В очередной раз отличилась компания Samsung. Ребята из Google Project Zero обнаружили, что в модели Samsung Galaxy A50 (и вероятно не только) производитель модифицировал часть ядра отвечающую за аутентификацию процессов. Изменение с одной стороны позитивное, оно позволяет сверять цифровую подпись при запуске приложений и системных служб. Но в GPZ не зря едят свой хлеб и конечно же все сломали ;)
P.S. За новость спасибо ребятам из Kaspersky Lab
#google_project_zero, #samsung, #bug
https://googleprojectzero.blogspot.com/2020/02/mitigations-are-attack-surface-too.html
P.S. За новость спасибо ребятам из Kaspersky Lab
#google_project_zero, #samsung, #bug
https://googleprojectzero.blogspot.com/2020/02/mitigations-are-attack-surface-too.html
Blogspot
Mitigations are attack surface, too
Posted by Jann Horn, Project Zero Introduction This blog post discusses a bug leading to memory corruption in Samsung's Android kern...
Google наконец-то расчехлился на официальный гайд по шифрованию данных с помощью Jetpack Security. Мы получили более-менее разумное описание с интересными подробностями. В частности показано как связать это с BiometricPrompt. А еще стало известно "официальное" сокращение названия этой библиотеки - JetSec. Это сделает нашу жизнь в два раза лучше ;) В конце статьи есть ссылка на исходники приложения, которое показывает как пользоваться шифрованием файлов c помощью Jetpack Security.
#jetpack_security, #google, #4developers, #cryptography
https://medium.com/androiddevelopers/data-encryption-on-android-with-jetpack-security-e4cb0b2d2a9
#jetpack_security, #google, #4developers, #cryptography
https://medium.com/androiddevelopers/data-encryption-on-android-with-jetpack-security-e4cb0b2d2a9
Medium
Data Encryption on Android with Jetpack Security
If you are using the Jetpack Security crypto library, it is recommended that you migrate to one of these alternative libraries as soon as…
Небольшой гайд о том, что делать после распаковки Android-приложения. Подойдет начинающим реверсерам и тем, кто хочет "вкатиться в тему". Рассказывают о том, что вообще искать и показывают некоторые типовые приемы. Все красиво и с картинками.
#reverse_engineering, #guide, #jadx
https://www.nowsecure.com/blog/2020/02/26/what-to-look-for-when-reverse-engineering-android-apps/
#reverse_engineering, #guide, #jadx
https://www.nowsecure.com/blog/2020/02/26/what-to-look-for-when-reverse-engineering-android-apps/
Nowsecure
What to Look for When Reverse Engineering Android Apps - NowSecure
This tutorial will help you master the basics of analyzing an Android app and knowing what to look for as you work to reverse engineer the product.
Google прдолжает радовать нас отличными статьями по разным аспектам безопасной разработки. На этот раз мы получили довольно объемную статью про то, как правильно использовать
🧐 разницу между криптографической и биометрической системой Android
⚔️ как защитить ваши данные с помощью биометрии
👫 как объединить две этих системы с помощью
🗝 как использовать
📤 как передать ваш шифр в
Ну и конечно же Google подготовил вполне юзабельный пример c которым можно поиграть.
#biometric_prompt, #google, #4developers, #cryptography
https://medium.com/androiddevelopers/using-biometricprompt-with-cryptoobject-how-and-why-aace500ccdb7
CryptoObject в BiometricPrompt. В статье разбираются всякие подкапотные аспекты биометрической системы Android и даются свежие примеры того как с этим работать (ну наконец-то...). Если вы до сих пор не решились это прочитать, то вот что вы можете узнать из этой статьи:🧐 разницу между криптографической и биометрической системой Android
⚔️ как защитить ваши данные с помощью биометрии
👫 как объединить две этих системы с помощью
CryptoObject и достигнуть высочайшего уровня безопасности :D🗝 как использовать
setUserAuthenticationRequired(true) при определении вашего SecretKey для блокировки ключа с помощью привязки к аутентификации📤 как передать ваш шифр в
CryptoObject во время аутентификации чтобы разблокировать секретный ключНу и конечно же Google подготовил вполне юзабельный пример c которым можно поиграть.
