В сообществе функциональных программистов очень популярно писать туториалы про монады. Это священносдейство прямо возведено в абсолют. Наши монады носят имя - ssl pinning. Загадочный набор букв, который снова и снова волнует умы миллионов. К чему я это все - в полку статей про пиннинг прибыло. Статья хороша тем, что помимо привычных рассуждений о природе пиннинга, автор старается дать базовые знания о том что такое handshake, эфемерные ключи и объяснить саму природу сертификатов. Так что если вы до сих пор "плаваете в понятиях", то рекомендую вдумчиво прочитать эту статью и если остались вопросы, то задать их в комментариях. Получить еще немного недостающих элементов знаний по пиннингу, перехвату трафика и mitm можно здесь:

- Перехват трафика в Android. Большой гайд
- Как прикрутить и отломать SSL pinning
- Вопросы новичков (ssl pinning)
- Шпаргалка по сертификатам

Рубрика "Лайфхаки": Реальный девайс чаще всего оказывается лучше и удобнее эмулятора. За одним исключением - он лежит где-то там и его надо брать в руки чтобы что-то рассмотреть, да и следить за фидбэком приложения так не всегда удобно. Для решения этой проблемы я обычно использую scrcpy. Эта утилита будет отображать все происходящее на экране смартфона прямо у вас на мониторе. Выглядит как эмулятор, только без всех его минусов. Обратная связь етественно есть, можно тыкать на экран смартфона, можно в окно на компьютере. Работает быстро и бесплатно.

Я вам уже рассказывал про Positive Hack Days, который пройдет 18-19 мая и жаловался, что там совсем небыло докладов про безопасность мобилок. Ситуация изменилась! На момент написания этого сообщения программы на сайте нет, но со мной по большому секрету поделились темами докладов и я хочу рассказать вам о нескольких, которые вызвали у меня интерес.

1. BootROM на Qualcomm: извлечение, исследование и эксплуатация уязвимостей. Докладчик расскажет как найти точку G JTAG в смартфоне на базе Qualcom и c его помощью извлечь BootROM. Также обещает показать 1day уязвимость в извлеченном BootROM, но это неточно ;)
2. Фреймворк безопасной разработки от компании Swordfish Security. Обещают показать фреймворк для безопасной разработки, и это звучало бы как очердное бла-бла-бла если бы не тот факт, что ребята действительно знают толк в SSDLC. Я уже делал с ними стрим и подкаст, поэтому проверьте это утверждение самостоятельно.
3. Уязвимое мобильное приложение Allsafe глазами аналитика исходного кода с примерами для начинающих. А это видимо конкуренты предыдущего доклада. Собираюсь дать им шанс и послушать эту историю про комбинацию SAST и DAST для поиска уязвимостей.
4. Хранение API-ключей. Доклад о том как надежно хранить ключи и предотвратить их утечку. Скорее всего тут речь про сервер, поэтому рекомендую прийти на этот доклад хотябы за тем, чтобы задать докладчику вопрос как хранить ключи в мобильных приложениях ;)
5. Безопасная разработка в вашей IDE. Доклад о разработке плагинов для Intellij IDEA и VSCode. С одной стороны про это сказано уже много, а с другой - уходя за границы очередного туториала начинаешь ловить летящие в тебя грабли. Кстати, написание плагинов для IDE полезно не только разработчикам. Выгрузив код из Jadx в Android Studio можно сильно упростить себе работу используя самописные плагины для автоматизации разных хакерских задач.

Что касается конференции в целом, то в этом году она пройдет под флагом "IN-dependence". Главный вопрос: реально ли быть independent — то есть независимыми — в текущих условиях без полного контроля над виртуальной средой? Это достижимо, если выбрать путь результативной и измеримой кибербезопасности.

Кибербезопасность в России сейчас находится на острие повестки. За последние месяцы шквал хакерских атак захлестнул все отрасли: госсектор, банки, СМИ, ВПК, ТЭК, IT, науку… Число запросов на киберзащиту выросло в разы. Из страны ушли практически все иностранные вендоры ИБ. Началась небывалая трансформация российского рынка кибербеза и есть отличный шанс не пролюбить момент и потусить с ИБ экспертами на Positive Hack Days и задать им острые вопросы про будущее.

