В блоге Oversecured вышла довольно неплохая статья по типичным багам встречающимся в приложениях использующих WebView. В статье найдете примеры обхода валидации URL, XSS-ки, атаки на JavaScript интерфейсы и немного рекомендаций как это этого всего защититься.
От себя добавлю, что регулярные обновления компонента AndroidWebView тоже неплохо помогают в защите, т.к. трюки, которые работали на старых версиях в новых уже требуют гораздо более сложных условий эксплуатации или же становятся вовсе непреминимыми.
https://blog.oversecured.com/Android-security-checklist-webview/

Закончился Android Dev Summit, а значит появилось несколько видео по "нашей теме", которые можно посмотреть.
1. Best practices for making your app private by design - если внимательно смотрели Google I/O и мой обзор после, то ничего интересного в этом видео вы не найдете. Кроме более конкретных примеров кода, которые так или иначе можно добыть из документации.
2. Android Memory Safety Tools - а это уже для любителей самописных нативных библиотек в приложениях. Рассказывают о тулах, которые могут быть полезны разработчикам таких решений: HWASan, GWP-ASan и Arm MTE. Если не пишите нативный код руками, то не тратьте время.
3. The most interesting (and unexpected) submissions to the Android Security Bulletin - вы еще не читаете ежемесячные бюллетени безопасности? После этого видео начнете =) Заманивают в свою багбаунти и сулят 100 килобаксов за обход экрана блокировки и рассказывают про несколько интересных CVE-шек.
4. Introducing Play Integrity API: Protect your apps and games - в очередной раз рассказали про Integrity API, который похоже будет единым фасадом над SafetyNet (можем ли мы доверять устройству?) и Google Play Licensing (можем ли мы доверять приложению?). А это означает, что думать о квотах, фолбэках на девайсах без гуглосервисов и еще куче вещей все равно придется. Ну и конечно же это нельзя просто взять и попробовать прямо сейчас. Надо заполнить форму и объяснить гуглу зачем оно вам надо....

Существует очень много IoT устройств на базе Android. И я не открою Америку, если скажу, что с безопасностью там так себе. И дело тут даже не в старых версиях android, а в самом железе и низкоуровневых программных компонентах которые над ними. Недавно вышла отличная статья про взлом TV приставки на базе Android 9, которая отлично демонстрирует известный принцип: "Если не можешь что-то взломать, то попробуй спуститься ниже по модели ISO/OSI".
https://habr.com/ru/company/bastion/blog/587108/ (кажется хабр снова торт! :D)

Delivery Club опубликовали решение задачи, которую я публиковал некоторое время назад. Ощущение искусственности самой задачи, которое у многих возникло - полностью подтвердилось =) Но это ничуть не умаляет заслуг человека, который эту задачу решил и написал репорт (он и приведен в статье).
Лично у меня, после прочтения репорта, возникло ощущение того, что эта задача - демо-версия вот этого челленджа. Рекомендую прочитать write-up-ы к нему, они довольно интересны.

Интересный доклад с прошедшего недавно митапа OWASP Melbourne, в котором рассказывается история человека пытающегося обойти экран блокировки путем подбора пин-кода. tl;dr - обошел с помощью NetHunter-а, OTG кабеля и самописного скрипта для брутфорса. Скрипт забирайте здесь.
Доклад совершенно ненапряжный и его можно посмотреть просто по фану. Там показано довольно много способов решения этой задачи и не исключено, что те, котрые не сработали у него - сработают у вас.
Способы такие:
1. Попробовать руками первые 20 вариантов из списка DataGenetics Research
2. Проверить комбинации важных дат (дни рождения, дни свадьбы, последние 4 цифры номера телефона, слова вроде LOVE,FUCK,etc... в T9 варианте)
3. Использовать Find My Device от Google
4. Использовать Find My Mobile от Samsung (или аналоги от других вендоров)
5. CVE-2015-3860 - крэш экрана блокировки на Samsung. Можно поискать аналоги у других вендоров
6. Использовать ADB чтобы удалить файл с пин-кодом/паттерном /data/system/gesture.key
7. Воспользоваться вот этим списком из еще 7ми способов с форума XDA
8. Попробовать специальные утилиты и устройства для мобильной криминалистики (forensic tools): Cellebrite, Oxygen, XRY, GrayKey, Octoplus, Odin + TWRP
9. Поискать публичные эксплойты
10. Использовать USB Rubber Ducky или аналоги (опционально спаять свой)
999. Выполнить сброс к заводским настройкам

Happy hacking 😎

⚠️ Эксперимент с Telegraph-ом признан неудачным и больше я туда писать не буду.

