немного задержался, простите :)

Сегодня днем разыграем)

Итоги розыгрыша на конференцию Территория Безопасности

Итак, великим рандомайзером из всех участников был выбран @aleks_8l8!

Поздравляю тебя!

Приходи к нам на стенд обязательно, подарим немного мерча)

Спасибо всем, кто участвовал!

Загрузка приложений из AppStore больше не работает!

А пока мы спокойно отдыхаем на выходных, Apple изменила свой API и теперь ни один инструмент по загрузке приложений из AppStore больше не работает. Сломаны ipatool, ipatool-py, наша интеграция и всё, что удалось найти :) Спасибо Apple за чудесные новости!

В репозитории ipatool энтузиасты пытаются найти решение, но пока все тщетно. Есть вроде способ с kbsync на айфоне (но придется его пересобрать) или с патчингом iTunes на Windows, но пока нет подверждения, что они еще работают.

Так что ждем, исследуем, пробуем и надеемся что загрузка приложений снова станет доступной 😠

Жизненный цикл Activity в Android

Ну а пока iOS-приложения не скачиваются, можно поизучать детальнее Android ;)

И у ребят из k8s как раз есть отличная статья про Activity Lifecycle. Какие есть состояния, какая логика перехода между ними, какие атаки есть на Activity и т.д.

Очень полезный материал, который поможет лучше узнать, как работают приложения внутри, а без этого понимания очень сложно их ломать и что-то придумывать :)

Хороших всем выходных!

#Android #activity

Опубликована программа AppsConf

Итак, друзья, прошла вчера конференция Код Безопасности, смотрим вперед)

Следующая по плану у нас конференция для мобильщиков - AppsConf!
У нее уже опубликована программа, я туда к сожалению не попал, потому что продолбал все сроки по заявке 😁

Но, я планирую обязательно пойти туда и послушать доклады, потому что правда очень много интересного, а руку нужно держать "на пульсе" и смотреть, что нового и интересного есть в мире мобильной разработки!

Так что жду вас тоже на мероприятии! И да, скоро тоже разыграем билет одному из подписчиков, ждите новостей и конкурса 😎

И снова анонс!

Мне очень нравятся ребята из PVC, их продукт и главное их маскот :D

И я очень рад, что у нас будет совместный с ними вебинар, куда вас всех и приглашаю)

Приятно, когда твои материалы используют!

Спасибо!

Кстати, надо бы обновить awesome репозиторий, займусь на неделе)
:)

на и раз пошел такой разговор, еще подборочка для начинающих)

Полезные материалы по безопасности мобильных приложений
Попросили сформировать минимальный набор ресурсов, которые я бы порекомендовал к ознакомлению, если вам интересна безопасность мобильных приложений.
Понятно что этот список охватывает только самые базовые моменты, но ресурсов должно быть достаточно для понимания того куда двигаться дальше.

БАЗА:
(В этом разделе основные ресурсы с которыми вы будете сталкиваться на работе + вектора атак для понимания от кого мы защищаемся)
- OWASP Mobile Top 10
- MASVS/MASWE/MASTG
- Сценарии атак на МП

Курсы и циклы статей:
(Статьи и курсы которые я бы мог рекомендовать для совсем начинающих или тех кто дне понимает с чего начать)
- Инструменты анализа безопасности Android
- Не плохие бесплатные курсы по безопасности МП
- Cборник с заметками, apk тасками и книгами

Книги:
(Для тех кому нравится читать)
- Android глазами хакера
- Хакинг на Android
- Android Security Internals

Каналы и блоги:
(Люди за которыми стоит следить для повышения погружения)
- Блог Сергея Тошина о безопасности мобилок
- Канал сообщества Android Guards
- Блог Юрия Шабалина
- (Не)Уникальный опыт
- iOS Helper

Возможно со временем что-то дополню :)

Регуляторика в ИБ

На самом деле, я скажу, что сам достаточно сильно погрузился в регуляторику. Правда, пытаюсь притянуть туда мобильные приложения, но все равно достаточно плотно сижу с разными регламентами и доками.

И вот такие вот семинары/вебинары очень помогают!

Так что спешу вас пригласить!