Создатель Magisk-а опубликовал статью вносящую ясность в то, что будет происходить с проектом дальше. Если коротко, то дела такие:

- MagiskHide — все. У автора теперь есть доступ ко всему коду гугла поэтому такие штуки вызывают конфликт интересов.
- Репозиторий модулей — все. Автор устал заниматься модерацией.
- Ведется работа на Zygisk — части Magisk будут запускаться в Zygote.

Перевернул сегодня календарь, а там...

Какие-то добрые люди надергали из документации всяких полезностей по Frida и сделали из них удобную PDF-ку, которая будет очень полезна новичкам. Хотя, джедаям тоже будет на что посмотреть.

Что внутри:
- Краткая история фриды
- Установка и базовые компоненты
- Примеры решения задач: обход рута, поиск секретов, обход авторизации. В этом же разделе есть инфа про r2frida (джедаи тут?)
- Примеры инструментов базирующихся на фриде
- Коллекции скриптов
- Референсы на основании которых это все собиралось. Можно юзать как список для дальнейшего изучения.
#frida

Довольно оперативно выложили материалы с прошедшей недавно Zero Nights 2021. По нашей теме там был только один доклад от Дмитрия Терёшина(@dtereshin) про проблемы SSDLC. В рамках доклада Дмитрий рассказал о внезапно появляющихся багах в релизных сборках и о том как их сбивать на подлете. А еще он презентовал свой тул CheckKarlMarx, который выглядит как ваша обычная грепалка на питоне, только с отчетами 😉

📹 Видео
👨🏻‍🏫 Слайды
👮 CheckKarlMarx

Решил немного разбавить посты про андройдно-мобильный инфобез постом на более широкую тему. В блоге Positive Technologies (запрещенная в США организация) вышла статья, с подборкой полезных ресурсов где можно почитать (а то и причаститься) про пентесты мобилок и веба, про реверс ВПО и про техники применяемые APT командами. Справедливости ради, стоит сказать, что подобную подборку, но на более узкую тему - reverse engineering я видел от компании Digital Security. Мне вообще нравится тренд, когда люди из индустрии и даже целые компании не закапывают знания внутри своего офиса, а делятся ими с сообществом. Хотелось бы видеть такие подборки чаще и было бы совсем хорошо если бы они на 90% состояли из материалов людей работающих в этих компаниях ;) Всем приятного чтения.

Довелось мне тут в очередной раз разворачивать с нуля пентестерское окружение на Android. А раз с нуля, значит надо сделать все правильно и красиво, поэтому решил закинуть сертификат для mitm-а в системные. В результате получился мини-гайд, который наверняка кому-то пригодится. Конечно есть и другие способы, с ремаунтом системного раздела и прочими приключениями. Но мне было как-то не до них :D
https://telegra.ph/Kak-sdelat-sertifikat-sistemnym-10-01

Решил немного порассуждать о скрытой функциональности в приложениях, показать какие с ней бывают проблемы и как их избежать.
https://telegra.ph/Razbiraem-M10-Extraneous-Functionality-na-praktike-10-07

Ну что, любители бинарного анализа, которых почему-то занесло в android, для вас есть задачка.
Ребята из Delivery Club похоже решили потестировать свои наработки по защите приложений и оформили это в виде челленджа, за решение которого обещают пригласить в приватную bug bounty программу и дать скидку в $1000 на следующий заказ ;)

От вас потребуется всего лишь расковырять вот это приложение, найти RCE на бэкэнде с которым оно работает и написать об этом отчет. Насколько я могу судить, внутри вас ждет нативная либа с LLVM обфускацией, так что скучно не будет.

Чуть больше подробностей найдете в статье на хабре. Не забывайте спать и вовремя принимать пищу. Доброй охоты!

Пока не имею достаточно времени, чтобы записывать свой подкаст - приходится ходить по чужим ;) На этот раз сходил в SDCast к Константину Буркалеву. Поговорили про безопасность мобилок, поругали "вайтишников" и в очередной раз сошлись во мнении, что разработчикам неплохо бы разбираться в безопасности. В общем если кто-то искал, чем занять себя на ковидных каникулах, то послушайте подкаст. От себя могу еще порекомендвать выпуск с Ares-ом (автор Intercepter-NG), он вышел довольно интересным.

