Forwarded from Android Guards
В свежем бюллетене безопасности Android есть неприметная CVE-шка c традиционно мутным описанием и не менее мутным патчем. Зачем гугл так делает - загадка. Но хорошо, что есть не только "не прекрасный" гугл, но еще и нормальные исследователи которые это нашли, зарепортили и сделали очень подробный разбор.
Суть проблемы: имея разрешение
Да, разрешение не самое простое, но во-первых его имеет
#cve
Суть проблемы: имея разрешение
WRITE_SECURE_SETTINGS можно выполнять код от имени любого приложения в системе. Да, разрешение не самое простое, но во-первых его имеет
adb, а во-вторых устройства и сценарии бывают разные. Поэтому однозначно рекомендую ознакомится с разбором.#cve
Meta Red Team X
Becoming any Android app via Zygote command injection
We have discovered a vulnerability in Android that allows an attacker with the WRITE_SECURE_SETTINGS permission, which is held by the ADB shell and certain privileged apps, to execute arbitrary code as any app on a device. By doing so, they can read and write…
👍5
Mobile AppSec World
Встреча Mobile AppSec Club в Москве! Всем привет! В прошлый раз мы с вами встречались в октябре прошлого года и, как мне кажется, все прошло очень круто! Я был очень рад видеть всех вживую, пообщаться, рассказать свои истории, послушать других) Очень классный…
А вот и четвертый спикер нашего уютного клуба
Всем привет! Я рад вам представить четвертого спикера нашего завтрашнего мероприятия (очень надеюсь, что не будет дождя и все доедут).
И им будет Игорь Кривонос (@AndroidDevSec), мой коллега, автор множества курсов, заслуженный тренер и шикарный пентестер!
Расскажет про разные интересные находки за время пентестов, интересные и не очень баги, соответствие требованиям и кучу других интересных штук! Я с огромным удовольствием всегда слушаю Игоря, он умеет хорошо и красиво рассказывать, да и технически всегда интересно!
#сходка #appsecmeetup #mobileappsecclub
Всем привет! Я рад вам представить четвертого спикера нашего завтрашнего мероприятия (очень надеюсь, что не будет дождя и все доедут).
И им будет Игорь Кривонос (@AndroidDevSec), мой коллега, автор множества курсов, заслуженный тренер и шикарный пентестер!
Расскажет про разные интересные находки за время пентестов, интересные и не очень баги, соответствие требованиям и кучу других интересных штук! Я с огромным удовольствием всегда слушаю Игоря, он умеет хорошо и красиво рассказывать, да и технически всегда интересно!
#сходка #appsecmeetup #mobileappsecclub
👏7
Встречаемся уже сегодня! Mobile AppSec Club #2
Всем привет!
Сегодня встречаемся в баре AXIOM PUB (Спартаковская площадь, 16/15 ст2, м. Бауманская, Красносельская).
Примерный план действий:
- С 19 до 20 ждем всех, кто приезжает и прибывает, пьем, знакомимся и веселимся
- Где-то примерно с 20 начинаем потихоньку с докладами
- Я расскажу про исследование и прикольные находки в мобилках
- Сергей Зыбнев расскажет про квест на соц. инженерию на PHD
- Александр Вир расскажет про систему Android, ее историю и особенности
- Игорь Кривонос расскжет увлекательные истории про мобильный пентест и обзор найденных багов
Ну а после свободная программа)) Если кто-то хочет рассказать историю из жизни или как-то дополнить рассказы коллег, то не стесняйтесь, времени хватит всем))
Очень жду всех, кто сможет придти и поболтать/послушать, а главное выпить с нами в этот прекрасный вечер!
#сходка #appsecmeetup #mobileappsecclub
Всем привет!
Сегодня встречаемся в баре AXIOM PUB (Спартаковская площадь, 16/15 ст2, м. Бауманская, Красносельская).
