Решил немного порассуждать о скрытой функциональности в приложениях, показать какие с ней бывают проблемы и как их избежать.
https://telegra.ph/Razbiraem-M10-Extraneous-Functionality-na-praktike-10-07

Ну что, любители бинарного анализа, которых почему-то занесло в android, для вас есть задачка.
Ребята из Delivery Club похоже решили потестировать свои наработки по защите приложений и оформили это в виде челленджа, за решение которого обещают пригласить в приватную bug bounty программу и дать скидку в $1000 на следующий заказ ;)

От вас потребуется всего лишь расковырять вот это приложение, найти RCE на бэкэнде с которым оно работает и написать об этом отчет. Насколько я могу судить, внутри вас ждет нативная либа с LLVM обфускацией, так что скучно не будет.

Чуть больше подробностей найдете в статье на хабре. Не забывайте спать и вовремя принимать пищу. Доброй охоты!

Пока не имею достаточно времени, чтобы записывать свой подкаст - приходится ходить по чужим ;) На этот раз сходил в SDCast к Константину Буркалеву. Поговорили про безопасность мобилок, поругали "вайтишников" и в очередной раз сошлись во мнении, что разработчикам неплохо бы разбираться в безопасности. В общем если кто-то искал, чем занять себя на ковидных каникулах, то послушайте подкаст. От себя могу еще порекомендвать выпуск с Ares-ом (автор Intercepter-NG), он вышел довольно интересным.

👨‍🔬Выпуск со мной
🥷Выпуск с Ares-ом

В блоге Oversecured вышла довольно неплохая статья по типичным багам встречающимся в приложениях использующих WebView. В статье найдете примеры обхода валидации URL, XSS-ки, атаки на JavaScript интерфейсы и немного рекомендаций как это этого всего защититься.
От себя добавлю, что регулярные обновления компонента AndroidWebView тоже неплохо помогают в защите, т.к. трюки, которые работали на старых версиях в новых уже требуют гораздо более сложных условий эксплуатации или же становятся вовсе непреминимыми.
https://blog.oversecured.com/Android-security-checklist-webview/

Закончился Android Dev Summit, а значит появилось несколько видео по "нашей теме", которые можно посмотреть.
1. Best practices for making your app private by design - если внимательно смотрели Google I/O и мой обзор после, то ничего интересного в этом видео вы не найдете. Кроме более конкретных примеров кода, которые так или иначе можно добыть из документации.
2. Android Memory Safety Tools - а это уже для любителей самописных нативных библиотек в приложениях. Рассказывают о тулах, которые могут быть полезны разработчикам таких решений: HWASan, GWP-ASan и Arm MTE. Если не пишите нативный код руками, то не тратьте время.
3. The most interesting (and unexpected) submissions to the Android Security Bulletin - вы еще не читаете ежемесячные бюллетени безопасности? После этого видео начнете =) Заманивают в свою багбаунти и сулят 100 килобаксов за обход экрана блокировки и рассказывают про несколько интересных CVE-шек.
4. Introducing Play Integrity API: Protect your apps and games - в очередной раз рассказали про Integrity API, который похоже будет единым фасадом над SafetyNet (можем ли мы доверять устройству?) и Google Play Licensing (можем ли мы доверять приложению?). А это означает, что думать о квотах, фолбэках на девайсах без гуглосервисов и еще куче вещей все равно придется. Ну и конечно же это нельзя просто взять и попробовать прямо сейчас. Надо заполнить форму и объяснить гуглу зачем оно вам надо....

Существует очень много IoT устройств на базе Android. И я не открою Америку, если скажу, что с безопасностью там так себе. И дело тут даже не в старых версиях android, а в самом железе и низкоуровневых программных компонентах которые над ними. Недавно вышла отличная статья про взлом TV приставки на базе Android 9, которая отлично демонстрирует известный принцип: "Если не можешь что-то взломать, то попробуй спуститься ниже по модели ISO/OSI".
https://habr.com/ru/company/bastion/blog/587108/ (кажется хабр снова торт! :D)

Delivery Club опубликовали решение задачи, которую я публиковал некоторое время назад. Ощущение искусственности самой задачи, которое у многих возникло - полностью подтвердилось =) Но это ничуть не умаляет заслуг человека, который эту задачу решил и написал репорт (он и приведен в статье).
Лично у меня, после прочтения репорта, возникло ощущение того, что эта задача - демо-версия вот этого челленджа. Рекомендую прочитать write-up-ы к нему, они довольно интересны.