#biometric_prompt, #google, #4developers, #cryptography
https://medium.com/androiddevelopers/using-biometricprompt-with-cryptoobject-how-and-why-aace500ccdb7
Medium
Using BiometricPrompt with CryptoObject: how and why
Biometrics and Cryptography are not the same thing. They are in fact completely independent of each other:
Если всегда хотелось разобраться в криптографии, но размер книги "Прикладная криптография" пугал, а борода Брюса Шнайера наводила тоску, то у меня есть для вас решение. Книга по криптографии, которая написана довольно простым языком и ориентирована на разработчиков любых возрастов и уровней развития. Повествование начинается от XOR-а и завершается элиптическими кривыми и атаками по сторонним каналам (side-channel attacks). Вот список тем в которых вы однозначно разберетесь к концу книги:
🧱 Блочные шифры
😭 Потоковые шифры
🤝 Обмен ключами
🔑 Шифрование с применением открытых ключей
#️⃣ Хэш функции
🧧 Коды аутентификация сообщений
🔏 Алгоритмы цифровой подписи
🧬 Функции генерации ключевого материала
🔮 Генераторы (псевдо)случайных чисел
🔐 SSL и TLS
📧 OpenPGP и GPG
👩❤️💋👨 Протокол OTR
#cryptography, #4developers
🧱 Блочные шифры
😭 Потоковые шифры
🤝 Обмен ключами
🔑 Шифрование с применением открытых ключей
#️⃣ Хэш функции
🧧 Коды аутентификация сообщений
🔏 Алгоритмы цифровой подписи
🧬 Функции генерации ключевого материала
🔮 Генераторы (псевдо)случайных чисел
🔐 SSL и TLS
📧 OpenPGP и GPG
👩❤️💋👨 Протокол OTR
#cryptography, #4developers
Наткнулся на интересную статью, в которой поднимается вопрос защиты приложения от пересборки с левым сертификатом. Все мы с вами знаем эту стандартную проверку сертификата через
#tamper_detection, #android_native, #4developers
https://darvincitech.wordpress.com/2020/03/01/yet-another-tamper-detection-in-android/
getPackageInfo(...) и еще лучше знаем как легко она обходится. Автор статьи переводит эту проверку в нативный код, но делает это не обычным переносом, а использует довольно хитрый трюк для проверки целостности приложения. Есть готовый PoC с которым можно поиграть. Ну и конечно же стоит помнить, что это просто плюс еще один шаг, а не идеальная защита от всего. Хотя как добавление к уже существующему комплексу мер, выглядит очень даже.#tamper_detection, #android_native, #4developers
https://darvincitech.wordpress.com/2020/03/01/yet-another-tamper-detection-in-android/
Darvin's Blog
Yet Another Tamper Detection in Android
Android apps are signed by developer private key before uploading to the play store. Every private key has an associated public certificate that devices and services use to verify that the app is f…
Война платформ Android и iOS вышла на новый уровень. Теперь вы можете рутануть (джеилбрейкнуть?) iPhone используя рутованный Android смартфон. Это стало возможным благодаря нашумевшей на iOS пространстве штуке под названием
⬇️ Скачать бинарник с checkra1n и закинуть его на android устройство
🔌 Присоединить айфончик и android смартфону
📲 Включить на айфоне Device Firmware Upgrade режим
💥 Запустить checkra1n командой
🐒 Все =)
#other_platforms, #anroid_root, #vulnerability, #checkra1n
https://www.xda-developers.com/jailbreak-apple-iphone-using-checkra1n-rooted-android-phone/
checkra1n, которая позволяет рутовать айфоны бесплатно и без смс. Использование android смартфона в этой схеме стало возможным благодаря недавно появившейся поддержке linux-а в checkra1n. Сам процесс выглядит довольно простым:⬇️ Скачать бинарник с checkra1n и закинуть его на android устройство
🔌 Присоединить айфончик и android смартфону
📲 Включить на айфоне Device Firmware Upgrade режим
💥 Запустить checkra1n командой
./checkra1n -c🐒 Все =)
#other_platforms, #anroid_root, #vulnerability, #checkra1n
https://www.xda-developers.com/jailbreak-apple-iphone-using-checkra1n-rooted-android-phone/
XDA
Your rooted Android phone can jailbreak an iPhone with checkra1n
You can now jailbreak several popular iPhones using your rooted Android smartphone, thanks to checkra1n and its recent Linux support. Check it out!