Примерный план действий:
- С 19 до 20 ждем всех, кто приезжает и прибывает, пьем, знакомимся и веселимся
- Где-то примерно с 20 начинаем потихоньку с докладами
- Я расскажу про исследование и прикольные находки в мобилках
- Сергей Зыбнев расскажет про квест на соц. инженерию на PHD
- Александр Вир расскажет про систему Android, ее историю и особенности
- Игорь Кривонос расскжет увлекательные истории про мобильный пентест и обзор найденных багов
Ну а после свободная программа)) Если кто-то хочет рассказать историю из жизни или как-то дополнить рассказы коллег, то не стесняйтесь, времени хватит всем))
Очень жду всех, кто сможет придти и поболтать/послушать, а главное выпить с нами в этот прекрасный вечер!
#сходка #appsecmeetup #mobileappsecclub
Axiom-pub.eatout.ru
Пивной бар Axiom на Спартаковской площади (метро Бауманская, Красносельская): телефон, цены, график работы
Пивной бар Axiom: запись и цены, фотографии ресторана, официальный сайт, адрес: Москва, Спартаковская площадь, 16/15 ст2 (метро Бауманская, Красносельская). Телефон: +7 (916) 091-59-64.
❤6👍2
Как добраться (для таких же, как я)
Вот вам серия фоток, как дойти до нужного места :)
Вот вам серия фоток, как дойти до нужного места :)
👍3😁3
Mobile Appsec Club #2!
Спасибо всем огромнейшее за чудесный, уютный вечер! :)
Я был безумно рад увидеть всех, поболтать, выпить и послушать отличные доклады!
Спасибо, что смогли найти время и пришли! Очень было приятно вживую познакомиться и увидеть всех не только в экране телефона :D
Я думаю, ещё не раз соберемся в подобном формате, мне кажется, он очень классный!
Если кто фоткал, скидывайте в чатик, авторы могут выложить свои презы при желании :)
Отдельное спасибо Сергею, Саше и Игорю за бомбические доклады! 🔥
#mobileappsecclub
Спасибо всем огромнейшее за чудесный, уютный вечер! :)
Я был безумно рад увидеть всех, поболтать, выпить и послушать отличные доклады!
Спасибо, что смогли найти время и пришли! Очень было приятно вживую познакомиться и увидеть всех не только в экране телефона :D
Я думаю, ещё не раз соберемся в подобном формате, мне кажется, он очень классный!
Если кто фоткал, скидывайте в чатик, авторы могут выложить свои презы при желании :)
Отдельное спасибо Сергею, Саше и Игорю за бомбические доклады! 🔥
#mobileappsecclub
❤9🔥6👍4
Доклад про философию Android от Александра
А вот и материалы поспели)
Спасибо!
А вот и материалы поспели)
Спасибо!
👍3❤2
Forwarded from Александр Вир
История и философия ОС Android
👍2❤1
Кстати, неплохая тема с регой через бота, надо взять на вооружение. Ну а так, коллеги из комьюнити проводят митап в баре, присоединяйтесь ;)
Forwarded from Виктория Тикун Kinetica agency
Пентестер, аппсекер, аналитик и заказчик заходят в бар…
Когда и где? — 20 июня 2024, в 17.00 в одном из баров Москвы, точную локацию пришлет ТГ-бот после регистрации.
Никакого хардкора, пиара и продуктов. От комьюнити для комьюнити. За кружкой пенного и закусками поговорим про:
● Смарт-криты или опасный Web3
● Goлангский штурвал
● Unexpected end of token security (или категория Crypto не на CTF)
Хочешь тоже выступить со своей темой? Пожалуйста! Присылай тему и описание в бота — отберем пару интересных докладов 😎
Регистрация: через ТГ-бота @PentestMeetupBot. Там же вся полезная информация.
Количество мест ограничено, успевай забронировать 📱
Когда и где? — 20 июня 2024, в 17.00 в одном из баров Москвы, точную локацию пришлет ТГ-бот после регистрации.
