Про Frida уже написано столько, что хватит на 3 “войны и мира”, но часто это какие-то прикладные статьи или туториалы начального уровня. За границами этих туториалов начинается остервенелое изучение документации, которая, ИМХО, не так хороша как могла бы быть. Тем интереснее книга, которую я после долгих раздумий все же решился прочитать и не пожалел - Beginning Frida. У меня вообще есть практика периодически изучать материалы начального уровня чтобы закрыть возможные пробелы в знаниях.

Книга в меньше степени про использование Frida в Android и в большей про то как устроен инструмент, как на нем решать различные задачи и про экосистему вокруг. Тем и ценна.

Автор сильно упростил мне задачу написав какие главы нужно читать обязательно, а какие можно пропустить. Я прочитал все и теперь полностью согласен с его рекомендациями:

Глава 1: Настройка среды. Будет полезна тем, кто никогда про Frida не слышал или давно хотел попробовать, но руки не доходили. Остальные там ничего интересного не найдут.

Глава 2: Базовые приемы работы. Смело пропускаем если уже трогали тетю Фриду ;)

Глава 3: Работа с frida-trace. Нашел для себя несколько интересных вещей касательно модулей.

Глава 4: Углубленная работа с frida-trace. Мне показалась интересной. Можно пробежаться глазами и поискать интересные практики для себя.

Глава 5: Переход от трейсинга к сталкингу. Есть полезная инфа про frida-stalker и немного про frida-gadget

Глава 6: Разработка собственных инструментов. Новичкам будет полезно, джедаям - вряд-ли.

Глава 7: Разбор компонета frida-server. Есть интересное, в т.ч. запуск по сети.

Глава 8: Введение в NativeFunction. Довольно полезная глава. Есть интересные практики.

Глава 9: Frida и Android. Новичкам обязательна к прочтению. А также всем тем, кто ловил странные проблемы с Frida. У кого и так все хорошо - не читайте.

Глава 10: Работа с библиотечными функциями и памятью. Полезная глава. Есть хорошие примеры работы с адресами функций и поиску значений в памяти.

Глава 11: Как писать обертки на Python. Тоже хорошая глава. Отлично раскрывает концепцию RPC, которую я редко вижу в скриптах, а при этом она довольно полезная.

Глава 12: Решение пары OWASP-овских crackme на Android. Новички, вам сюда. Джедаи, проходите мимо.

Глава 13: Как открыть Telegram в Objection. Будет полезна все тем же новичкам и людям не знакомым с Objection.

Глава 14: Небольшое описание Codeshare. А вы знали, что там можно зарегистрироваться? 😀

Что касается самого текста, то он читается довольно легко. Я пробежался буквально за пару вечеров. Ссылку на торренты не прикладываю. Вы же хакеры, сами найдете 😎
#frida

Вышел Android Developer Preview 1 и я решил посмотреть есть ли там что-то интересное в плане безопасности. Интересного нашлось сразу два:

- Photo Picker - безопасный фото-видео-выбиратель
- NEARBY_WIFI_DEVICES - работа с wi-fi без геолокации

Поковырявшись в деталях, я решил написать немного хулиганский пятничный пост про эти апдейты. Приятного чтения.

Выложили видео с Black Hat Europe 2021. Даже есть несколько на мобильную тему, но внимания достойны только два из них. Так что если у вас есть время только на два (или одно) видео, то вот они:

A Titan M Odyssey. Доклад от широко известных в узких кругах ребят из Quarkslab. И это тот самый доклад который имеет смысл посмотреть если можете посмотреть только один. Они расковыряли гугловый чип Titan M и рассказали о нем в одном докладе больше подробностей, чем Google во всех своих рекламных проспектах. А под занавес доклада показали еще несколько узявимостей. Вообще ничего не хочу сюда больше добавлять. Просто надо смотреть.

A Universal Way to Exploit Android PendingIntents in High-profile and System Apps. Доклад от наших друзей из Поднебесной, которые такие же мастера в придумывании коротких названий докладов как и я. Сам доклад и стоящее за ним исследование весьма достойные. Если никогда не смотрели в сторону техник эксплуатации PendingIntent-ов, то однозначно рекомендую. Правда в большинстве случаев, баги такого рода это не “низко висящие фрукты”. Эксплуатация требует ряда дополнительных условий и чаще всего не так красива как 1-click RCE через Google Play Library. Тем не менее про этот класс уязвимостей знать нужно и пентестерам и разработчикам.

Полный плейлист тут.

