AppsConf – конфа по мобильной разработке
Розыгрыш билета на AppsConf X 2025⭐️ Участвуйте и получите офлайн-билет на профессиональную конференцию разработчиков мобильных приложений совершенно бесплатно🔥 Apps Conf — пространство для мобильных разработчиков, готовых к вызовам, которые ставят технологии…
Media is too big
VIEW IN TELEGRAM
Итоги конкурса!
Итак, сегодня разыгрываем билет!
И я поздравляю @zykloned с билетом на конференцию AppsConf!
Я передал твой контакт организаторам, скоро с тобой свяжутся с деталями!
Всем большое спасибо!
Итак, сегодня разыгрываем билет!
И я поздравляю @zykloned с билетом на конференцию AppsConf!
Я передал твой контакт организаторам, скоро с тобой свяжутся с деталями!
Всем большое спасибо!
👍5❤3🔥3
Вышло наше исследование!
Ну что сказать, в этом году оно вышло явно сложнее, чем в прошлом, больше детектов, больше интересного, но как и раньше, основная проблема такая же, что и раньше(
Мы очень старались, надеюсь, вам понравится!
В этом году планируем еще более масштабный анализ и с дополнительными категориями!
Остаемся на связи :)🤙
Ну что сказать, в этом году оно вышло явно сложнее, чем в прошлом, больше детектов, больше интересного, но как и раньше, основная проблема такая же, что и раньше(
Мы очень старались, надеюсь, вам понравится!
В этом году планируем еще более масштабный анализ и с дополнительными категориями!
Остаемся на связи :)🤙
❤5👍2🔥2
Forwarded from AppSec Solutions
Исследование уязвимостей мобильных приложений📱
Команда AppSec Solutions представила результаты ежегодного исследования приложений российских разработчиков. Тестирование проводилась методом «черного ящика», без доступа к исходному коду, что максимально приближает его к реальным условиям атаки. Безопасность приложений проверялась с помощью «Стингрей» — платформы автоматизированного анализа защищенности мобильных приложений.
🛡 Эксперты проверили 1 675 Android-приложений из 18 категорий — от финтеха и онлайн-ритейла до здравоохранения, образования и корпоративных сервисов.
— прокомментировал результаты Юрий Шабалин, директор по продукту «Стингрей» компании AppSec Solutions.
➡️ Собрали главное в карточках, а полную версию исследования можно найти на странице нашего спецпроекта на CNews.
#AppSec_исследование #AppSec_Stingray
Команда AppSec Solutions представила результаты ежегодного исследования приложений российских разработчиков. Тестирование проводилась методом «черного ящика», без доступа к исходному коду, что максимально приближает его к реальным условиям атаки. Безопасность приложений проверялась с помощью «Стингрей» — платформы автоматизированного анализа защищенности мобильных приложений.
Как и год-два назад основной проблемой является небезопасное хранение данных. Это могут быть и пароли от приложений, и сессионные идентификаторы, и токены доступа для своих сервисов. В этом году на первом месте – небезопасное хранение ключей доступа от сторонних сервисов. Эти сервисы могут содержать большое количество конфиденциальной информации, утечка которой может быть опасна как для пользователей, так и для компании.
— прокомментировал результаты Юрий Шабалин, директор по продукту «Стингрей» компании AppSec Solutions.
#AppSec_исследование #AppSec_Stingray
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍5🤩3❤2🤯1
Эксплуатация SQL Injection в iOS или…
Прочитал тут удивительную статью про эксплуатацию SQLInjection в одном из приложений iOS.
И честно говоря, либо я не до конца понял, либо автор в статье просто перехватывает при помощи Frida запрос и подменяет его на свой собственный. Как-то не сильно-то похоже на инъекцию. С таким же успехом можно было просто базу скачать себе и посмотреть в том же бекапе даже без джейла.
На самом деле я очень нечасто встречал SQL-инъекции в iOS, так как там сильно ограничено межпроцессное взаимодействие и такого механизма, как, например Content Provider в Android, там нет, что бы смотрело впрямую в базу. В Android они тоже не так часто встречаются, но все таки они есть и реально эксплуатабельны.
Но все-таки я не понимаю, какой практический смысл этой статьи.. Помогите, пожалуйста, может я все-таки не так что-то понял?
Прочитал тут удивительную статью про эксплуатацию SQLInjection в одном из приложений iOS.