👍1
Неделя выдалась весьма скучной на интересный контент, поэтому остается только читать гугловые отчеты по закрытым в андройде дырам за март. Там, как обычно, есть все: выполнение произвольного кода в контексте привилегированного процесса (в том числе с использованием внешнего USB устройства), получение малварью дополнительных пермишенов, hardware specific баги и конечно наш любимый Media framework.
В общем если вам больше не приходят обновления на вашу ОС, то повод начать что-то с этим делать ;)
#android_security_bulletin, #android_bugs
https://source.android.com/security/bulletin/2020-03-01
В общем если вам больше не приходят обновления на вашу ОС, то повод начать что-то с этим делать ;)
#android_security_bulletin, #android_bugs
https://source.android.com/security/bulletin/2020-03-01
⚡️Пока человечество борется сами знаете с чем, компании Google удалось победить Magisk. “Эпоха ушла”, говорит его автор (сотрудник компании Apple кстати :D)
#magisk, #google, #safety_net
https://github.com/topjohnwu/Magisk/commit/612b51d48f9771a65cfab045f931573f42d3a494
#magisk, #google, #safety_net
https://github.com/topjohnwu/Magisk/commit/612b51d48f9771a65cfab045f931573f42d3a494
GitHub
Disable MagiskHide by default · topjohnwu/Magisk@612b51d
Since SafetyNet CTS is impossible to achieve, leaving MagiskHide on
by default no longer serves a purpose.
For more details regarding the latest SafetyNet changes, please check:
https://twitter.co...
by default no longer serves a purpose.
For more details regarding the latest SafetyNet changes, please check:
https://twitter.co...
Совсем забыл вам напомнить о том, что NeoQUEST-2020 в полном разгаре. Среди прочих заданий, традиционно есть наш любимый реверс android-приложений (задание №2). В этом году ребята заморочились и в APK вы встретите проверки на фриду, root, контрольную сумму и цифровую подпись. Присутствуют антиотладочные техники и кое что еще.
P.S. Кто решит, не спойлерите. Дайте потренироваться другим.
#neoquest, #ctf, #reverse_engineering
https://neoquest.ru/2020/
P.S. Кто решит, не спойлерите. Дайте потренироваться другим.
#neoquest, #ctf, #reverse_engineering
https://neoquest.ru/2020/
Хорошая, обзорная статья по современным декомпиляторам java байткода. В статье рассматриваются:
🧠 Fernflower - опенсорсный декомпилятор, на текущий момент разрабатываемый и поддерживаемый компанией JetBrains.
🤪CFR - декомпилятор, написанный, судя по всему, одним человеком, который говорит, что сделал это "for fun".
🧰Procyon - набор инструментов, относящихся к генерации и анализу кода на Java. Среди них есть и декомпилятор.
🤖jadx - компилятор, предназначенный для компиляции байткода для Dalvik, а не для JVM.
Если вы хотите получить более-менее актуальную информацию о том как обстоят дела в сфере декомпиляции байткода, то вам сюда.
#reverse_engineering #bytecode #tools
https://habr.com/en/company/solarsecurity/blog/489844/
🧠 Fernflower - опенсорсный декомпилятор, на текущий момент разрабатываемый и поддерживаемый компанией JetBrains.
🤪CFR - декомпилятор, написанный, судя по всему, одним человеком, который говорит, что сделал это "for fun".
🧰Procyon - набор инструментов, относящихся к генерации и анализу кода на Java. Среди них есть и декомпилятор.
🤖jadx - компилятор, предназначенный для компиляции байткода для Dalvik, а не для JVM.
Если вы хотите получить более-менее актуальную информацию о том как обстоят дела в сфере декомпиляции байткода, то вам сюда.