Интересный доклад с прошедшего недавно митапа OWASP Melbourne, в котором рассказывается история человека пытающегося обойти экран блокировки путем подбора пин-кода. tl;dr - обошел с помощью NetHunter-а, OTG кабеля и самописного скрипта для брутфорса. Скрипт забирайте здесь.
Доклад совершенно ненапряжный и его можно посмотреть просто по фану. Там показано довольно много способов решения этой задачи и не исключено, что те, котрые не сработали у него - сработают у вас.
Способы такие:
1. Попробовать руками первые 20 вариантов из списка DataGenetics Research
2. Проверить комбинации важных дат (дни рождения, дни свадьбы, последние 4 цифры номера телефона, слова вроде LOVE,FUCK,etc... в T9 варианте)
3. Использовать Find My Device от Google
4. Использовать Find My Mobile от Samsung (или аналоги от других вендоров)
5. CVE-2015-3860 - крэш экрана блокировки на Samsung. Можно поискать аналоги у других вендоров
6. Использовать ADB чтобы удалить файл с пин-кодом/паттерном /data/system/gesture.key
7. Воспользоваться вот этим списком из еще 7ми способов с форума XDA
8. Попробовать специальные утилиты и устройства для мобильной криминалистики (forensic tools): Cellebrite, Oxygen, XRY, GrayKey, Octoplus, Odin + TWRP
9. Поискать публичные эксплойты
10. Использовать USB Rubber Ducky или аналоги (опционально спаять свой)
999. Выполнить сброс к заводским настройкам

Happy hacking 😎

⚠️ Эксперимент с Telegraph-ом признан неудачным и больше я туда писать не буду.

Систематизировал для себя (и немного для других) информацию по биометическим системам аутентификации. В результате получилось три части:

- Часть 1: Как работают системы биометрической аутентификации
- Часть 2: Как устроена биометрия в Android
- Часть 3: Атаки на биометрические системы

Это не какая-то уникальная информация, а просто мой способ читать документацию и работать с источниками по заданной теме.

Это будет крайний пост в этом году и я выбрал для него статью, которая очень подходит к такому событию.

Android Component Security | The Four Horsemen

В статье дается пусть и базовая, но очень хорошо структурированная информация о том, как можно атаковать компоненты android приложений. Автор не стал в очередной раз разгонять про “зопускаем др0узер...”, а рассказал про вектора атаки и показал код, которым эти атаки реализуются. Подробно описывать не буду. Наливайте чай, кофе, какао, каркадэ, берите шаурму или гоячую ачму и читайте ;)

Пару слов о моих проектах: никто не забыт и ничто не забыто. Пока нет времени делать что-то для YouTube, да и подкаст не записывается по щелчку пальцев. Кроме этого, меняется фокус моих интересов, а вместе с ним будет меняться направление материалов, которыми я с вами делюсь. Никаких потрясений, мы тут все еще говорим про безопасность в Android, но в новом году ожидайте чуть больше материалов из “лагеря атакующих”.

С Новым Годом!

При анализе защищенности мобильного приложения в 9 случаях из 10 возникает задача анализа трафика. Чаще всего это не вызывает проблем у опытного пентестера, но иногда попадаются приложения, которые никак не хотят показывать свой трафик. Причин такого поведения много. SSL pinning, нестандартные библиотеки, глюки, кривые настройки смартфона... Да много чего на самом деле. Чтобы как-то собрать в кучу весь имеющийся на текущий момент опыт борьбы с этой проблемой я написал гайд по решению проблем с перехватом трафика в Android. Надеюсь, что он сэкономит вам когда-нибудь несколько часов. Если у вас есть еще какие-то методы решения проблем, которые я не указал в этом гайде, то пишите в комментариях о своем опыте. Самые уникальные случаи я добавлю в статью со ссылкой на авторов.