И честно говоря, либо я не до конца понял, либо автор в статье просто перехватывает при помощи Frida запрос и подменяет его на свой собственный. Как-то не сильно-то похоже на инъекцию. С таким же успехом можно было просто базу скачать себе и посмотреть в том же бекапе даже без джейла.
На самом деле я очень нечасто встречал SQL-инъекции в iOS, так как там сильно ограничено межпроцессное взаимодействие и такого механизма, как, например Content Provider в Android, там нет, что бы смотрело впрямую в базу. В Android они тоже не так часто встречаются, но все таки они есть и реально эксплуатабельны.
Но все-таки я не понимаю, какой практический смысл этой статьи.. Помогите, пожалуйста, может я все-таки не так что-то понял?
DEV Community
🧠 iOS Reverse Engineering: iOS SQL Injection Challenge
A Technical Walkthrough from Binary Analysis to Runtime Query Manipulation Welcome to this detailed...
Какую IDE для Android разработки вы используете?
Anonymous Poll
91%
Android Studio
5%
VSCode
2%
Eclipse
2%
Что-то другое (напишите в комментах)
Какую IDE для Android разработки вы используете?
Мне вот правда интересно, есть ли люди, кто использует что-то отличное от Android Studio для разработки или это прям стандарт-стандарт для мобилок?
Наверняка же есть что-то еще, помимо Android Studio? Вголову приходит только VSCode с плагинчиками, но эмулятором же управлять удобнее из студии)
В общем, помогите, пожалуйста разобраться))
Мне вот правда интересно, есть ли люди, кто использует что-то отличное от Android Studio для разработки или это прям стандарт-стандарт для мобилок?
Наверняка же есть что-то еще, помимо Android Studio? Вголову приходит только VSCode с плагинчиками, но эмулятором же управлять удобнее из студии)
В общем, помогите, пожалуйста разобраться))
Forwarded from OFFZONE
Хотите выступить на OFFZONE 2025? Cейчас самое время подать заявку: хоть CFP и открыт до 10 июля включительно, есть шанс не успеть.
И напоминаем: до 1 июля билеты можно ухватить по ценам early bird. А еще их меньше, чем в прошлом году.
Please open Telegram to view this post
VIEW IN TELEGRAM
Как приложения сливают нашу геопозицию или я знаю, где ты живешь...
Очень крутое на исследование, которое глубоко копает в механизмы отслеживания местоположения через рекламу в мобильных приложениях аж в двух частях:
Часть первая
Часть вторая
Автор продемонстрировал, как, используя Charles Proxy (в первой части) и mitmproxy (во второй), можно вскрыть этот "ящик Пандоры". Даже если вы отключили службы геолокации, приложения, такие как простая игра Stack от KetchApp, передают ваш IP-адрес, точные временные метки и рекламные идентификаторы (IDFA/AAID) таким гигантам, как Unity Ads и Facebook.
Эти данные затем участвуют в Real-Time Bidding (RTB) аукционах, где SSP (Supply-Side Platforms) продают их DSP (Demand-Side Platforms), например, Moloco Ads. Более того, информация о вашем местоположении, полученная даже косвенно через IP или Wi-Fi сети, может оказаться на рынках данных вроде Datarade, иногда с пометкой "low latency", то есть практически в реальном времени.
В репозитории на GitHub есть подробное руководство и наработки на Python (mitm_test.ipynb и visualise_domains.ipynb) для самостоятельного анализа собранных .mitm файлов, позволяющие визуализировать, какие домены получают больше всего запросов.
И это крайне наглядный пример того, как даже обыденные приложения могут стать источником утечки чувствительных данных, и как важно проводить анализ сетевой активности разрабатываемых нами приложений и подключаемых внешних библиотек, чтобы не окзаться потом читающим статью, как твое приложение передает свою геопозицию в другие компании...
Кстати, на одной из конференций показывали, как публичные точки WiFi собирают наши данные для того, чтобы можно было отслеживать устройство, как и где оно перемещается... Конечно, существующие настройки приватности и рандомизации MAC-адресов работают, но настолько ли хорошо они нас защищают? Это вопрос))
Приятного вам вечера пятницы и да, все знают, где ты живешь!
