Интересный инструмент для изменения ресурсов

Интересный инструмент APKEditor, никогда с ним ранее не сталкивался. Хорошо умеет изменять ресурсы внутри APK, собирать из нескольких split один standalone и прикольная штука с защитой ресурсов от дальнейшей модификации.

Инструмент активно дорабатывается и коммиты еще идут (23 апреля, 1 мая, 11 мая), так что есть надежда, что инструмент еще поживет какое-то время, а может даже будет развиваться!

В любом случае, может быть полезным, если нужно что-то быстренько поправить только в ресурсах.

Если кто-то его использует, отпишитесь, как оно, пожалуйста?

#android #smali #APK #tools

Использование Frida - функция memory.scan()

Крайне занятная статья, которая рассказывает, как и зачем можно применять функции поиска в памяти через Frida.

В статье эта функция используется для поиска захардкожкнного пинкода в нативной либе и замене значения по адресу на нужное.

Я никогда раньше не использовал такой подход, весьма интересная функция, думаю, что в ряде случаев может пригодиться.

Может и вы найдете это интересным :)

#frida #memory #scan #android

Встреча Mobile AppSec Club в Москве!

Всем привет!

В прошлый раз мы с вами встречались в октябре прошлого года и, как мне кажется, все прошло очень круто! Я был очень рад видеть всех вживую, пообщаться, рассказать свои истории, послушать других) Очень классный стендапчик получился с @szybnev

В общем, все прошло просто потрясно и мне бы хотелось повторить это классное мероприятие!

На этот раз оно пройдет в солнечную, прекрасную погоду, в баре с огромным выбором пива и отличным местоположением (да, я учел пожелания по напиткам 😄)

В программе будет рассказ о нашем исследовании, что мы проводили в прошлом году, о его результатах, о том как и зачем мы это делали и какие интересные тренды получилось заметить и о многом другом. Также расскажу про смешные случаи, интересные находки и вместе посмотрим на различные уязвимости, которые встречались нам в мобильных приложениях и рядом с ними.

Постараюсь найти еще спикеров, которые, уверен, тоже расскажут и покажут что-то крайне интересное и не только по мобилкам =)

Mobile AppSec Club #2 состоится 06.06.2024 в баре AXIOM PUB (Спартаковская площадь, 16/15 ст2, м. Бауманская, Красносельская). Начало вечером, предположительно в 19 / 20 часов

Очень жду всех, кто сможет придти и поболтать/послушать, а главное выпить с нами в этот солнечный и яркий день!

#сходка #appsecmeetup #mobileappsecclub

Про хранение Third-party секретов в мобилках и неправильно настроенные Security-политики внешних сервисов

Настраиваем проксирование Windows-Flutter приложений

И снова про флаттер) Как-тов моей копилке собралось много материала по нему…

Но на этот раз это будут приложения, которые написаны под Windows. Весьма необычно и крайне мало информации про это.

Статья рассказывает, как устроены Flutter приложения, когда они собраны в exe файл. И главное, как настроить перехват трафика и как отключить SSL Pinning при помощи Frida. Автор любезно выложил проект на гитхаб, помимо детального описания работы в самой статье.

Конечно, не все так гладко у автора прошло и он не смог решить несколько вещей, которые (возможно), оставил на потом. Но как минимум одно рабочее решение точно есть 😅

Быть может, кому-то это будет полезно, особенно, если нужно собрать трафик, но нет опыта работы с мобильными приложениями.

Приятного чтения!

#flutter #windows #proxy #sslpinning

Не про мобилки, но про контейнеры

Всем привет!

Знаю, что у вас широкий кругозор и разные интересы, которые не ограничиваются одними мобильными приложениями.

Поэтому, представляю вашему вниманию отличный вебинар от моих коллег по Container Security!

Приятного просмотра!

Маленькое напоминание Mobile AppSec Club

Друзья, PHDays кончился, все возвращаемся потихоньку в рабочее русло, читаем каналы, чаты))
Поэтому "Up" этому сообщению, отмечайтесь в голосовалке, если придете, это очень важно =)

И конечно, очень-очень всех жду!

Защита от атак на Supply Chain, пособие для gradle

Всем привет!
В начале года была новость про атаку на цепочку поставок под названием MavenGate. И мы в своем продукте Стингрей очень быстро добавили возможность анализа на эту атаку.

И спустя некоторое время нашел очень подробную статью про техники защиты от подобных атак. Конечно, мы тоже давали рекомендации, но тут они максимально подробно расписаны и на примерах показано как и что нужно сделать.

На практике я пока ни разу не видел применение этих техник, но надеюсь, что в ближайшем будущем это станет обязательным при разработке приложений.

Всем, кто использует gradle рекомендую и советую.

#gradle #supplychain #defence

Профиль защиты ЦБ РФ и мобильные приложения: разбираемся, как соответствовать

Всем привет!