👨‍🔬Выпуск со мной
🥷Выпуск с Ares-ом

В блоге Oversecured вышла довольно неплохая статья по типичным багам встречающимся в приложениях использующих WebView. В статье найдете примеры обхода валидации URL, XSS-ки, атаки на JavaScript интерфейсы и немного рекомендаций как это этого всего защититься.
От себя добавлю, что регулярные обновления компонента AndroidWebView тоже неплохо помогают в защите, т.к. трюки, которые работали на старых версиях в новых уже требуют гораздо более сложных условий эксплуатации или же становятся вовсе непреминимыми.
https://blog.oversecured.com/Android-security-checklist-webview/

Закончился Android Dev Summit, а значит появилось несколько видео по "нашей теме", которые можно посмотреть.
1. Best practices for making your app private by design - если внимательно смотрели Google I/O и мой обзор после, то ничего интересного в этом видео вы не найдете. Кроме более конкретных примеров кода, которые так или иначе можно добыть из документации.
2. Android Memory Safety Tools - а это уже для любителей самописных нативных библиотек в приложениях. Рассказывают о тулах, которые могут быть полезны разработчикам таких решений: HWASan, GWP-ASan и Arm MTE. Если не пишите нативный код руками, то не тратьте время.
3. The most interesting (and unexpected) submissions to the Android Security Bulletin - вы еще не читаете ежемесячные бюллетени безопасности? После этого видео начнете =) Заманивают в свою багбаунти и сулят 100 килобаксов за обход экрана блокировки и рассказывают про несколько интересных CVE-шек.
4. Introducing Play Integrity API: Protect your apps and games - в очередной раз рассказали про Integrity API, который похоже будет единым фасадом над SafetyNet (можем ли мы доверять устройству?) и Google Play Licensing (можем ли мы доверять приложению?). А это означает, что думать о квотах, фолбэках на девайсах без гуглосервисов и еще куче вещей все равно придется. Ну и конечно же это нельзя просто взять и попробовать прямо сейчас. Надо заполнить форму и объяснить гуглу зачем оно вам надо....

Существует очень много IoT устройств на базе Android. И я не открою Америку, если скажу, что с безопасностью там так себе. И дело тут даже не в старых версиях android, а в самом железе и низкоуровневых программных компонентах которые над ними. Недавно вышла отличная статья про взлом TV приставки на базе Android 9, которая отлично демонстрирует известный принцип: "Если не можешь что-то взломать, то попробуй спуститься ниже по модели ISO/OSI".
https://habr.com/ru/company/bastion/blog/587108/ (кажется хабр снова торт! :D)

Delivery Club опубликовали решение задачи, которую я публиковал некоторое время назад. Ощущение искусственности самой задачи, которое у многих возникло - полностью подтвердилось =) Но это ничуть не умаляет заслуг человека, который эту задачу решил и написал репорт (он и приведен в статье).
Лично у меня, после прочтения репорта, возникло ощущение того, что эта задача - демо-версия вот этого челленджа. Рекомендую прочитать write-up-ы к нему, они довольно интересны.

Интересный доклад с прошедшего недавно митапа OWASP Melbourne, в котором рассказывается история человека пытающегося обойти экран блокировки путем подбора пин-кода. tl;dr - обошел с помощью NetHunter-а, OTG кабеля и самописного скрипта для брутфорса. Скрипт забирайте здесь.
Доклад совершенно ненапряжный и его можно посмотреть просто по фану. Там показано довольно много способов решения этой задачи и не исключено, что те, котрые не сработали у него - сработают у вас.
Способы такие:
1. Попробовать руками первые 20 вариантов из списка DataGenetics Research
2. Проверить комбинации важных дат (дни рождения, дни свадьбы, последние 4 цифры номера телефона, слова вроде LOVE,FUCK,etc... в T9 варианте)
3. Использовать Find My Device от Google
4. Использовать Find My Mobile от Samsung (или аналоги от других вендоров)
5. CVE-2015-3860 - крэш экрана блокировки на Samsung. Можно поискать аналоги у других вендоров
6. Использовать ADB чтобы удалить файл с пин-кодом/паттерном /data/system/gesture.key
7. Воспользоваться вот этим списком из еще 7ми способов с форума XDA
8. Попробовать специальные утилиты и устройства для мобильной криминалистики (forensic tools): Cellebrite, Oxygen, XRY, GrayKey, Octoplus, Odin + TWRP
9. Поискать публичные эксплойты
10. Использовать USB Rubber Ducky или аналоги (опционально спаять свой)
999. Выполнить сброс к заводским настройкам