#MobileSecurity #Privacy #AdTech #DataLeak #RTB #mitmproxy #InfoSec
Очень крутое на исследование, которое глубоко копает в механизмы отслеживания местоположения через рекламу в мобильных приложениях аж в двух частях:
Часть первая
Часть вторая
Автор продемонстрировал, как, используя Charles Proxy (в первой части) и mitmproxy (во второй), можно вскрыть этот "ящик Пандоры". Даже если вы отключили службы геолокации, приложения, такие как простая игра Stack от KetchApp, передают ваш IP-адрес, точные временные метки и рекламные идентификаторы (IDFA/AAID) таким гигантам, как Unity Ads и Facebook.
Эти данные затем участвуют в Real-Time Bidding (RTB) аукционах, где SSP (Supply-Side Platforms) продают их DSP (Demand-Side Platforms), например, Moloco Ads. Более того, информация о вашем местоположении, полученная даже косвенно через IP или Wi-Fi сети, может оказаться на рынках данных вроде Datarade, иногда с пометкой "low latency", то есть практически в реальном времени.
В репозитории на GitHub есть подробное руководство и наработки на Python (mitm_test.ipynb и visualise_domains.ipynb) для самостоятельного анализа собранных .mitm файлов, позволяющие визуализировать, какие домены получают больше всего запросов.
И это крайне наглядный пример того, как даже обыденные приложения могут стать источником утечки чувствительных данных, и как важно проводить анализ сетевой активности разрабатываемых нами приложений и подключаемых внешних библиотек, чтобы не окзаться потом читающим статью, как твое приложение передает свою геопозицию в другие компании...
Кстати, на одной из конференций показывали, как публичные точки WiFi собирают наши данные для того, чтобы можно было отслеживать устройство, как и где оно перемещается... Конечно, существующие настройки приватности и рандомизации MAC-адресов работают, но настолько ли хорошо они нас защищают? Это вопрос))
Приятного вам вечера пятницы и да, все знают, где ты живешь!
#MobileSecurity #Privacy #AdTech #DataLeak #RTB #mitmproxy #InfoSec
tim.sh
Everyone knows your location
How I tracked myself down using leaked location data in the in-app ads, and what I found along the way.
👍10🔥3😁3
Как получить root на Android эмуляторе (AVD) с Google Play?
Для анализа некоторых мобильных приложений на Android часто нужен не только root-доступ, но и полноценный Google Play со всеми его сервисами. И в том, чтобы его получить может отлично помочь статья на 8ksec.io.
По сути, в статье описан способ модификации образа ramdisk.img при помощи инструмента RootAVD. Описан весьма детально, с подробностями и пояснением к каждому этапу.
В итоге мы получаем эмулятор с установленным Magisk, Frida и root доступом через adb. При этом имея полноценные Google Services и даже Google Play. Отличный способ, главное, чтоб он рабочий оказался))
Пользуйтесь и пишите,. если и правда получилось =)
#Android #Emulator #Magisk #root
Для анализа некоторых мобильных приложений на Android часто нужен не только root-доступ, но и полноценный Google Play со всеми его сервисами. И в том, чтобы его получить может отлично помочь статья на 8ksec.io.
По сути, в статье описан способ модификации образа ramdisk.img при помощи инструмента RootAVD. Описан весьма детально, с подробностями и пояснением к каждому этапу.
В итоге мы получаем эмулятор с установленным Magisk, Frida и root доступом через adb. При этом имея полноценные Google Services и даже Google Play. Отличный способ, главное, чтоб он рабочий оказался))
Пользуйтесь и пишите,. если и правда получилось =)
#Android #Emulator #Magisk #root
8kSec - 8kSec is a cybersecurity research & training company. We provide high-quality training & consulting services.
Rooting an Android Emulator for Mobile Security Testing - 8kSec
Introduction Rooting an Android emulator is essential for mobile app security research because it allows researchers to use powerful instrumentation and debugging tools that require root privileges. By obtaining full root (superuser) access on an AVD, you…
👍6❤3🔥3🤝1
Forwarded from 󠆜ₖᵢbₑᵣ.ᵢₒ ༽
Можно и ksu поставить на avd, у них есть ci канал в телеге, там есть пропатченные avd образы.
Вот здесь я issue заводил и разраб описал как это можно замутить
Вот здесь я issue заводил и разраб описал как это можно замутить
GitLab
KernelSU support (#101) · Issues · newbit / rootAVD · GitLab
Is KernelSu support planned? And is it even possible?