Систематизировал для себя (и немного для других) информацию по биометическим системам аутентификации. В результате получилось три части:

- Часть 1: Как работают системы биометрической аутентификации
- Часть 2: Как устроена биометрия в Android
- Часть 3: Атаки на биометрические системы

Это не какая-то уникальная информация, а просто мой способ читать документацию и работать с источниками по заданной теме.

Это будет крайний пост в этом году и я выбрал для него статью, которая очень подходит к такому событию.

Android Component Security | The Four Horsemen

В статье дается пусть и базовая, но очень хорошо структурированная информация о том, как можно атаковать компоненты android приложений. Автор не стал в очередной раз разгонять про “зопускаем др0узер...”, а рассказал про вектора атаки и показал код, которым эти атаки реализуются. Подробно описывать не буду. Наливайте чай, кофе, какао, каркадэ, берите шаурму или гоячую ачму и читайте ;)

Пару слов о моих проектах: никто не забыт и ничто не забыто. Пока нет времени делать что-то для YouTube, да и подкаст не записывается по щелчку пальцев. Кроме этого, меняется фокус моих интересов, а вместе с ним будет меняться направление материалов, которыми я с вами делюсь. Никаких потрясений, мы тут все еще говорим про безопасность в Android, но в новом году ожидайте чуть больше материалов из “лагеря атакующих”.

С Новым Годом!

При анализе защищенности мобильного приложения в 9 случаях из 10 возникает задача анализа трафика. Чаще всего это не вызывает проблем у опытного пентестера, но иногда попадаются приложения, которые никак не хотят показывать свой трафик. Причин такого поведения много. SSL pinning, нестандартные библиотеки, глюки, кривые настройки смартфона... Да много чего на самом деле. Чтобы как-то собрать в кучу весь имеющийся на текущий момент опыт борьбы с этой проблемой я написал гайд по решению проблем с перехватом трафика в Android. Надеюсь, что он сэкономит вам когда-нибудь несколько часов. Если у вас есть еще какие-то методы решения проблем, которые я не указал в этом гайде, то пишите в комментариях о своем опыте. Самые уникальные случаи я добавлю в статью со ссылкой на авторов.

https://fi5t.xyz/posts/intercept-android-traffic/

Про Frida уже написано столько, что хватит на 3 “войны и мира”, но часто это какие-то прикладные статьи или туториалы начального уровня. За границами этих туториалов начинается остервенелое изучение документации, которая, ИМХО, не так хороша как могла бы быть. Тем интереснее книга, которую я после долгих раздумий все же решился прочитать и не пожалел - Beginning Frida. У меня вообще есть практика периодически изучать материалы начального уровня чтобы закрыть возможные пробелы в знаниях.

Книга в меньше степени про использование Frida в Android и в большей про то как устроен инструмент, как на нем решать различные задачи и про экосистему вокруг. Тем и ценна.

Автор сильно упростил мне задачу написав какие главы нужно читать обязательно, а какие можно пропустить. Я прочитал все и теперь полностью согласен с его рекомендациями:

Глава 1: Настройка среды. Будет полезна тем, кто никогда про Frida не слышал или давно хотел попробовать, но руки не доходили. Остальные там ничего интересного не найдут.

Глава 2: Базовые приемы работы. Смело пропускаем если уже трогали тетю Фриду ;)

Глава 3: Работа с frida-trace. Нашел для себя несколько интересных вещей касательно модулей.