Возникла идея провести открытое собеседование на условную позицию "мобильного хакера". Как я это вижу: я беру себе в помощь кого-нибудь, кто хорошо разбирается в iOS (шта?!), в день Ч собираемся на этом канале и начинаем вкидывать вопросы в аудиторию. Вопросы будут по android, iOS и серверной части (API и все что рядом). Отвечать может кто угодно, просто поднимаете руку и говорите. Конечно же можно просто прийти послушать, чтобы узнать для себя что-то новое. Что думаете?

P.S. Из-за ограничений телеги, опрос будет следующим сообщением.

Как причудливо время играет с людьми, и как безжалостно люди играют друг с другом.

Радиоэфир под завязку забит помехами. Отличить сигнал от шума практически невозможно. Кого сейчас вообще волнуют какие-то конференции по информационной безопасности? И все же я рискну рассказать вам про одну. Positive Hack Days открывает CFP. На момент написания этого сообщения, в пуле нет ни одного доклада касающегося мобильных приложений и это печалит меня. На таких конференциях много рассказывают про веб, пентесты, часто мелькает IoT, но всегда очень мало докладов по действительно интересным кейсам в мобилках. Если вам есть что сказать на эту тему, то обязательно подайте заявку. Может быть тогда разработчики послушают вас и начнут наконец-то шифровать пользовательские данные и прекратят доверять всем приходящим intent-ам ;) Успеть подать заявку нужно до 18 марта.

Есть еще пара опций. Если хочется присутствовать лично, то можно купить билеты пока действует early bird (до 13 марта). Если покупать ничего не хочется, то можно будет посмотреть прямую трансляцию или видеонарезку после конференции.

Группа LAPSU$ объявила о взломе компании Samsung. В сеть утекло порядка 190Гб данных: исходный код различных продуктов компании, загрузчиков, механизмов аутентификации и идентификации, серверов активации, системы защиты Knox, online-сервисов, API, а также проприетарных компонентов, поставляемых компанией Qualcom.

Кроме этого великолепия, заявляется, что утечка содержит код всех TA-апплетов для TEE, а также код управления ключами модулей DRM и биометрической идентификации. Все это добро можно найти самостоятельно на torrent-ах или взять готовый файлик у бота r0 crew: https://news.1rj.ru/str/c/1344358540/91620 (инвайт в канал тоже нужно получать через бота).

Это все грозит нам очень интересными последствиями. Ожидаем волны RCE эксплойтов для смартфонов любимого производителя ;)

Прямо сейчас проходит ежегодный CTF - NeoQUEST. Среди прочих заданий там традиционно есть android приложение, которое нужно взломать. Задание довольно простое и его можно воспринимать скорее как развлечение, но один интересный момент в нем все же есть. Очень рекомендую его пройти. Оно под номером 7. Кому будут нужны подсказки - спрашивайте в чате. А ребятам из команды организаторов благодарность за то, что пришлось вспомнить про существование AIDL ;)

Сегодня в 18:00 закончился NeoQUEST, а значит я могу поделиться с вами своим разбором того самого задания №7.

https://fi5t.xyz/posts/neoquest2022-writeup-task7/

Приятного чтения!

По непонятным, на текущий момент, причинам - с github-а пропал репозиторий reFlutter-а. Пропал не только он, но это уже совсем другая история... Автор сутки не спал, ползал по дискетам и по частям собирал останки погибших программ. Теперь у reFlutter-а новый дом: https://github.com/Impact-I/reFlutter. Поддержите звездочками и обязательно заведите полезный issue, а то и отправьте PR.

В сообществе функциональных программистов очень популярно писать туториалы про монады. Это священносдейство прямо возведено в абсолют. Наши монады носят имя - ssl pinning. Загадочный набор букв, который снова и снова волнует умы миллионов. К чему я это все - в полку статей про пиннинг прибыло. Статья хороша тем, что помимо привычных рассуждений о природе пиннинга, автор старается дать базовые знания о том что такое handshake, эфемерные ключи и объяснить саму природу сертификатов. Так что если вы до сих пор "плаваете в понятиях", то рекомендую вдумчиво прочитать эту статью и если остались вопросы, то задать их в комментариях. Получить еще немного недостающих элементов знаний по пиннингу, перехвату трафика и mitm можно здесь:

- Перехват трафика в Android. Большой гайд
- Как прикрутить и отломать SSL pinning
- Вопросы новичков (ssl pinning)
- Шпаргалка по сертификатам

Рубрика "Лайфхаки": Реальный девайс чаще всего оказывается лучше и удобнее эмулятора. За одним исключением - он лежит где-то там и его надо брать в руки чтобы что-то рассмотреть, да и следить за фидбэком приложения так не всегда удобно. Для решения этой проблемы я обычно использую scrcpy. Эта утилита будет отображать все происходящее на экране смартфона прямо у вас на мониторе. Выглядит как эмулятор, только без всех его минусов. Обратная связь етественно есть, можно тыкать на экран смартфона, можно в окно на компьютере. Работает быстро и бесплатно.