#reverse_engineering #bytecode #tools
https://habr.com/en/company/solarsecurity/blog/489844/
Habr
Сравнительный анализ некоторых Java-декомпиляторов
В этой статье будут рассмотрены четыре декомпилятора — Fernflower , CFR , Procyon и jadx — и произведено их сравнение по нескольким параметрам. Дисклеймер : сравнение неформальное и не претендует на...
Кто там переживал, что служба безопасности не дает пользоваться alpha-версиями библиотек? Теперь все ваши прблемы решены. Jetpack Security получила стаус
#jetpack_security #google #cryptography
https://developer.android.com/jetpack/androidx/releases/security#1.0.0-beta01
Beta. Правда список изменений пустой, что еще раз подтверждает то, что альфой вполне можно было пользоваться.#jetpack_security #google #cryptography
https://developer.android.com/jetpack/androidx/releases/security#1.0.0-beta01
Android Developers
Security | Jetpack | Android Developers
В современном мире стало очень много данных. И очень много людей, которые этими данными интересуются. Поэтому на плечи разработчиков приложений ложится забота о приватности данных пользователей, т.к. пользователи не всегда беспокоятся об этом сами. Но практически всегда приходят и жалуются на утечки ;)
По ссылке вы найдете туториал, который покрывает различные аспекты обеспечения приватности данных в android приложениях:
😎 Работа с разрешениями (permissions) относящимися к приватности
📸 Отключение логирования и снятия скриншотов
🧻 Очистка кэша
👆 Биометрия и шифрование
Люди искушенные в написании безопасных приложений вряд-ли найдут для себя что-то новое, но для желающих разобраться или систематизировать свои знания этот туториал подходит отлично
#4developers, #cryptography, #privacy
https://www.raywenderlich.com/6901838-data-privacy-for-android
По ссылке вы найдете туториал, который покрывает различные аспекты обеспечения приватности данных в android приложениях:
😎 Работа с разрешениями (permissions) относящимися к приватности
📸 Отключение логирования и снятия скриншотов
🧻 Очистка кэша
👆 Биометрия и шифрование
Люди искушенные в написании безопасных приложений вряд-ли найдут для себя что-то новое, но для желающих разобраться или систематизировать свои знания этот туториал подходит отлично
#4developers, #cryptography, #privacy
https://www.raywenderlich.com/6901838-data-privacy-for-android
kodeco.com
Data Privacy for Android
In this data privacy tutorial for Android with Kotlin, you’ll learn how to protect users’ data.
Вышла в релиз довольно удобная веб-панелька для работы с java классами и методами в рантайме. Можно хукать методы, смотреть их аргументы и значения, что помогает лучше понять поток выполнения приложения. Построена на базе Frida и требует установки Frida сервера на устройстве.
Пока все работает не так хорошо, как хотелось бы, но задумка отличная.
#reverse_engineering #frida
https://github.com/m0bilesecurity/RMS-Runtime-Mobile-Security
Пока все работает не так хорошо, как хотелось бы, но задумка отличная.
#reverse_engineering #frida
https://github.com/m0bilesecurity/RMS-Runtime-Mobile-Security
GitHub
GitHub - m0bilesecurity/RMS-Runtime-Mobile-Security: Runtime Mobile Security (RMS) 📱🔥 - is a powerful web interface that helps…
Runtime Mobile Security (RMS) 📱🔥 - is a powerful web interface that helps you to manipulate Android and iOS Apps at Runtime - m0bilesecurity/RMS-Runtime-Mobile-Security
Вы всегда хотели русскоговоряющую шпаргалку по Smali? Теперь она есть. Ставим звездочки, предлагаем правки.
#4developers, #reverse_engineering, #smali
https://habr.com/en/post/495024/
#4developers, #reverse_engineering, #smali
https://habr.com/en/post/495024/
Habr
Шпаргалка по Smali на русском
Русская шпаргалка по Smali Приветствую, любители реверс-инжинирить Android. Перед вами шпаргалка по Smali — аналогу ассемблера для Android-приложений. Изначальный текст на русском взят отсюда. Там...
Нашел сайт, куда выкладывают записи конференций по безопасности. Контента очень много и он регулярно обновляется. Проведите ближайший месяц с пользой 🦠
#conference
https://infocon.org/cons/
#conference
https://infocon.org/cons/
infocon.org
InfoCon.org is an archive of hacking and security conference videos, documentaries, rainbow tables, word lists and podcasts.