Глава 4: Углубленная работа с frida-trace. Мне показалась интересной. Можно пробежаться глазами и поискать интересные практики для себя.

Глава 5: Переход от трейсинга к сталкингу. Есть полезная инфа про frida-stalker и немного про frida-gadget

Глава 6: Разработка собственных инструментов. Новичкам будет полезно, джедаям - вряд-ли.

Глава 7: Разбор компонета frida-server. Есть интересное, в т.ч. запуск по сети.

Глава 8: Введение в NativeFunction. Довольно полезная глава. Есть интересные практики.

Глава 9: Frida и Android. Новичкам обязательна к прочтению. А также всем тем, кто ловил странные проблемы с Frida. У кого и так все хорошо - не читайте.

Глава 10: Работа с библиотечными функциями и памятью. Полезная глава. Есть хорошие примеры работы с адресами функций и поиску значений в памяти.

Глава 11: Как писать обертки на Python. Тоже хорошая глава. Отлично раскрывает концепцию RPC, которую я редко вижу в скриптах, а при этом она довольно полезная.

Глава 12: Решение пары OWASP-овских crackme на Android. Новички, вам сюда. Джедаи, проходите мимо.

Глава 13: Как открыть Telegram в Objection. Будет полезна все тем же новичкам и людям не знакомым с Objection.

Глава 14: Небольшое описание Codeshare. А вы знали, что там можно зарегистрироваться? 😀

Что касается самого текста, то он читается довольно легко. Я пробежался буквально за пару вечеров. Ссылку на торренты не прикладываю. Вы же хакеры, сами найдете 😎
#frida

Вышел Android Developer Preview 1 и я решил посмотреть есть ли там что-то интересное в плане безопасности. Интересного нашлось сразу два:

- Photo Picker - безопасный фото-видео-выбиратель
- NEARBY_WIFI_DEVICES - работа с wi-fi без геолокации

Поковырявшись в деталях, я решил написать немного хулиганский пятничный пост про эти апдейты. Приятного чтения.

Выложили видео с Black Hat Europe 2021. Даже есть несколько на мобильную тему, но внимания достойны только два из них. Так что если у вас есть время только на два (или одно) видео, то вот они:

A Titan M Odyssey. Доклад от широко известных в узких кругах ребят из Quarkslab. И это тот самый доклад который имеет смысл посмотреть если можете посмотреть только один. Они расковыряли гугловый чип Titan M и рассказали о нем в одном докладе больше подробностей, чем Google во всех своих рекламных проспектах. А под занавес доклада показали еще несколько узявимостей. Вообще ничего не хочу сюда больше добавлять. Просто надо смотреть.

A Universal Way to Exploit Android PendingIntents in High-profile and System Apps. Доклад от наших друзей из Поднебесной, которые такие же мастера в придумывании коротких названий докладов как и я. Сам доклад и стоящее за ним исследование весьма достойные. Если никогда не смотрели в сторону техник эксплуатации PendingIntent-ов, то однозначно рекомендую. Правда в большинстве случаев, баги такого рода это не “низко висящие фрукты”. Эксплуатация требует ряда дополнительных условий и чаще всего не так красива как 1-click RCE через Google Play Library. Тем не менее про этот класс уязвимостей знать нужно и пентестерам и разработчикам.

Полный плейлист тут.

Возникла идея провести открытое собеседование на условную позицию "мобильного хакера". Как я это вижу: я беру себе в помощь кого-нибудь, кто хорошо разбирается в iOS (шта?!), в день Ч собираемся на этом канале и начинаем вкидывать вопросы в аудиторию. Вопросы будут по android, iOS и серверной части (API и все что рядом). Отвечать может кто угодно, просто поднимаете руку и говорите. Конечно же можно просто прийти послушать, чтобы узнать для себя что-то новое. Что думаете?

P.S. Из-за ограничений телеги, опрос будет следующим сообщением.

Как причудливо время играет с людьми, и как безжалостно люди играют друг с другом.