Happy hacking 😎

⚠️ Эксперимент с Telegraph-ом признан неудачным и больше я туда писать не буду.

Систематизировал для себя (и немного для других) информацию по биометическим системам аутентификации. В результате получилось три части:

- Часть 1: Как работают системы биометрической аутентификации
- Часть 2: Как устроена биометрия в Android
- Часть 3: Атаки на биометрические системы

Это не какая-то уникальная информация, а просто мой способ читать документацию и работать с источниками по заданной теме.

Это будет крайний пост в этом году и я выбрал для него статью, которая очень подходит к такому событию.

Android Component Security | The Four Horsemen

В статье дается пусть и базовая, но очень хорошо структурированная информация о том, как можно атаковать компоненты android приложений. Автор не стал в очередной раз разгонять про “зопускаем др0узер...”, а рассказал про вектора атаки и показал код, которым эти атаки реализуются. Подробно описывать не буду. Наливайте чай, кофе, какао, каркадэ, берите шаурму или гоячую ачму и читайте ;)

Пару слов о моих проектах: никто не забыт и ничто не забыто. Пока нет времени делать что-то для YouTube, да и подкаст не записывается по щелчку пальцев. Кроме этого, меняется фокус моих интересов, а вместе с ним будет меняться направление материалов, которыми я с вами делюсь. Никаких потрясений, мы тут все еще говорим про безопасность в Android, но в новом году ожидайте чуть больше материалов из “лагеря атакующих”.

С Новым Годом!

При анализе защищенности мобильного приложения в 9 случаях из 10 возникает задача анализа трафика. Чаще всего это не вызывает проблем у опытного пентестера, но иногда попадаются приложения, которые никак не хотят показывать свой трафик. Причин такого поведения много. SSL pinning, нестандартные библиотеки, глюки, кривые настройки смартфона... Да много чего на самом деле. Чтобы как-то собрать в кучу весь имеющийся на текущий момент опыт борьбы с этой проблемой я написал гайд по решению проблем с перехватом трафика в Android. Надеюсь, что он сэкономит вам когда-нибудь несколько часов. Если у вас есть еще какие-то методы решения проблем, которые я не указал в этом гайде, то пишите в комментариях о своем опыте. Самые уникальные случаи я добавлю в статью со ссылкой на авторов.

https://fi5t.xyz/posts/intercept-android-traffic/

Про Frida уже написано столько, что хватит на 3 “войны и мира”, но часто это какие-то прикладные статьи или туториалы начального уровня. За границами этих туториалов начинается остервенелое изучение документации, которая, ИМХО, не так хороша как могла бы быть. Тем интереснее книга, которую я после долгих раздумий все же решился прочитать и не пожалел - Beginning Frida. У меня вообще есть практика периодически изучать материалы начального уровня чтобы закрыть возможные пробелы в знаниях.

Книга в меньше степени про использование Frida в Android и в большей про то как устроен инструмент, как на нем решать различные задачи и про экосистему вокруг. Тем и ценна.

Автор сильно упростил мне задачу написав какие главы нужно читать обязательно, а какие можно пропустить. Я прочитал все и теперь полностью согласен с его рекомендациями:

Глава 1: Настройка среды. Будет полезна тем, кто никогда про Frida не слышал или давно хотел попробовать, но руки не доходили. Остальные там ничего интересного не найдут.