Никакого хардкора, пиара и продуктов. От комьюнити для комьюнити. За кружкой пенного и закусками поговорим про:
● Смарт-криты или опасный Web3
● Goлангский штурвал
● Unexpected end of token security (или категория Crypto не на CTF)
Хочешь тоже выступить со своей темой? Пожалуйста! Присылай тему и описание в бота — отберем пару интересных докладов 😎
Регистрация: через ТГ-бота @PentestMeetupBot. Там же вся полезная информация.
Количество мест ограничено, успевай забронировать 📱
❤1
Интересный подкаст про Android!
Ох, поздновато, но может кто успеет :)
В любом случае, ждем запись)
Ох, поздновато, но может кто успеет :)
В любом случае, ждем запись)
Forwarded from ITRadio
Анонс №4. Безопасность Android
Пришла пора поговорить на такую волнующую всех тему как безопасность Android и наконец-то понять, откуда берётся выдача рекламы, некогда случайно озвученная вполголоса рядом с включённым устройством.
В гостях как дома:
Александр Вир. Независимый исследователь. Автор проекта @rutheniumos – ОС, нацеленной не только на безопасность, но также приватность и защиту данных пользователя, созданной на базе AOSP и лучших наработок в области безопасности Android и ориентированной на российский рынок. И по совместительству автор канала @theaftertimes.
Алексей Теплов. Действующий инструктор в телекоме в англоязычной среде (Juniper), в нашей среде бывший (додевопсный) сетевой инженер, а нынче энтузиаст в сфере защиты от утечек со смартфонов и ноутбуков. Местами продвинутый пользователь Android и QubesOS, консультирует по ИБ и обучает заинтересованных лиц, нынче это преимущественно военные связисты (начсвязи).
О чём:
• История появления Андроида: как все начиналось в 200x и во что все превратилось в 202x?
• AOSP и архитектура современных андроидов/сборок
• Что не так с фабричными Андроидами в плане безопасности для обычного (рандомного) пользователя?
• Нужен ли рут и опасно ли наличие рута?
• Что такое дегуглофикация и почему она необходима инженеру?
• Bloatware, adware, трекеры/сборщики данных, etc – почему это зло, где его корни и как с ним бороться?
• Проект RutheniumOS – что, зачем и для чего? За что боремся, каковы высокие цели, в какой точке находимся, чего не хватает?
• Как сделать свой форк AOSP и нужно ли/сложно ли этому научиться? (может, академию открыть?! база (инженерная настройка) + адвансед (мейнтейнерство))
• Прочее интересное и полезное
Когда: 12.06.2024 11:00
Обязательно задаём свои вопросы в чате подкаста с тегом #вопрос4, за лучшие из них будут разыграны призы!
Трансляция будет здесь
Пришла пора поговорить на такую волнующую всех тему как безопасность Android и наконец-то понять, откуда берётся выдача рекламы, некогда случайно озвученная вполголоса рядом с включённым устройством.
В гостях как дома:
Александр Вир. Независимый исследователь. Автор проекта @rutheniumos – ОС, нацеленной не только на безопасность, но также приватность и защиту данных пользователя, созданной на базе AOSP и лучших наработок в области безопасности Android и ориентированной на российский рынок. И по совместительству автор канала @theaftertimes.
Алексей Теплов. Действующий инструктор в телекоме в англоязычной среде (Juniper), в нашей среде бывший (додевопсный) сетевой инженер, а нынче энтузиаст в сфере защиты от утечек со смартфонов и ноутбуков. Местами продвинутый пользователь Android и QubesOS, консультирует по ИБ и обучает заинтересованных лиц, нынче это преимущественно военные связисты (начсвязи).
О чём:
• История появления Андроида: как все начиналось в 200x и во что все превратилось в 202x?
• AOSP и архитектура современных андроидов/сборок
• Что не так с фабричными Андроидами в плане безопасности для обычного (рандомного) пользователя?