Я вам уже рассказывал про Positive Hack Days, который пройдет 18-19 мая и жаловался, что там совсем небыло докладов про безопасность мобилок. Ситуация изменилась! На момент написания этого сообщения программы на сайте нет, но со мной по большому секрету поделились темами докладов и я хочу рассказать вам о нескольких, которые вызвали у меня интерес.

1. BootROM на Qualcomm: извлечение, исследование и эксплуатация уязвимостей. Докладчик расскажет как найти точку G JTAG в смартфоне на базе Qualcom и c его помощью извлечь BootROM. Также обещает показать 1day уязвимость в извлеченном BootROM, но это неточно ;)
2. Фреймворк безопасной разработки от компании Swordfish Security. Обещают показать фреймворк для безопасной разработки, и это звучало бы как очердное бла-бла-бла если бы не тот факт, что ребята действительно знают толк в SSDLC. Я уже делал с ними стрим и подкаст, поэтому проверьте это утверждение самостоятельно.
3. Уязвимое мобильное приложение Allsafe глазами аналитика исходного кода с примерами для начинающих. А это видимо конкуренты предыдущего доклада. Собираюсь дать им шанс и послушать эту историю про комбинацию SAST и DAST для поиска уязвимостей.
4. Хранение API-ключей. Доклад о том как надежно хранить ключи и предотвратить их утечку. Скорее всего тут речь про сервер, поэтому рекомендую прийти на этот доклад хотябы за тем, чтобы задать докладчику вопрос как хранить ключи в мобильных приложениях ;)
5. Безопасная разработка в вашей IDE. Доклад о разработке плагинов для Intellij IDEA и VSCode. С одной стороны про это сказано уже много, а с другой - уходя за границы очередного туториала начинаешь ловить летящие в тебя грабли. Кстати, написание плагинов для IDE полезно не только разработчикам. Выгрузив код из Jadx в Android Studio можно сильно упростить себе работу используя самописные плагины для автоматизации разных хакерских задач.

Что касается конференции в целом, то в этом году она пройдет под флагом "IN-dependence". Главный вопрос: реально ли быть independent — то есть независимыми — в текущих условиях без полного контроля над виртуальной средой? Это достижимо, если выбрать путь результативной и измеримой кибербезопасности.

Кибербезопасность в России сейчас находится на острие повестки. За последние месяцы шквал хакерских атак захлестнул все отрасли: госсектор, банки, СМИ, ВПК, ТЭК, IT, науку… Число запросов на киберзащиту выросло в разы. Из страны ушли практически все иностранные вендоры ИБ. Началась небывалая трансформация российского рынка кибербеза и есть отличный шанс не пролюбить момент и потусить с ИБ экспертами на Positive Hack Days и задать им острые вопросы про будущее.

Кроме собственно докладов, на конференции традиционно будет:

- самая масштабная открытая кибербитва The Standoff, позволяющая наглядно увидеть, к каким необратимым последствиям могут приводить хакерские атаки, и сделать выводы о построении эффективной защиты. Виртуальная страна, за ресурсы которой будут бороться команды этичных хакеров, представляет собой визуализацию цифровой реальности современной России. На этот раз вы увидите взаимозависимость отраслей экономики, когда даже незначительное влияние на одну из систем может иметь большие и непредсказуемые последствия в совершенно другом месте
- хакерские конкурсы: начинающие специалисты попробуют взломать банкомат, справиться с багами умного дома и обмануть систему биометрической аутентификации

Говорят, что количество билетов ограничено, поэтому если хочется прямо во все тяжкие, то лучше поторопиться. А для тех, кто не успел - будет трансляция. Но если вы хоть раз в жизни были на PHD, то трансляцию смотреть просто не захотите, в этом нужно участвовать лично!

Экосистемы сейчас на хайпе. Про них даже один известный человек высказался: "Есть элементы этой экосистемы, которые нужно доработать. Нужно сделать свой интернет-магазин, потому что App Store и Google Play на сегодняшний день у нас уже практически могут скоро не дать возможности скачивать приложения".

А вот насколько хорошо разработчики приложений понимают, как построить безопасную экосистему? Чтобы не теоретизировать, я решил посмотреть на существующие экосистемы и рассказать вам об одной интересной уязвимости, которая характерна именно для экосистем приложений. Никакой теории, только код, кишки и ссылки для дальнейшего изучения.

Хочу порекомендовать вам неплохую книгу про анализ сетевых протоколов - Attacking Network Protocols: A Hacker's Guide to Capture, Analysis, and Exploitation. В книге рассказывается с какой стороны подходить к анализу неизвестных протоколов и дается набор смежных тем. Для совсем начинающих может быть местами сложной, но для продолжающих - в самый раз. Почтенным ИБ-сеньорам будет традиционно скучно.

