Подкаст про мобильную безопасность!

Недавно пригласили меня на подкаст одни классные ребята, а я взял и согласился поболтать) Думаю они немного пожалели, что позвали меня, потому что болтали мы около двух часов))

Что сказать, мне очень понравилось, приятная атмосфера, отличный собеседник, любимая тема. Поговорили о многом, о том, почему важно защищать мобильные приложения, почему на них часто не обращают внимания или забывают о них, про различные типы атак, модели нарушителя и злоумышленников, вспомнили прошлые времена, как мы нашли уязвимость в Android и ее исправляли аж целых 4 года, про наш продукт и много о чем еще.

Получилось очень разнообразно и всеобъемлюще, с примерами из жизни и воспоминаниями. В общем, очень надеюсь, что вам понравится и вы сможете найти для себя что-то новое в моих байках =)

Ну а в описании видео на Youtube куча ссылочек на разные материалы, инструменты, книги по мобильной безе, можт тоже пригодится!

Приятного просмотра или прослушивания)

И снова про приложения, сторы и условия публикации

По мотивам статьи, в которой мы опубликовали наш эксперимент с загрузкой максимально уязвимого приложения во все доступные Android-магазины вышло интервью для Cyber Media.

В нем поговорили про многое, касаемо проверок магазинов, как их видят разработчики, обычные пользователи и эксперты по безопасности, где их сильные и слабые стороны. А также, как можно занести в стор функционал, который может нести полезную нагрузку и какие средства для этого применяют злоумышленники.

На мой взгляд, получилось достаточно интересно, я много чего прикольного вспомнил, много чего узнал при подготовке. И есть два момента, которые мне бы хотелось отдельно выделить:

Первый момент. Я очень рад, что отечественные магазины приложений задумываются не только о соблюдении их правил, как это делают их зарубежные коллеги, но и о безопасности конечных пользователей. И делается это через проверку мобильных приложений и предоставлении результатов анализа для разработчиков. Ну или если уже не реализовали, то точно об этом задумываются. Это очень-очень круто, такого сервиса я не видел нигде и это по настоящему здорово.

Второй момент, это то, что я осознал, что мне так мозолит глаз последний год. А именно это ослабление бдительности пользователей. Из-за массовых удалений из сторов компании приучили пользователей к тому, что за рандомным приложением, например, «Помощь на дороге», может скрываться переделанный банковский сервис. То есть мы сначала из года в год повторяем одно и тоже, "не ставьте приложения из неизвестных источников", "тщательно проверяйте компанию-автора мобильного приложения", "читайте отзывы", "не отдавайте свой телефон в чужие руки" и други подобные вещи. А сейчас из-за необходимости скрываться мы сами же и разрушаем все эти принципы. Что с установкой приложений в отделении Банка, что со скачиванием приложений через сайт и т.д. Это прям большая проблема, которой уже пользуются нехорошие люди.

В общем, я надеюсь, что вам понравится, что в итоге получилось) ПРиятного чтения и хорошей недели!

Первый подкаст Сергея!

Ну что же, с почином! И очень хорошим :)

Продолжаем разбирать прикольные уязвимости. На этот раз у нас уязвимость в библиотеке Jetpack Navigation. Суть ее в том, что она позволяет стороннему приложению открыть любой экран атакуемого приложения и передать туда параметры. Круто звучит? Вот и я так думаю. А Google не считает это уязвимостью и после получения репорта нам ответили, что "поправят документацию". Не будь как Google, исправляй ошибки в своих приложениях! И знай чем грозит использование библиотеки Navigation.

PT SWARM

Android Jetpack Navigation: Deep Links Handling Exploitation

The androidx.fragment.app.Fragment class available in Android allows creating parts of application UI (so-called fragments). Each fragment has its own layout, lifecycle, and event handlers. Fragments can be built into activities or displayed within other…

Минутка эфира
Коллеги из Awillix завтра (вернее уже сегодня) затронут очень интересную тему, из чего состоит стоимость пентеста?

Крайне занятая тема, для начала она достаточно приватная и щепетильная. Почему вам называют одну цену, а компании за стеной совершенно другую?

У меня есть соображения, но крайне интересно послушать мнение коллег.

Telegram

Just Security

Приходите на эфир, чтобы реалистично оценивать любые предложения и понимать, из чего складывается себестоимость проектов. ***📹*** Ссылка на запись. ***❤️*** @justsecurity

Если выбрали вариант «Другое», напишите вариант в комментах, пожалуйста)

В какие игры вы играете?Всем привет! Прошу вас поучаствовать в небольшом опросе на развлекательную тему.

Я тут небольшую статью пишу, расскажите, пожалуйста, если вы играете иногда, то во что?

Я старый, поэтому иногда играю в CS 1.6 и в Героев 3 (те, что меча и магии).

Опрос с несколькими вариантами ответа, если есть другие варианты, напишите, пожалуйста, в комментариях :)

Интеграция с RuMarketА вот такой повод я не могу пропустить :)

Помните статью про сторы и то, как мы загружали туда нашпигованное уязвимостями приложение?

Так вот, теперь наш продукт Стингрей официально интегрирован с магазином приложений RuMarket! Теперь каждое загружаемое приложение будет проверено нами и разработчик получит отчет о том, что можно улучшить в его продукте.

Я считаю это очень важным шагом в развитии безопасности мобильных приложений и что теперь каждое приложение, которое будет загружено получит возможность узнать, что скрывается внутри с точки зрения безопасности.

Мы будем наращивать количество проверок и возможностей в этой интеграции и уверены, что в следующем нашем исследовании приложения станут намного безопаснее ;)

#Стингрей #rumarket

Хабр

Разрушители легенд: Как на самом деле магазины проверяют приложения на уязвимости

Intro Всем привет! Снова с вами Юрий Шабалин. Уже много лет я занимаюсь безопасностью мобильных приложений и в своих исследованиях доношу важность этого направления для бизнеса. В одной из прошлых...

Анализ Android-трояна GodFatherЧем еще заняться в старый новый год? Конечно же, поизучать разные малвари :)

Пример разбора одного из классических примеров зловреда, сочетающий в себе функции перенаправления смс и звонков для обхода 2фа, записи экрана, оверлеев и прочих заурядных вещей описан в статье.

Что сказать, на месте авторов я бы поизучал безопасность приложений.. Например, ужасная функция защиты от работы на эмуляторе, ключ шифрования 'ABC', зашитый в коде, не очень хорошая обфускация (судя по скринам), как-то не впечатляет :)

И еще одна интересная статья по этому же троянцу от Group, которая описывает немного другие аспекты, есть как технические, так и поведенческие моменты, но все равно очень интересно почитать.

Хоть и не сильно мне нравятся подобные темы, но иногда можно и посмотреть, что скрыто внутри малвари, попадаются иногда очень технически интересные экземпляры и статьи по их разбору :)

Всех с наступающим старым новым годом!

#Android #Malware #godfather

muha2xmad

Technical analysis of Godfather android malware

بسم الله الرحمن الرحيم