• Нужен ли рут и опасно ли наличие рута?
• Что такое дегуглофикация и почему она необходима инженеру?
• Bloatware, adware, трекеры/сборщики данных, etc – почему это зло, где его корни и как с ним бороться?
• Проект RutheniumOS – что, зачем и для чего? За что боремся, каковы высокие цели, в какой точке находимся, чего не хватает?
• Как сделать свой форк AOSP и нужно ли/сложно ли этому научиться? (может, академию открыть?! база (инженерная настройка) + адвансед (мейнтейнерство))
• Прочее интересное и полезное
Когда: 12.06.2024 11:00
Обязательно задаём свои вопросы в чате подкаста с тегом #вопрос4, за лучшие из них будут разыграны призы!
Трансляция будет здесь
ITRadio
Анонс №4. Безопасность Android
Пришла пора поговорить на такую волнующую всех тему как безопасность Android и наконец-то понять, откуда берётся выдача рекламы, некогда случайно озвученная вполголоса рядом с включённым устройством.
В гостях как дома:
Александр Вир. Независимый исследователь.…
В гостях как дома:
Александр Вир. Независимый исследователь.…
❤4🔥4❤🔥3👍1
Что ваш телефон знает о вас
Это они еще Xiaomi на стоковой прошивке, наверное не трогали, там вообще, говорят жесть :)
Ну а сам эксперимент лишь подтверждает, что не всему можно верить (особенно политике Google по обработке данных пользователей, которые они так трясут с разработчиков, но которые по факту никто не проверяет).
И сколько данных сливают приложения, можно только догадываться (ну а скорее всего всё, до чего можно дотянуться, данных мало не бывает).
Ну и очень хорошо вспоминается сам Google :) В тот момент, когда Apple ввёл обязательную политику регистрации и описания данных, которые собирает приложение, великая корпорациядобра несколько месяцев не обновляла свои приложения (интересно почему)🤔
Так что будьте аккуратны, никогда не знаешь, кто и какие данные может получить с наших устройств ;)
Ну и очень хорошо вписывается сюда подкаст из предыдущего сообщения, там тоже много интересного про передачу данных, информации и прочих вещей, но уже от самой ОС Android.
Да и в целом, у нас два выбора, Google, Apple или любой другой корпоративный гигант, типо Samsung или Xiaomi, каждый из которых гребет все данные подряд..
Но вот вопрос, а стоит ли тогда вообще париться, если все равно каждый вендор что-то, но собирает. И есть ли способ этого избежать, сохранив при этом работоспособность приложений, да и самого устройства?
Это они еще Xiaomi на стоковой прошивке, наверное не трогали, там вообще, говорят жесть :)
Ну а сам эксперимент лишь подтверждает, что не всему можно верить (особенно политике Google по обработке данных пользователей, которые они так трясут с разработчиков, но которые по факту никто не проверяет).
И сколько данных сливают приложения, можно только догадываться (ну а скорее всего всё, до чего можно дотянуться, данных мало не бывает).
Ну и очень хорошо вспоминается сам Google :) В тот момент, когда Apple ввёл обязательную политику регистрации и описания данных, которые собирает приложение, великая корпорация
Так что будьте аккуратны, никогда не знаешь, кто и какие данные может получить с наших устройств ;)
Ну и очень хорошо вписывается сюда подкаст из предыдущего сообщения, там тоже много интересного про передачу данных, информации и прочих вещей, но уже от самой ОС Android.
Да и в целом, у нас два выбора, Google, Apple или любой другой корпоративный гигант, типо Samsung или Xiaomi, каждый из которых гребет все данные подряд..
Но вот вопрос, а стоит ли тогда вообще париться, если все равно каждый вендор что-то, но собирает. И есть ли способ этого избежать, сохранив при этом работоспособность приложений, да и самого устройства?
⚡1