Глава 1. Основы сетей - если не читали Олиферов (и не хотите), то эта глава отлично вводит в курс дела. Даются базовые знания о том как работают локальные и глобальные сети;
Глава 2. Перехват трафика - адептам подхода "з0пуск4ем бурп && п0лeт3ли" будет полезно узнать какие способы перехвата трафика вообще существуют и как они работают;
Глава 3. Структура сетевых протоколов - объясняются типичные для сетевых протоколов структуры данных, TLV и все, что рядом;
Глава 4. Расширенный перехват трафика приложений - чуть больше практических примеров и утилит чем в Главе 2. Также разбираются ARP и DNS спуфинг;
Глава 5. Анализ на практике - на примере самописного чата, автор показывается как анализировать неизвестные протоколы. Wireshark + скриптинг на Lua;
Глава 6. Обратная разработка приложений - самые базовые знания о реверсе, архитектура x86 и немного примеров. Если уже в теме, то главу можно смело пропускать полностью;
Глава 7. Безопасность сетевых протоколов - основы криптографии и атак на нее в контексте сетевых протоколов. Отдельно дается информация про то как работает TLS;
Глава 8. Реализация сетевых протоколов - на примерах показано как эмулировать клиентскую и серверную часть протоколов. Но я не в восторге от этой главы. Хотя может вам понравится;
Глава 9. Основные причины уязвимостей - небольшой глоссарий сетевых уязвимостей. Для начинающих будет полезным элементом систематизации знаний;
Глава 10. Поиск и эксплуатация уязвимостей - на примерах разбирается как эсплуатировать узявимости из Главы 9. В целом - эта глава неплохая и если никогда с таким не сталкивались, то она более чем неплохая. Но лично от себя, на эту тему, я бы рекомендовал читать Hacking: The Art of Exploitation.

Небольшая заметка про маленький, но противный баг, который периодически встречается в приложениях использующих биометрическую аутентификацию

Смотреть трансляцию Positive Hack Days бесплатно и без смс можно здесь - https://event.phdays.com/ru. Есть удобный фильтр по зонам. Доклады уже идут!

Сколько было разговоров о том, что Fuchsia OS заменит Android и начнется новая эра? И где теперь эта Fuchsia OS? Оказалось, что она все еще активно разрабатывается и похоже не собирается умирать. Чтобы не прозозохать все на свете и быть готовым, когда Fuchsia OS придет в ваш дом - рекомендую прочитать этот серьезный материал. Из статьи вы узнаете:
- Что из себя представлет Fuchsia OS и как выглядит ее модель безопасности
- Как собрать ОС из исходников и написать приложение для нее
- Как выглядит ядро ОС и как его подебажить с помощью GDB и QEMU
- Как разрабатывать эксплойты для ядра Fuchsia OS (Zirocon)

Под чай с печеньками прочитать не выйдет. Придется включать мозги 👨‍🔬

В соседнем канале Mobile AppSec World разыгрывают билеты на конференцию OFFZone, которая пройдет этим летом. Для участия в розыгрыше нужен сущий пустяк. Написать историю о самой тупой уязвимости, которую вы находили в мобильных приложениях. Если ничего в голову не приходит, то про ssl pinning думаю можете написать. Эти истории все любят. Подробности тут. Надеюсь встретимся на OFFZone.

⚡️ Вышла новая версия библиотеки Pinkman. Теперь она нормально работает в Android 12.
Благодарности за это отправляем ребятам из Redmadrobot: osipxd и Zestxx.
Напишите в комментариях, чего вам там не хватает еще. Может быть ребята из Redmadrobot я наконец-то соберусь с силами и выпущу вторую версию...

В среду 06.07.2022 в 20:00 (MSK) хочу провести стрим, в котором обсудим как прийти в мобильный инфобез в 2022 году. Уклон беседы будет скорее в offensive security, но думаю, что разработчики тоже узнают для себя что-то интересное.
Темы, которые хотелось бы затронуть:
- С чего начать совсем молодым специалистам. Что изучать, а на что можно забить в начале пути
- Как вкатиться уже матерым хакерам, которые точно знают в какое поле пихать кавычку, а в какое лучше не надо
- Что делать разработчикам, у которых наступил "кризис веры" и есть желание уверовать в захек мобилок

Еще попробуем поговорить о рабочем процессе в целом и какую пользу все эти мобильные познания могут принести если решите перекатиться в другую область. Ну и конечно же хочется послушать ваши вопросы чтобы сделать повествование наиболее полным и полезным.

Проходить все будет в формате видео чата в группе Android Guards, так что если вы еще не там, то самое время.