👍6❤4
участвуем активнее, друзья, покажите ваши умения)
Forwarded from Android Guards
Всем привет! Стартанул наш конкурс на PHD. Задача как обычно простая - находите баги, получаете баллы, забираете мерч. В этот раз вас ждет супер защищенное хранилище конфиденциальной информации. Кроме беслатных функций в нем есть платные. Еще есть триальная лицензия чтобы можно было оценить прелесть платной версии программы ;) Сможете получить безлимитную? Все подробности здесь.
Всем удачи!
Всем удачи!
👍3
Forwarded from Android Guards
Сегодня было сдано очень мало отчетов, поэтому хочу немного прояснить смысл конкурса и помочь вам начать копать в правильном направлении.
В приложении бесполезно (почти) искать всякие стандартные уязвимости, к которым большинство привыкло. Основной фокус - реверс. В том числе бинарный. Кроме этого нужно немного быть в курсе различных механизмов работы Android и библиотек для разработки приложений. Поэтому, если вы совсем новичок в исследовании мобильных приложений, то может быть немного сложно. Но это не повод опускать руки. Для новичков там тоже есть несколько уязвимостей, нахождение которых не требует каких-то исключительных скилов. Просто внимательность и понимание модели угроз для мобилок.
Ожидается, что участники глубоко погрузятся в некоторые сценарии работы приложения и найдут в них недочеты, которые, при должном упорстве, можно превратить в critical баги.
Чуть позже будут опубликованы подсказки для тех, кому совсем не приходит в голову никаких мыслей. Также, прошу вас написать какие сложности возникают при анализе этого приложения. Попробую сделать какой-то ликбез по итогу чтобы этих сложностей больше не возникало.
Время еще есть. Reverse must go on ;)
В приложении бесполезно (почти) искать всякие стандартные уязвимости, к которым большинство привыкло. Основной фокус - реверс. В том числе бинарный. Кроме этого нужно немного быть в курсе различных механизмов работы Android и библиотек для разработки приложений. Поэтому, если вы совсем новичок в исследовании мобильных приложений, то может быть немного сложно. Но это не повод опускать руки. Для новичков там тоже есть несколько уязвимостей, нахождение которых не требует каких-то исключительных скилов. Просто внимательность и понимание модели угроз для мобилок.
Ожидается, что участники глубоко погрузятся в некоторые сценарии работы приложения и найдут в них недочеты, которые, при должном упорстве, можно превратить в critical баги.
Чуть позже будут опубликованы подсказки для тех, кому совсем не приходит в голову никаких мыслей. Также, прошу вас написать какие сложности возникают при анализе этого приложения. Попробую сделать какой-то ликбез по итогу чтобы этих сложностей больше не возникало.
Время еще есть. Reverse must go on ;)
Telegram
Android Guards
Всем привет! Стартанул наш конкурс на PHD. Задача как обычно простая - находите баги, получаете баллы, забираете мерч. В этот раз вас ждет супер защищенное хранилище конфиденциальной информации. Кроме беслатных функций в нем есть платные. Еще есть триальная…
👍4
Forwarded from Дневник Комбеза
Как стоит подходить к проверкам окружения и сбору метрик приложения
Недавно обсуждали о том а вообще можно ли подходить к проверке безопасность финансовых приложений без сбора метрик в которые входят проверки окружения. И моё мнение что нет - метрики нужны для многого : проверка что пользователь не бот , проверка что у пользователя нормальный девайс , проверка для аналитики...
Этот сбор информации нужен иногда и для безопасности пользователя - например в случае когда вы просите вернуть деньги которые застраховали и приходите и пишите что ваш телефон взломали как думаете куда будет смотреть банк? 🙂
На основе метрик и аналитики строится антифрод мониторинг и другие подобные методы защиты
На PhD начинающим исследователям под iOS посоветовали обратить свое внимание на вот эту библиотеку https://github.com/nmilcoff/IOSSecuritySuite
И казалось бы все здорово , но есть её вариация лучше https://github.com/securing/IOSSecuritySuite
Тут разрабочики поддерживают актуальные проверки и стараются чтобы применимость была побольше.
Конечно не стоит использовать эти проверки в виде как есть - динамический анализ прекрасно их отломает(вангую кто-то уже написал плагин magisk для этого). Желательно чтобы используя описанные в этих проверках вектора - вы модифицировали логику работы функций добавляли логику которая усложняла бы анализ и поверх накидывали обфускаю или упаковщики.