Кроме собственно докладов, на конференции традиционно будет:

- самая масштабная открытая кибербитва The Standoff, позволяющая наглядно увидеть, к каким необратимым последствиям могут приводить хакерские атаки, и сделать выводы о построении эффективной защиты. Виртуальная страна, за ресурсы которой будут бороться команды этичных хакеров, представляет собой визуализацию цифровой реальности современной России. На этот раз вы увидите взаимозависимость отраслей экономики, когда даже незначительное влияние на одну из систем может иметь большие и непредсказуемые последствия в совершенно другом месте
- хакерские конкурсы: начинающие специалисты попробуют взломать банкомат, справиться с багами умного дома и обмануть систему биометрической аутентификации

Говорят, что количество билетов ограничено, поэтому если хочется прямо во все тяжкие, то лучше поторопиться. А для тех, кто не успел - будет трансляция. Но если вы хоть раз в жизни были на PHD, то трансляцию смотреть просто не захотите, в этом нужно участвовать лично!

Экосистемы сейчас на хайпе. Про них даже один известный человек высказался: "Есть элементы этой экосистемы, которые нужно доработать. Нужно сделать свой интернет-магазин, потому что App Store и Google Play на сегодняшний день у нас уже практически могут скоро не дать возможности скачивать приложения".

А вот насколько хорошо разработчики приложений понимают, как построить безопасную экосистему? Чтобы не теоретизировать, я решил посмотреть на существующие экосистемы и рассказать вам об одной интересной уязвимости, которая характерна именно для экосистем приложений. Никакой теории, только код, кишки и ссылки для дальнейшего изучения.

Хочу порекомендовать вам неплохую книгу про анализ сетевых протоколов - Attacking Network Protocols: A Hacker's Guide to Capture, Analysis, and Exploitation. В книге рассказывается с какой стороны подходить к анализу неизвестных протоколов и дается набор смежных тем. Для совсем начинающих может быть местами сложной, но для продолжающих - в самый раз. Почтенным ИБ-сеньорам будет традиционно скучно.

Глава 1. Основы сетей - если не читали Олиферов (и не хотите), то эта глава отлично вводит в курс дела. Даются базовые знания о том как работают локальные и глобальные сети;
Глава 2. Перехват трафика - адептам подхода "з0пуск4ем бурп && п0лeт3ли" будет полезно узнать какие способы перехвата трафика вообще существуют и как они работают;
Глава 3. Структура сетевых протоколов - объясняются типичные для сетевых протоколов структуры данных, TLV и все, что рядом;
Глава 4. Расширенный перехват трафика приложений - чуть больше практических примеров и утилит чем в Главе 2. Также разбираются ARP и DNS спуфинг;
Глава 5. Анализ на практике - на примере самописного чата, автор показывается как анализировать неизвестные протоколы. Wireshark + скриптинг на Lua;
Глава 6. Обратная разработка приложений - самые базовые знания о реверсе, архитектура x86 и немного примеров. Если уже в теме, то главу можно смело пропускать полностью;
Глава 7. Безопасность сетевых протоколов - основы криптографии и атак на нее в контексте сетевых протоколов. Отдельно дается информация про то как работает TLS;
Глава 8. Реализация сетевых протоколов - на примерах показано как эмулировать клиентскую и серверную часть протоколов. Но я не в восторге от этой главы. Хотя может вам понравится;
Глава 9. Основные причины уязвимостей - небольшой глоссарий сетевых уязвимостей. Для начинающих будет полезным элементом систематизации знаний;
Глава 10. Поиск и эксплуатация уязвимостей - на примерах разбирается как эсплуатировать узявимости из Главы 9. В целом - эта глава неплохая и если никогда с таким не сталкивались, то она более чем неплохая. Но лично от себя, на эту тему, я бы рекомендовал читать Hacking: The Art of Exploitation.

Небольшая заметка про маленький, но противный баг, который периодически встречается в приложениях использующих биометрическую аутентификацию

Смотреть трансляцию Positive Hack Days бесплатно и без смс можно здесь - https://event.phdays.com/ru. Есть удобный фильтр по зонам. Доклады уже идут!