Многие уже слышали историю про “Социальный мониторинг”. Наткнулся на хабропост где разбираются основные проблемы. Если кто-то еще не вкурсе, то это отличный повод узнать что же произошло.
#reverse_engineering
https://habr.com/en/post/495606/
#reverse_engineering
https://habr.com/en/post/495606/
Хабр
«Социальный мониторинг». Счёт 1:0 в нашу пользу
Введение Приложение вышло → увидели тихий ужас → начали писать отрицательные отзывы → разобрали по полочкам → приложение удалили (отправили на доработку). Всем...
Самоизоляция продолжается, а вместе с ней нарастает скука. Чтобы как-то вас развлечь, я хочу предложить решить crackme начального уровня. Закаленным в боях реверсерам и ctf-ерам он может показаться скучным, но кто знает, может и для вас найдется над чем подумать.
Задача: у вас есть apk файл crackme1.apk (контрольная сумма: 93baa133485e8d1fb069effd4528c0a4b2acef69), который содержит 5 ключей. Нужно их найти. Проверить правильность ключа можно у бота: @android_guards_crackme_bot
Если история зайдет, то сделаю crackme посложнее. Всем хороших выходных! 😉
#reverse_engineering, #just4fun
Задача: у вас есть apk файл crackme1.apk (контрольная сумма: 93baa133485e8d1fb069effd4528c0a4b2acef69), который содержит 5 ключей. Нужно их найти. Проверить правильность ключа можно у бота: @android_guards_crackme_bot
Если история зайдет, то сделаю crackme посложнее. Всем хороших выходных! 😉
#reverse_engineering, #just4fun
Если вы еще не забыли (а я забыл), то в Goolge Pixel 3 и Pixel 3 XL появились отдельные security чипы "Titan M". Вместе с ними появилось такое понятие как
#strongbox, #cryptography, #pixel
https://proandroiddev.com/android-keystore-what-is-the-difference-between-strongbox-and-hardware-backed-keys-4c276ea78fd0
StrongBox KeyStore APIs, которое обещает хранить наши ключи "в железе". Наткнулся на старую, но все еще актуальную статью, которая объясняет разницу между тем как ключи хранили "в железе" раньше (23+) и как они хранятся сейчас (28+).#strongbox, #cryptography, #pixel
https://proandroiddev.com/android-keystore-what-is-the-difference-between-strongbox-and-hardware-backed-keys-4c276ea78fd0
Medium
Android KeyStore: what is the difference between “StrongBox” and “hardware-backed” keys?
Together with the announcement of the Pixel 3 and 3 XL phones came a bunch of other announcements, one of them being the “Titan” security…
Статья от ребят из
🏝 В отличие от WebView, CCT запускает себя (а значит и JavaScript) в своем собественном процессе
🔐 CCT отображает адрес посещаемого сайта и "замочек" безопасного (или нет) соединения
Но ничего не дается бесплатно и проблемы с использованием CCT тоже есть. В статье написано с чем ребята столкнулись и как эти проблемы решали.
#4developers, #webview, #chrome_custom_tabs
https://blog.plaid.com/securing-webviews-with-chrome-custom-tabs/
Plaid где они рассказывают почему использовать Chrome Custom Tabs гораздо безопаснее чем WebView. А ведь и правда, почему?🏝 В отличие от WebView, CCT запускает себя (а значит и JavaScript) в своем собественном процессе
🔐 CCT отображает адрес посещаемого сайта и "замочек" безопасного (или нет) соединения
Но ничего не дается бесплатно и проблемы с использованием CCT тоже есть. В статье написано с чем ребята столкнулись и как эти проблемы решали.
#4developers, #webview, #chrome_custom_tabs
https://blog.plaid.com/securing-webviews-with-chrome-custom-tabs/
Plaid
Securing WebViews with Chrome Custom Tabs | Plaid
Plaid empowers innovators in the fintech space by providing them with access to
financial data via a uniform API. In order to help end users connect their
...
financial data via a uniform API. In order to help end users connect their
...