Территория Безопасности

Конференция закончилась и вышла очень крутой, мне прям действительно понравилась, хотя обычно мы выступаем на более технических конференциях, вчера атмосфера была супер позитивной. Спасибо участникам и организаторам (особенно за обилие еды и десертиков) 😄


И очень приятно слышать такую обратную связь после конференций и выступлений! Это заставляет тебя снова и снова выступать и делиться тем, что знаешь с окружающими (ну или хотя бы их веселить).

Спасибо большое за комментарии и вашу поддержку, это очень важно на самом деле!

Всем хорошей пятницы и хорошо отдохнуть на выходных!

83% мобильных приложений содержат уязвимости высокого и критического уровня. С одной стороны у разработчиков значительно возрос осознанный подход к безопасности их приложений, но с другой стороны качество сборок многих приложений просело в связи с необходимостью быстро выкладывать приложения в сторы с «неповторимым» кодом, чтобы не сличили (из-за санкций).

Было удивительно узнать, что многие приложения хранят в открытом виде пинкоды, пароли и другую чувствительную информацию, а также имеют множество уязвимостей, инъекции и тд. Это касается и банковских сервисов. Travel и hotel tech тоже не исключение.

Поэтому разработка команды Юрия Шабалина (со мной на фото) очень актуальна сейчас. Не случайно коллеги показывают взрывной рост продаж за 2023 год.

Стингрей оказывает разработчикам помощь в автоматизированном поиске уязвимости в их приложениях. Весьма актуально сегодня, особенно для сервисов, которые относятся к критической информационной инфраструктуре.

Я уверен, что обеспечение безопасности пользователей сервисов (b2c, b2b) - это прежде всего обязанность самих сервисов.

Мы планируем протестировать Стингрей на своем приложении.

Канал по безопасности мобильных приложений: https://t.me/mobile_appsec_world

Новый формат выступлений

На конференции я попробовал новый для себя формат выступлений, это быстрое лайв-демо своего решения на публику.

У тебя есть 15 минут и надо рассказать и показать, что умеет делать твой инструмент, как с ним работать и при этом не словить «эффект демо», когда все сразу ломается :D

Как мне показалось, получилось весьма живо и достаточно интересно. Хоть я и затянул в определенный момент, но все равно получилось классно.

На будущее, нужно целиться в 10 минут, этого более чем достаточно, чтобы заинтересовать и показать реальную работу системы.

Всем, кто был на конференции и видел демо, спасибо большое за поддержку! Ну, а тем, кто не смог/не успел, можете посмотреть, спасибо ребятам, которые записали этот маленький стенд-ап.

P. S. Как же ужасно слышать свой голос и смотреть на себя со стороны))))

#Стингрей #демо #лайв

Как обеспечить безопасность flutter-приложений

Статья, которая не как все, рассказывает о применении reFlutter для анализа таких приложений, а наоборот, объясняет как их можно защитить от угроз, описанных в OWASP Mobile.

В статье описаны, на самом деле, базовые техники и общие рекомендации, иногда с примерами кода и советами по используемым плагинам.

Иногда я бы не стал им сильно доверять, например, совету с использованием Flutter-secure-storage, но все равно, отправная точка есть.

Да, пусть статья и не самая подробная и имеет только общие рекомендации, но все равно такого материала часто сильно не хватает. И я очень рекомендую ее пролистать и отправить почитать разработчикам кроссплатформенных приложений.

Хороших выходных!

#flutter #secure #owasp

Удивительное рядом

Мой коллега поделился со мной крайне удивительной вещью, утилитой для джейлбрейка под Windows под названием WinRa1n.

Проблема на Линукс и маке была простой, джейл успешно проходил, но приложение Palera1n не появлялось, чтобы не делали, а софт под Винду помог о_О

Я очень сильно удивился, потому что до этого момента был уверен, что единственный внятный инструментарий для винды это 3uTools, но нет.

Внутри лежит адаптированный под Винду чекрейн и палерейн. Ничего нового, но блин, работает же 😅

Так что, у кого были проблемы с линуксом/маком, добро пожаловать в клуб))

#palera1n #winra1n #jailbreak

Если что, ссылка на официальный сайт, а не на форум 4pda:

https://winra1n.net

Общественная зарядная станция, как вектор угрозы для мобильного приложения

Всем привет!

Часто сталкиваюсь с вопросом, да что можно сделать с телефоном, как можно получить данные без физического доступа? Я же никому не отдаю свой телефон и потерять его не могу. С одной стороны, конечно, а с другой... Никто не заряжал свой телефон от USB-порто в метро или в автобусе? Или может пользовались общественными зарядками в аэропорту?

Нашел статью, в которой расписано несколько атак на устройства, которые можно осуществить через скомпрометированную зарядку. В статье есть отсылка, что уже неоднократно выявляли случаи заражения подобных станций.