Сколько было разговоров о том, что Fuchsia OS заменит Android и начнется новая эра? И где теперь эта Fuchsia OS? Оказалось, что она все еще активно разрабатывается и похоже не собирается умирать. Чтобы не прозозохать все на свете и быть готовым, когда Fuchsia OS придет в ваш дом - рекомендую прочитать этот серьезный материал. Из статьи вы узнаете:
- Что из себя представлет Fuchsia OS и как выглядит ее модель безопасности
- Как собрать ОС из исходников и написать приложение для нее
- Как выглядит ядро ОС и как его подебажить с помощью GDB и QEMU
- Как разрабатывать эксплойты для ядра Fuchsia OS (Zirocon)

Под чай с печеньками прочитать не выйдет. Придется включать мозги 👨‍🔬

В соседнем канале Mobile AppSec World разыгрывают билеты на конференцию OFFZone, которая пройдет этим летом. Для участия в розыгрыше нужен сущий пустяк. Написать историю о самой тупой уязвимости, которую вы находили в мобильных приложениях. Если ничего в голову не приходит, то про ssl pinning думаю можете написать. Эти истории все любят. Подробности тут. Надеюсь встретимся на OFFZone.

⚡️ Вышла новая версия библиотеки Pinkman. Теперь она нормально работает в Android 12.
Благодарности за это отправляем ребятам из Redmadrobot: osipxd и Zestxx.
Напишите в комментариях, чего вам там не хватает еще. Может быть ребята из Redmadrobot я наконец-то соберусь с силами и выпущу вторую версию...

В среду 06.07.2022 в 20:00 (MSK) хочу провести стрим, в котором обсудим как прийти в мобильный инфобез в 2022 году. Уклон беседы будет скорее в offensive security, но думаю, что разработчики тоже узнают для себя что-то интересное.
Темы, которые хотелось бы затронуть:
- С чего начать совсем молодым специалистам. Что изучать, а на что можно забить в начале пути
- Как вкатиться уже матерым хакерам, которые точно знают в какое поле пихать кавычку, а в какое лучше не надо
- Что делать разработчикам, у которых наступил "кризис веры" и есть желание уверовать в захек мобилок

Еще попробуем поговорить о рабочем процессе в целом и какую пользу все эти мобильные познания могут принести если решите перекатиться в другую область. Ну и конечно же хочется послушать ваши вопросы чтобы сделать повествование наиболее полным и полезным.

Проходить все будет в формате видео чата в группе Android Guards, так что если вы еще не там, то самое время.

Запись недавнего стрима про то как вкатиться в мобильный инфобез в 2022-м году. Можно слушать на ваших любимых подкаст-площадках или прямо в Telegram. Видео решил не выкладывать, т.к. оно не несет никакой дополнительной ценности.
Сайт подкаста

Show notes:
- Большая подборка полезных ресурсов от экспертов Positive Technologies: от лаб и подкастов до блогеров и сообществ
- Охота за багами: как прокачаться этичному хакеру, чтобы больше зарабатывать на поиске уязвимостей
- Mobile Security Testing Guide
- Открытая лекция: Основы информационной безопасности для мобильных разработчиков
- Блог Oversecured (нужен VPN)
- Блог компании Snyk

Попробуем провести небольшой интерактив. Если зайдет, то буду периодически такое закидывать.

Какие вы видите проблемы в этом коде? Чем подробнее ответ, тем лучше. Ответы пишите в комментариях к этому сообщению.

#puzzles

Давайте немного разбавим технические посты чем-то менее техническим. Широко известный в узких кругах лысый из JetBrains Егор Толстой проводит свой ежегодный опрос для исследования сообществ и команд Android разработки в России. Если вы такое любите, то поучаствуйте в его опросе. А если увидите там название этого канала, то вы знаете что делать 😉