https://fi5t.xyz/posts/intercept-android-traffic/

Про Frida уже написано столько, что хватит на 3 “войны и мира”, но часто это какие-то прикладные статьи или туториалы начального уровня. За границами этих туториалов начинается остервенелое изучение документации, которая, ИМХО, не так хороша как могла бы быть. Тем интереснее книга, которую я после долгих раздумий все же решился прочитать и не пожалел - Beginning Frida. У меня вообще есть практика периодически изучать материалы начального уровня чтобы закрыть возможные пробелы в знаниях.

Книга в меньше степени про использование Frida в Android и в большей про то как устроен инструмент, как на нем решать различные задачи и про экосистему вокруг. Тем и ценна.

Автор сильно упростил мне задачу написав какие главы нужно читать обязательно, а какие можно пропустить. Я прочитал все и теперь полностью согласен с его рекомендациями:

Глава 1: Настройка среды. Будет полезна тем, кто никогда про Frida не слышал или давно хотел попробовать, но руки не доходили. Остальные там ничего интересного не найдут.

Глава 2: Базовые приемы работы. Смело пропускаем если уже трогали тетю Фриду ;)

Глава 3: Работа с frida-trace. Нашел для себя несколько интересных вещей касательно модулей.

Глава 4: Углубленная работа с frida-trace. Мне показалась интересной. Можно пробежаться глазами и поискать интересные практики для себя.

Глава 5: Переход от трейсинга к сталкингу. Есть полезная инфа про frida-stalker и немного про frida-gadget

Глава 6: Разработка собственных инструментов. Новичкам будет полезно, джедаям - вряд-ли.

Глава 7: Разбор компонета frida-server. Есть интересное, в т.ч. запуск по сети.

Глава 8: Введение в NativeFunction. Довольно полезная глава. Есть интересные практики.

Глава 9: Frida и Android. Новичкам обязательна к прочтению. А также всем тем, кто ловил странные проблемы с Frida. У кого и так все хорошо - не читайте.

Глава 10: Работа с библиотечными функциями и памятью. Полезная глава. Есть хорошие примеры работы с адресами функций и поиску значений в памяти.

Глава 11: Как писать обертки на Python. Тоже хорошая глава. Отлично раскрывает концепцию RPC, которую я редко вижу в скриптах, а при этом она довольно полезная.

Глава 12: Решение пары OWASP-овских crackme на Android. Новички, вам сюда. Джедаи, проходите мимо.

Глава 13: Как открыть Telegram в Objection. Будет полезна все тем же новичкам и людям не знакомым с Objection.

Глава 14: Небольшое описание Codeshare. А вы знали, что там можно зарегистрироваться? 😀

Что касается самого текста, то он читается довольно легко. Я пробежался буквально за пару вечеров. Ссылку на торренты не прикладываю. Вы же хакеры, сами найдете 😎
#frida

Вышел Android Developer Preview 1 и я решил посмотреть есть ли там что-то интересное в плане безопасности. Интересного нашлось сразу два:

- Photo Picker - безопасный фото-видео-выбиратель
- NEARBY_WIFI_DEVICES - работа с wi-fi без геолокации

Поковырявшись в деталях, я решил написать немного хулиганский пятничный пост про эти апдейты. Приятного чтения.

Выложили видео с Black Hat Europe 2021. Даже есть несколько на мобильную тему, но внимания достойны только два из них. Так что если у вас есть время только на два (или одно) видео, то вот они:

A Titan M Odyssey. Доклад от широко известных в узких кругах ребят из Quarkslab. И это тот самый доклад который имеет смысл посмотреть если можете посмотреть только один. Они расковыряли гугловый чип Titan M и рассказали о нем в одном докладе больше подробностей, чем Google во всех своих рекламных проспектах. А под занавес доклада показали еще несколько узявимостей. Вообще ничего не хочу сюда больше добавлять. Просто надо смотреть.