У некоторых мобильных приложений я видел ещё более интересную и "безопасную" реализацию:
Весь код проверок вынесен в отдельную библиотеку и код вызова этих проверкок тоже собран в одну функцию
Насколько долговечным и надежным было бы подобное решение - ровно до того момента как кто-то не открыл бы Jadx и не скопировал от туда frida хук поменяв возвращаемое значение на нужное для прохождения проверок.
Не стоит класть все яйца в одну корзину: раскидывайте проверки в разные классы и места кода , дублируйте и модифицируйте. Тут подход должен быть как будто вы специально пишите уцуцуга таск на CTF, чтобы злоумышленник просто задолбался выпиливать и обходить. Ваша задача написать уцуцугу которую вы бы решали несколько месяцев, а ещё желательнее лет.
Нашли фрида скрипт который ломает вашу проверку - сломайте скрипт злоумышленнику модифицируя стандартную функцию. Заставьте человека реверсить и страдать при реверсе. Чем больше страдает злоумышленник тем лучше вам - потому что вероятность что он все бросит и пойдёт ковырять другую прилу выше 🙂
Защищайте канал по которому вы передаёте метрики и результаты проверок.
Шифруйте канал внутри https и всячески припятствуйте исследованию трафика ваших приложений.
Безопасность это пирог с множеством слоёв и на каким из слоёв злоумышленник устанет есть зависит только от вас 🙂
Недавно обсуждали о том а вообще можно ли подходить к проверке безопасность финансовых приложений без сбора метрик в которые входят проверки окружения. И моё мнение что нет - метрики нужны для многого : проверка что пользователь не бот , проверка что у пользователя нормальный девайс , проверка для аналитики...
Этот сбор информации нужен иногда и для безопасности пользователя - например в случае когда вы просите вернуть деньги которые застраховали и приходите и пишите что ваш телефон взломали как думаете куда будет смотреть банк? 🙂
На основе метрик и аналитики строится антифрод мониторинг и другие подобные методы защиты
На PhD начинающим исследователям под iOS посоветовали обратить свое внимание на вот эту библиотеку https://github.com/nmilcoff/IOSSecuritySuite
И казалось бы все здорово , но есть её вариация лучше https://github.com/securing/IOSSecuritySuite
Тут разрабочики поддерживают актуальные проверки и стараются чтобы применимость была побольше.
Конечно не стоит использовать эти проверки в виде как есть - динамический анализ прекрасно их отломает(вангую кто-то уже написал плагин magisk для этого). Желательно чтобы используя описанные в этих проверках вектора - вы модифицировали логику работы функций добавляли логику которая усложняла бы анализ и поверх накидывали обфускаю или упаковщики.
У некоторых мобильных приложений я видел ещё более интересную и "безопасную" реализацию:
Весь код проверок вынесен в отдельную библиотеку и код вызова этих проверкок тоже собран в одну функцию
CheckDeviceSecure которая возвращает True или False.Насколько долговечным и надежным было бы подобное решение - ровно до того момента как кто-то не открыл бы Jadx и не скопировал от туда frida хук поменяв возвращаемое значение на нужное для прохождения проверок.
Не стоит класть все яйца в одну корзину: раскидывайте проверки в разные классы и места кода , дублируйте и модифицируйте. Тут подход должен быть как будто вы специально пишите уцуцуга таск на CTF, чтобы злоумышленник просто задолбался выпиливать и обходить. Ваша задача написать уцуцугу которую вы бы решали несколько месяцев, а ещё желательнее лет.
Нашли фрида скрипт который ломает вашу проверку - сломайте скрипт злоумышленнику модифицируя стандартную функцию. Заставьте человека реверсить и страдать при реверсе. Чем больше страдает злоумышленник тем лучше вам - потому что вероятность что он все бросит и пойдёт ковырять другую прилу выше 🙂
Защищайте канал по которому вы передаёте метрики и результаты проверок.
Шифруйте канал внутри https и всячески припятствуйте исследованию трафика ваших приложений.
Безопасность это пирог с множеством слоёв и на каким из слоёв злоумышленник устанет есть зависит только от вас 🙂
GitHub
GitHub - nmilcoff/IOSSecuritySuite: Xamarin.iOS bindings for https://github.com/securing/IOSSecuritySuite
Xamarin.iOS bindings for https://github.com/securing/IOSSecuritySuite - nmilcoff/IOSSecuritySuite
👍10❤4🔥4