Глава 2: Базовые приемы работы. Смело пропускаем если уже трогали тетю Фриду ;)

Глава 3: Работа с frida-trace. Нашел для себя несколько интересных вещей касательно модулей.

Глава 4: Углубленная работа с frida-trace. Мне показалась интересной. Можно пробежаться глазами и поискать интересные практики для себя.

Глава 5: Переход от трейсинга к сталкингу. Есть полезная инфа про frida-stalker и немного про frida-gadget

Глава 6: Разработка собственных инструментов. Новичкам будет полезно, джедаям - вряд-ли.

Глава 7: Разбор компонета frida-server. Есть интересное, в т.ч. запуск по сети.

Глава 8: Введение в NativeFunction. Довольно полезная глава. Есть интересные практики.

Глава 9: Frida и Android. Новичкам обязательна к прочтению. А также всем тем, кто ловил странные проблемы с Frida. У кого и так все хорошо - не читайте.

Глава 10: Работа с библиотечными функциями и памятью. Полезная глава. Есть хорошие примеры работы с адресами функций и поиску значений в памяти.

Глава 11: Как писать обертки на Python. Тоже хорошая глава. Отлично раскрывает концепцию RPC, которую я редко вижу в скриптах, а при этом она довольно полезная.

Глава 12: Решение пары OWASP-овских crackme на Android. Новички, вам сюда. Джедаи, проходите мимо.

Глава 13: Как открыть Telegram в Objection. Будет полезна все тем же новичкам и людям не знакомым с Objection.

Глава 14: Небольшое описание Codeshare. А вы знали, что там можно зарегистрироваться? 😀

Что касается самого текста, то он читается довольно легко. Я пробежался буквально за пару вечеров. Ссылку на торренты не прикладываю. Вы же хакеры, сами найдете 😎
#frida

Вышел Android Developer Preview 1 и я решил посмотреть есть ли там что-то интересное в плане безопасности. Интересного нашлось сразу два:

- Photo Picker - безопасный фото-видео-выбиратель
- NEARBY_WIFI_DEVICES - работа с wi-fi без геолокации

Поковырявшись в деталях, я решил написать немного хулиганский пятничный пост про эти апдейты. Приятного чтения.

Выложили видео с Black Hat Europe 2021. Даже есть несколько на мобильную тему, но внимания достойны только два из них. Так что если у вас есть время только на два (или одно) видео, то вот они:

A Titan M Odyssey. Доклад от широко известных в узких кругах ребят из Quarkslab. И это тот самый доклад который имеет смысл посмотреть если можете посмотреть только один. Они расковыряли гугловый чип Titan M и рассказали о нем в одном докладе больше подробностей, чем Google во всех своих рекламных проспектах. А под занавес доклада показали еще несколько узявимостей. Вообще ничего не хочу сюда больше добавлять. Просто надо смотреть.

A Universal Way to Exploit Android PendingIntents in High-profile and System Apps. Доклад от наших друзей из Поднебесной, которые такие же мастера в придумывании коротких названий докладов как и я. Сам доклад и стоящее за ним исследование весьма достойные. Если никогда не смотрели в сторону техник эксплуатации PendingIntent-ов, то однозначно рекомендую. Правда в большинстве случаев, баги такого рода это не “низко висящие фрукты”. Эксплуатация требует ряда дополнительных условий и чаще всего не так красива как 1-click RCE через Google Play Library. Тем не менее про этот класс уязвимостей знать нужно и пентестерам и разработчикам.

Полный плейлист тут.

Возникла идея провести открытое собеседование на условную позицию "мобильного хакера". Как я это вижу: я беру себе в помощь кого-нибудь, кто хорошо разбирается в iOS (шта?!), в день Ч собираемся на этом канале и начинаем вкидывать вопросы в аудиторию. Вопросы будут по android, iOS и серверной части (API и все что рядом). Отвечать может кто угодно, просто поднимаете руку и говорите. Конечно же можно просто прийти послушать, чтобы узнать для себя что-то новое. Что думаете?

P.S. Из-за ограничений телеги, опрос будет следующим сообщением.