Наверное, всем рано или поздно приходится сталкиваться с нашим законодательством, требованиями и стандартами. Вот и меня это не обошло стороной и пришлось начать разбираться в ОУД4, соответствии ему, что требуется, как выполнять и т.д. Это был непростой, но на удивление, крайне увлекательный путь, который в итоге привел меня к написанию статьи для таких же как я, тех кто никогда не имел дела с нашими стандартами и ему пришлось в это погрузиться.

Я никогда раньше не погружался в эти документы и это было большим испытанием) Но, к счастью, знающие люди помогли разобраться и объяснили, что и для чего необходимо. И, скажу вам, теперь мне все стало намного понятнее.

Что интересно, в документе, который я изучал более внимательно, а это логическое продолжение ОУД - "Профиль защиты", есть даже упоминание мобильных приложений и как раз это меня и зацепило. Если есть мобильные приложения, значит их тоже надо проверять в составе всего продукта.

Тестирование на проникновение, в зависимости от типа ОО, может включать в себя следующие направления исследований, применимые к ОО и среде его функционирования:
а) оценка защищенности веб-приложений;
б) оценка защищенности специализированных банковских приложений (специализированного ПО) финансовых организаций;
в) оценка защищенности мобильных устройств

Ну что, попробуете разобраться вместе со мной, как соответствовать профилю защиты для мобильных приложений?

#habr #профильзащиты #ОУД4

Анализ и патч DEX-файлов

Как правило модификация приложений происходит через распаковку Android-приложения до smali-кода (например, через apktool), изменение и потом запаковку обратно.

В статье используют немного другой подход, работу напрямую с dex-файлами при помощи инструмента dexmod

Весьма необычный подход, даже не знаю, для чего его лучше использовать. Ну, в статье приводится интересный пример, конечно, когда внутри dex-файла заменяют обфусуированные значения обычными, что упрощает анализ, но все равно похоже на частный случай.

Тем не менее статья интересна теоретической частью про структуру dex-файлов и способах их анализа.

В любом случае, весьма интересно было изучить.

Приятного чтения!

#dex #android #patch

Инъекции кода в Android без использования ptrace

Детальная, подробная, техническая статья про проект, который позволяет инжектить код в процессы на Android без использования ptrace.

Очень круто описан и сам процесс, как заинжектить код, как технически это возможно и рассказ автора про свой путь написания.

На мой взгляд, это конечно, не полноценный и готовый проект, но очень интересный посыл и, возможно способ обойти некоторые изощренные проверки :) ну и в целом крайне познавательно понимать, как именно все это работает изнутри, хотя и все-таки достаточно сложно.

Радует большое количество отсылок к различным статьям, так что вдумчивое чтение не на один час 😅

Приятного изучения!

#android #ptrace #libinjection

Тестирование API

Мои коллеги из Swordfish Security (кстати репост с нашего канала, рекомендую подписаться), написали уже ряд статей по тестированию API при помощи инструмента RESTler. А также выступили с докладом по аналогичной тематике на PHDays.

На самом деле удивительно, но весьма интересный инструмент, который после статей ребят раскрылся для меня с новой стороны. Вполне возможно, что в будущем мы рассмотрим его в качестве движка для тестирования API в Стинг. В каждом из инструментов есть свои сложности, но на первый взгляд выглядит, как неплохое начало.

В общем, однозначно рекомендую и канал и статьи и инструмент :)

Хорошего вечера воскресенья!

#rest #apisecurity #restler #swordfish

Для любителей почитать большие книги :D

Уже скоро, в четверг, встретимся с вами в баре!

Всем привет!

Уже совсем скоро мы встретимся с вами в баре на Бауманской, приходите, я буду очень-очень рад встретиться со всеми лично и поболтать за безопасность)

Сбор с 19 до 20, начало полу-официальных докладов под хорошее настроение и пиво примерно с 20-00.

В этот раз радовать вас выступлениями буду не только я (расскажу про исследование и про потрясные находки в приложениях) и рад представить вам второго спикера - Сергей Зыбнев(@szybnev), автор канала Похек, пентестер и очень позитивный человек), который расскажет нам, как он проходил квест на социальную инженерию на PhDays и что ему за это сделали)

И будет еще один участник, которого представлю чуть позже, чтобы чуть сохранить интригу от такого крутого доклада )

Stay Tuned!

Анонс третьего доклада об операционной системе Android!

Третьим нашим участником и спикером станет прекрасный @aftertime (Александр Вир), который расскажет о дивном мире Android и немного о его истории...

На мой взгляд решительно невозможно правильно чем-то пользоваться, если ты не имеешь четкого представления, кто и для чего создавал предмет твоего интереса.
Сегодня мы посмотрим на зеленого робота с разных сторон, и постараемся разобраться, что же он из себя представляет.
Мы поговорим про идеи, которые легли в основу ОС, о значении лицензий в мире свободного ПО, о том, как бизнес заигрывает с сообществом, о том, как судились Google с Oracle, и причем тут Kotlin.

Я лично очень жду этого доклада и с удовольствием пропущу бокальчик сидра под увлекательный рассказ)

Приходите и вы :)

Кстати, Саша ведет офигительнейший канал https://www.tgoop.com/rutheniumos, очень рекомендую)

#mobileAppsecClub