Периодически в чате возникают вопросы о том, какой же девайс себе купить для тестов. Вариантов много и за разные деньги. Я люблю референсные устройства от Google, т.к. с ними меньше всего проблем. Но трудности не пугают настоящего самурая и люди покупают себе всякое странное, а потом долго пытаются привести это устройство в кондиционное для проведения тестов состояние. Одно из таких устройств недавно попало мне в руки и мне нужно было получить на нем root права. Процесс оказался нетривиальным и я задокументировал его для будущих поколений. Плюс теперь есть еще одно устройство для осуществления захеков =)

https://fi5t.xyz/posts/oppo-a16-easy-root/

Я уже писал про розыгрыш билетов на OFFZone и надеюсь, что кто-то из вас их даже получил. После продажи билетов, по закону жанра, нужно наполнить конференцию интересным контентом. Да-да, не наоборот! =) Организаторы AppSec зоны принимают заявки на доклады и если вам не удалось выиграть билет, то есть еще один шанс посетить конференцию бесплатно ;) О чем можно рассказать:
- безопасная разработка всех форм и размеров
- инструменты для и против апсека
- новые уязвимости и переосознание старых
- можно даже затереть про DevOps или CTF в банке (Не взлом банка, а CTF! Главное не перепутать!)

На самом деле, если вам просто хочется сходить на конференцию бесплатно выступить с хорошим докладом, то смело пишите свои идеи организаторам. Может именно ваш доклад окажется наиболее интересным в AppSec зоне.

Связаться с организаторами можно через сайт, почту appsec@offzone.moscow или написать @Mr_R1p.

Я сейчас занимаюсь интересным исследованием, если доведу его до ума, то ближе к зиме смогу рассказать. Но это пока секрет👨‍🔬 А у вас есть какие-нибудь интересные исследования? Или может есть забавные истории про найденные вами уязвимости или "отчет по реверсу одного стиллера"? ;) Все это конечно можно отправить на OFFZone, но я всегда за опции, поэтому если выступать на большой конференции по какой-то причине вам не хочется, то можно выступить на митапе Standoff Talks, который пройдет 23 августа. Там сейчас формируется программа и осталось всего 5 дней до окончания приема заявок. Форму найдете тут: https://cfp.standoff365.com/. Говорят, что там будут кормить. Но я бы сильно не расчитывал :D

Столкнулся с интересной проблемой при настройке нового окружения. При переносе сертификатов в системные, новый Chrome начинается ругаться на Certificate Transparency и никакого трафика из браузера не отображается в бурпе. Вылечить можно так:

UPD: Пункты 3 и 4 более неактуальны. Автор исправил билд. Забрать можно здесь.

1. Удалить модуль Move Certificates из Magisk и перезагрузиться. После этого добавленный ранее сертификат должен пропасть из системных
2. Получить из бурпа новый сертификат и установить его как описано в шаге №6 этого гайда
3. Скачать master ветку этого репозитория. Там будет версия 2.0
4. Теперь архив нужно перепаковать так, чтобы в корне оказались файлы module.prop, install.sh и т.д. Например так: unzip movecert-master.zip && cd movecert-master && zip -r ../movecert2.0.zip * && cd - && rm -fr movecert-master
5. Закинуть получившийся архив на девайс: adb push movecert2.0.zip /sdcard/Dowload и установить через меню модулей (Install from storage)
6. В настройках Magisk включить Zygisk и Enforce DenyList если они отключены
7. Зайти в Configure DenyList и в настройках (правый верхний угол) установить галку Show system apps
8. Найти в списке Chrome и отметить его галочкой
9. Перезагрузиться и убедиться, что новый сертификат отображается как в системных, так и в пользовательских

Теперь все должно работать. Чуть больше подробностей (в т.ч. откуда взялся левый репозиторий с расширением) можно найти здесь.

Один скриншот вместо тысячи слов. Жаль нет smali, но все равно выглядит довольно полезно. Там не только Kotlin и Java. Обязательно поиграйтесь. https://godbolt.org/

Про это не написал только ленивый, поэтому буду краток. На https://bugbounty.standoff365.com появилась куча новых программ. Из интересного: мобильные приложения от VK, Mail, Одноклассники и несколько веб-сервисов, которые я никогда не видел. Есть шанс, что их не видел не только я, а значит там могут быть баги и надо их искать. За RCE в "одноклассниках" обещают "ладу гранту" в базовой комплектации, а за то же самое в VK - уже вполне себе солярис и еще на подогрев сидений останется. Happy hacking 😎

Хороший гайд по реверсу приложений на Flutter. Я бы сказал - лучший из тех, что я видел до этого. Показано очень много аспектов проведения исследования и все это собрано в последовательное повествование. Тем не менее, на мой вкус, все еще очень много ручной работы там где можно было автоматизировать процесс. Но это скорее идеи на будущее. А ребята из SPbCTF молодцы!