Радиоэфир под завязку забит помехами. Отличить сигнал от шума практически невозможно. Кого сейчас вообще волнуют какие-то конференции по информационной безопасности? И все же я рискну рассказать вам про одну. Positive Hack Days открывает CFP. На момент написания этого сообщения, в пуле нет ни одного доклада касающегося мобильных приложений и это печалит меня. На таких конференциях много рассказывают про веб, пентесты, часто мелькает IoT, но всегда очень мало докладов по действительно интересным кейсам в мобилках. Если вам есть что сказать на эту тему, то обязательно подайте заявку. Может быть тогда разработчики послушают вас и начнут наконец-то шифровать пользовательские данные и прекратят доверять всем приходящим intent-ам ;) Успеть подать заявку нужно до 18 марта.

Есть еще пара опций. Если хочется присутствовать лично, то можно купить билеты пока действует early bird (до 13 марта). Если покупать ничего не хочется, то можно будет посмотреть прямую трансляцию или видеонарезку после конференции.

Группа LAPSU$ объявила о взломе компании Samsung. В сеть утекло порядка 190Гб данных: исходный код различных продуктов компании, загрузчиков, механизмов аутентификации и идентификации, серверов активации, системы защиты Knox, online-сервисов, API, а также проприетарных компонентов, поставляемых компанией Qualcom.

Кроме этого великолепия, заявляется, что утечка содержит код всех TA-апплетов для TEE, а также код управления ключами модулей DRM и биометрической идентификации. Все это добро можно найти самостоятельно на torrent-ах или взять готовый файлик у бота r0 crew: https://news.1rj.ru/str/c/1344358540/91620 (инвайт в канал тоже нужно получать через бота).

Это все грозит нам очень интересными последствиями. Ожидаем волны RCE эксплойтов для смартфонов любимого производителя ;)

Прямо сейчас проходит ежегодный CTF - NeoQUEST. Среди прочих заданий там традиционно есть android приложение, которое нужно взломать. Задание довольно простое и его можно воспринимать скорее как развлечение, но один интересный момент в нем все же есть. Очень рекомендую его пройти. Оно под номером 7. Кому будут нужны подсказки - спрашивайте в чате. А ребятам из команды организаторов благодарность за то, что пришлось вспомнить про существование AIDL ;)

Сегодня в 18:00 закончился NeoQUEST, а значит я могу поделиться с вами своим разбором того самого задания №7.

https://fi5t.xyz/posts/neoquest2022-writeup-task7/

Приятного чтения!

По непонятным, на текущий момент, причинам - с github-а пропал репозиторий reFlutter-а. Пропал не только он, но это уже совсем другая история... Автор сутки не спал, ползал по дискетам и по частям собирал останки погибших программ. Теперь у reFlutter-а новый дом: https://github.com/Impact-I/reFlutter. Поддержите звездочками и обязательно заведите полезный issue, а то и отправьте PR.

В сообществе функциональных программистов очень популярно писать туториалы про монады. Это священносдейство прямо возведено в абсолют. Наши монады носят имя - ssl pinning. Загадочный набор букв, который снова и снова волнует умы миллионов. К чему я это все - в полку статей про пиннинг прибыло. Статья хороша тем, что помимо привычных рассуждений о природе пиннинга, автор старается дать базовые знания о том что такое handshake, эфемерные ключи и объяснить саму природу сертификатов. Так что если вы до сих пор "плаваете в понятиях", то рекомендую вдумчиво прочитать эту статью и если остались вопросы, то задать их в комментариях. Получить еще немного недостающих элементов знаний по пиннингу, перехвату трафика и mitm можно здесь:

- Перехват трафика в Android. Большой гайд
- Как прикрутить и отломать SSL pinning
- Вопросы новичков (ssl pinning)
- Шпаргалка по сертификатам

Рубрика "Лайфхаки": Реальный девайс чаще всего оказывается лучше и удобнее эмулятора. За одним исключением - он лежит где-то там и его надо брать в руки чтобы что-то рассмотреть, да и следить за фидбэком приложения так не всегда удобно. Для решения этой проблемы я обычно использую scrcpy. Эта утилита будет отображать все происходящее на экране смартфона прямо у вас на мониторе. Выглядит как эмулятор, только без всех его минусов. Обратная связь етественно есть, можно тыкать на экран смартфона, можно в окно на компьютере. Работает быстро и бесплатно.