A Universal Way to Exploit Android PendingIntents in High-profile and System Apps. Доклад от наших друзей из Поднебесной, которые такие же мастера в придумывании коротких названий докладов как и я. Сам доклад и стоящее за ним исследование весьма достойные. Если никогда не смотрели в сторону техник эксплуатации PendingIntent-ов, то однозначно рекомендую. Правда в большинстве случаев, баги такого рода это не “низко висящие фрукты”. Эксплуатация требует ряда дополнительных условий и чаще всего не так красива как 1-click RCE через Google Play Library. Тем не менее про этот класс уязвимостей знать нужно и пентестерам и разработчикам.

Полный плейлист тут.

Возникла идея провести открытое собеседование на условную позицию "мобильного хакера". Как я это вижу: я беру себе в помощь кого-нибудь, кто хорошо разбирается в iOS (шта?!), в день Ч собираемся на этом канале и начинаем вкидывать вопросы в аудиторию. Вопросы будут по android, iOS и серверной части (API и все что рядом). Отвечать может кто угодно, просто поднимаете руку и говорите. Конечно же можно просто прийти послушать, чтобы узнать для себя что-то новое. Что думаете?

P.S. Из-за ограничений телеги, опрос будет следующим сообщением.

Как причудливо время играет с людьми, и как безжалостно люди играют друг с другом.

Радиоэфир под завязку забит помехами. Отличить сигнал от шума практически невозможно. Кого сейчас вообще волнуют какие-то конференции по информационной безопасности? И все же я рискну рассказать вам про одну. Positive Hack Days открывает CFP. На момент написания этого сообщения, в пуле нет ни одного доклада касающегося мобильных приложений и это печалит меня. На таких конференциях много рассказывают про веб, пентесты, часто мелькает IoT, но всегда очень мало докладов по действительно интересным кейсам в мобилках. Если вам есть что сказать на эту тему, то обязательно подайте заявку. Может быть тогда разработчики послушают вас и начнут наконец-то шифровать пользовательские данные и прекратят доверять всем приходящим intent-ам ;) Успеть подать заявку нужно до 18 марта.

Есть еще пара опций. Если хочется присутствовать лично, то можно купить билеты пока действует early bird (до 13 марта). Если покупать ничего не хочется, то можно будет посмотреть прямую трансляцию или видеонарезку после конференции.

Группа LAPSU$ объявила о взломе компании Samsung. В сеть утекло порядка 190Гб данных: исходный код различных продуктов компании, загрузчиков, механизмов аутентификации и идентификации, серверов активации, системы защиты Knox, online-сервисов, API, а также проприетарных компонентов, поставляемых компанией Qualcom.

Кроме этого великолепия, заявляется, что утечка содержит код всех TA-апплетов для TEE, а также код управления ключами модулей DRM и биометрической идентификации. Все это добро можно найти самостоятельно на torrent-ах или взять готовый файлик у бота r0 crew: https://news.1rj.ru/str/c/1344358540/91620 (инвайт в канал тоже нужно получать через бота).

Это все грозит нам очень интересными последствиями. Ожидаем волны RCE эксплойтов для смартфонов любимого производителя ;)

Прямо сейчас проходит ежегодный CTF - NeoQUEST. Среди прочих заданий там традиционно есть android приложение, которое нужно взломать. Задание довольно простое и его можно воспринимать скорее как развлечение, но один интересный момент в нем все же есть. Очень рекомендую его пройти. Оно под номером 7. Кому будут нужны подсказки - спрашивайте в чате. А ребятам из команды организаторов благодарность за то, что пришлось вспомнить про существование AIDL ;)

Сегодня в 18:00 закончился NeoQUEST, а значит я могу поделиться с вами своим разбором того самого задания №7.

https://fi5t.xyz/posts/neoquest2022-writeup-task7/

Приятного чтения!

По непонятным, на текущий момент, причинам - с github-а пропал репозиторий reFlutter-а. Пропал не только он, но это уже совсем другая история... Автор сутки не спал, ползал по дискетам и по частям собирал останки погибших программ. Теперь у reFlutter-а новый дом: https://github.com/Impact-I/reFlutter. Поддержите звездочками и обязательно заведите полезный issue, а то и отправьте PR.