И хотя приведенные в стате вектора атак выглядят не очень страшно, особенно, учитывая, что мало чего удастся достичь на устройстве с заблокированном экраном, задуматься все таки стоит. Как минимум о:
1. На зарядке мы часто пользуемся телефоном или держим его разблокированным (дети смотрят мультики, например)
2. Приведенные вектора атак, как мне кажется, далеко не единственные (если знаете что-то еще, поделитесь в комментариях)
3. Есть еще прикольная техника АТ-команд

Да много чего, я думаю, можно придумать :)

Так что, я думаю, такой вектор атаки можно считать вполне применимым, хоть и не очень распространенным. Хотя кто знает...

#attack #ios #android #cable

Обход ограничений безопасности Android

А вот и отличный пример того, что валидация и санитизация входных данных поможет избежать 80% проблем.

Из-за того, что в одном месте проверка есть, а в другом забыли, стало возможно выполнять любые действия от имени приложения (run as). Получить приватные файлы приложения, данные из AccountManager и все, что можно сделать из атакуемого приложения. Эксплойт состоит всего из 4-х строк, зато какие возможности!

Уязвимы версии Android 12 и 13, и, хотя для эксплуатации требуется ряд вещей, это очень интересный способ исследовать приложения на незапатченных версиях и весьма интересный способ анализа, если нет рута на устройстве.

В статье очень много ссылок по тексту на исходники Android, что может помочь в дальнейших исследованиях (ну и просто разобраться- покопаться в сорцах).

#android #cve

Поверхность атаки на iOS-приложения

Пожалуй, одна из самых необычных статей, которая мне попадалась за последнее время.

Представляет из себя набор уязвимостей, которые могут быть в iOS-приложениях. Но важен формат предоставления информации, а именно описание проблемы, фрагменты уязвимого кода, объяснение, чем он плох, пример исправленного кода и пояснение, что и как исправили и почему это хорошо. При этом примеры и на Objective и на Swift.

Крайне не привычно видеть подобное изложение проблемы, а особенно представить, сколько времени это заняло. Даже учитывая, что код достаточно простой в примерах, его количество поражает воображение (хотя, если его писал ChatGPT, такое возможно).

Для себя я как минимум почерпнул весьма обширный список проблем, часть из которых прошла мимо моего внимания.

В общем, крайне рекомендую к чтению :)

#iOS #vulnerability #awesome

Аналогичная поверхность атаки и способы защиты для Android

А рядом, кстати, лежит и аналогичная статья по Android, крайне подробная и очень интересная.

Многие уязвимости весьма актуальны и их описание и способы устранения хорошо описаны.

Я прям очень доволен, что удалось это найти, хороший контент, хотя полностью досконально еще не успел изучить, сразу делиться)))

#android #vulnerabilities #awesome

Обход защиты от отладки в iOS-приложениях.

Всем привет!
Свежая, отличная статья по обходу различных проверок в iOS-приложениях.

В статье описывается логика и принцип различных защитных техник, а так же, как их можно обойти. При обходе используются инструменты:
- frida
- r2frida
- radare2
- r2ghidra

И главное, крайне подробно и доходчиво описаны способы поиска защитных механизмов и исследования логики их работы. Ну, и конечно, как их потом отключить.

Всем, кто сталкивается с тем, что приложение детектит скомпометированную среду, советую!

#ios #reverse #frida

Исследование по защищенности мобильных приложений за 2023 год

Итак, наконец-то это случилось!

Мы выпустили отчет по "Оценке защищенности мобильных приложений" за 2023 год!

В прошлом году мы выпустили наше первое исследование защищенности мобильных приложений. На тот момент мы проанализировали порядка 700 приложений. В этом году их количество перевалило за 1800. Приложения из самых разных разных областей, самого разного размера и сложности. Все приложения были проверены при помощи Стингрей в полностью автоматическом режиме.

Что я могу сказать, вместе с числом приложений вырос и наш продукт. Для многих типов уязвимостей мы пересмотрели уровни критичности, добавилась фича с "динамическим" уровнем критичности. То есть, в зависимости от разных факторов одна и таже проблема может быть как высокого, так и низкого уровня. Добавились проверки, много новых категорий, скорость работы и многое другое.

Наверное, все эти факторы повлияли на итоговую цифру, но и не только это) Я уверен, что всё, что мы делаем не зря и приложения действительно стали более защищенными и все больше внимания в компаниях начинают уделять защищенности мобильных приложений.

В прошлом году процент приложений, в которых мы нашли критические и высокие уязвимости составлял 83%, в этом же году он составил всего 56%.

Я хочу выразить огромную благодарность всей команде за ту работу, что была проделана для появления этого масштабного анализа! Спасибо огромное!

И конечно, приятного чтения!

Всем привет!
Хороший друг проводит розыгрыш мерча и билетов на PhD :)