Я вам уже рассказывал про Positive Hack Days, который пройдет 18-19 мая и жаловался, что там совсем небыло докладов про безопасность мобилок. Ситуация изменилась! На момент написания этого сообщения программы на сайте нет, но со мной по большому секрету поделились темами докладов и я хочу рассказать вам о нескольких, которые вызвали у меня интерес.

1. BootROM на Qualcomm: извлечение, исследование и эксплуатация уязвимостей. Докладчик расскажет как найти точку G JTAG в смартфоне на базе Qualcom и c его помощью извлечь BootROM. Также обещает показать 1day уязвимость в извлеченном BootROM, но это неточно ;)
2. Фреймворк безопасной разработки от компании Swordfish Security. Обещают показать фреймворк для безопасной разработки, и это звучало бы как очердное бла-бла-бла если бы не тот факт, что ребята действительно знают толк в SSDLC. Я уже делал с ними стрим и подкаст, поэтому проверьте это утверждение самостоятельно.
3. Уязвимое мобильное приложение Allsafe глазами аналитика исходного кода с примерами для начинающих. А это видимо конкуренты предыдущего доклада. Собираюсь дать им шанс и послушать эту историю про комбинацию SAST и DAST для поиска уязвимостей.
4. Хранение API-ключей. Доклад о том как надежно хранить ключи и предотвратить их утечку. Скорее всего тут речь про сервер, поэтому рекомендую прийти на этот доклад хотябы за тем, чтобы задать докладчику вопрос как хранить ключи в мобильных приложениях ;)
5. Безопасная разработка в вашей IDE. Доклад о разработке плагинов для Intellij IDEA и VSCode. С одной стороны про это сказано уже много, а с другой - уходя за границы очередного туториала начинаешь ловить летящие в тебя грабли. Кстати, написание плагинов для IDE полезно не только разработчикам. Выгрузив код из Jadx в Android Studio можно сильно упростить себе работу используя самописные плагины для автоматизации разных хакерских задач.

Что касается конференции в целом, то в этом году она пройдет под флагом "IN-dependence". Главный вопрос: реально ли быть independent — то есть независимыми — в текущих условиях без полного контроля над виртуальной средой? Это достижимо, если выбрать путь результативной и измеримой кибербезопасности.

Кибербезопасность в России сейчас находится на острие повестки. За последние месяцы шквал хакерских атак захлестнул все отрасли: госсектор, банки, СМИ, ВПК, ТЭК, IT, науку… Число запросов на киберзащиту выросло в разы. Из страны ушли практически все иностранные вендоры ИБ. Началась небывалая трансформация российского рынка кибербеза и есть отличный шанс не пролюбить момент и потусить с ИБ экспертами на Positive Hack Days и задать им острые вопросы про будущее.

Кроме собственно докладов, на конференции традиционно будет:

- самая масштабная открытая кибербитва The Standoff, позволяющая наглядно увидеть, к каким необратимым последствиям могут приводить хакерские атаки, и сделать выводы о построении эффективной защиты. Виртуальная страна, за ресурсы которой будут бороться команды этичных хакеров, представляет собой визуализацию цифровой реальности современной России. На этот раз вы увидите взаимозависимость отраслей экономики, когда даже незначительное влияние на одну из систем может иметь большие и непредсказуемые последствия в совершенно другом месте
- хакерские конкурсы: начинающие специалисты попробуют взломать банкомат, справиться с багами умного дома и обмануть систему биометрической аутентификации

Говорят, что количество билетов ограничено, поэтому если хочется прямо во все тяжкие, то лучше поторопиться. А для тех, кто не успел - будет трансляция. Но если вы хоть раз в жизни были на PHD, то трансляцию смотреть просто не захотите, в этом нужно участвовать лично!