Попробуем провести небольшой интерактив. Если зайдет, то буду периодически такое закидывать.

Какие вы видите проблемы в этом коде? Чем подробнее ответ, тем лучше. Ответы пишите в комментариях к этому сообщению.

#puzzles

Давайте немного разбавим технические посты чем-то менее техническим. Широко известный в узких кругах лысый из JetBrains Егор Толстой проводит свой ежегодный опрос для исследования сообществ и команд Android разработки в России. Если вы такое любите, то поучаствуйте в его опросе. А если увидите там название этого канала, то вы знаете что делать 😉

Периодически в чате возникают вопросы о том, какой же девайс себе купить для тестов. Вариантов много и за разные деньги. Я люблю референсные устройства от Google, т.к. с ними меньше всего проблем. Но трудности не пугают настоящего самурая и люди покупают себе всякое странное, а потом долго пытаются привести это устройство в кондиционное для проведения тестов состояние. Одно из таких устройств недавно попало мне в руки и мне нужно было получить на нем root права. Процесс оказался нетривиальным и я задокументировал его для будущих поколений. Плюс теперь есть еще одно устройство для осуществления захеков =)

https://fi5t.xyz/posts/oppo-a16-easy-root/

Я уже писал про розыгрыш билетов на OFFZone и надеюсь, что кто-то из вас их даже получил. После продажи билетов, по закону жанра, нужно наполнить конференцию интересным контентом. Да-да, не наоборот! =) Организаторы AppSec зоны принимают заявки на доклады и если вам не удалось выиграть билет, то есть еще один шанс посетить конференцию бесплатно ;) О чем можно рассказать:
- безопасная разработка всех форм и размеров
- инструменты для и против апсека
- новые уязвимости и переосознание старых
- можно даже затереть про DevOps или CTF в банке (Не взлом банка, а CTF! Главное не перепутать!)

На самом деле, если вам просто хочется сходить на конференцию бесплатно выступить с хорошим докладом, то смело пишите свои идеи организаторам. Может именно ваш доклад окажется наиболее интересным в AppSec зоне.

Связаться с организаторами можно через сайт, почту appsec@offzone.moscow или написать @Mr_R1p.

Я сейчас занимаюсь интересным исследованием, если доведу его до ума, то ближе к зиме смогу рассказать. Но это пока секрет👨‍🔬 А у вас есть какие-нибудь интересные исследования? Или может есть забавные истории про найденные вами уязвимости или "отчет по реверсу одного стиллера"? ;) Все это конечно можно отправить на OFFZone, но я всегда за опции, поэтому если выступать на большой конференции по какой-то причине вам не хочется, то можно выступить на митапе Standoff Talks, который пройдет 23 августа. Там сейчас формируется программа и осталось всего 5 дней до окончания приема заявок. Форму найдете тут: https://cfp.standoff365.com/. Говорят, что там будут кормить. Но я бы сильно не расчитывал :D

Столкнулся с интересной проблемой при настройке нового окружения. При переносе сертификатов в системные, новый Chrome начинается ругаться на Certificate Transparency и никакого трафика из браузера не отображается в бурпе. Вылечить можно так:

UPD: Пункты 3 и 4 более неактуальны. Автор исправил билд. Забрать можно здесь.

1. Удалить модуль Move Certificates из Magisk и перезагрузиться. После этого добавленный ранее сертификат должен пропасть из системных
2. Получить из бурпа новый сертификат и установить его как описано в шаге №6 этого гайда
3. Скачать master ветку этого репозитория. Там будет версия 2.0
4. Теперь архив нужно перепаковать так, чтобы в корне оказались файлы module.prop, install.sh и т.д. Например так: unzip movecert-master.zip && cd movecert-master && zip -r ../movecert2.0.zip * && cd - && rm -fr movecert-master
5. Закинуть получившийся архив на девайс: adb push movecert2.0.zip /sdcard/Dowload и установить через меню модулей (Install from storage)
6. В настройках Magisk включить Zygisk и Enforce DenyList если они отключены
7. Зайти в Configure DenyList и в настройках (правый верхний угол) установить галку Show system apps
8. Найти в списке Chrome и отметить его галочкой
9. Перезагрузиться и убедиться, что новый сертификат отображается как в системных, так и в пользовательских

Теперь все должно работать. Чуть больше подробностей (в т.ч. откуда взялся левый репозиторий с расширением) можно найти здесь.

Один скриншот вместо тысячи слов. Жаль нет smali, но все равно выглядит довольно полезно. Там не только Kotlin и Java. Обязательно поиграйтесь. https://godbolt.org/

Про это не написал только ленивый, поэтому буду краток. На https://bugbounty.standoff365.com появилась куча новых программ. Из интересного: мобильные приложения от VK, Mail, Одноклассники и несколько веб-сервисов, которые я никогда не видел. Есть шанс, что их не видел не только я, а значит там могут быть баги и надо их искать. За RCE в "одноклассниках" обещают "ладу гранту" в базовой комплектации, а за то же самое в VK - уже вполне себе солярис и еще на подогрев сидений останется. Happy hacking 😎

Хороший гайд по реверсу приложений на Flutter. Я бы сказал - лучший из тех, что я видел до этого. Показано очень много аспектов проведения исследования и все это собрано в последовательное повествование. Тем не менее, на мой вкус, все еще очень много ручной работы там где можно было автоматизировать процесс. Но это скорее идеи на будущее. А ребята из SPbCTF молодцы!

Кто-то еще помнит про существование Android Auto? Я думал проект умер или находится в состоянии гибернации, но похоже что я ошибался. С этой балалайкой выпускают автомобили и я предлагаю вам почитать отличную историю про взлом такого автомобиля. В ней есть все, что мы любим: магичские пасы руками для доступа в инженерное меню, брутфорс паролей, захардкоженные ключи шифрования и даже IDAPro.

UPD: Внимательный читатель (не я) сразу заметил плашку "перевод", а прочитав комментарии понял, что существует вторая и третья часть.

Большая статья про reFlutter от его создателя. Архитектура решения и примеры использования. Чтиво не будет легким, но однозначно рекомендую ознакомиться.

Статья о том, как не эксплуатируемый баг превратить в эксплуатируемый, да еще и 0 click. И не где-нибудь, а в великом и ужасном (если смотреть в исходный код) Telegram-е.

tl;dr обход Uri фильтра и использование недостатков ChooserTargetService

https://dphoeniixx.medium.com/chaining-telegram-bugs-to-steal-session-related-files-c90eac4749bd

Если у вас не виден трафик в Burp Suite и при этом приложение долго висит при отправке запроса, то попробуйте снять эту галочку. Это может помочь.
#lifehack

Всем любителям строить "самые лучшие защиты" для своих приложений посвящается. В докладе подробно рассказывается как устроен современный SafetyNet. Если любите технические кишки, то вам сюда.

Свежий доклад по основам RE и пересборке Android приложений с VolgaCTF 2022. Контент для начинающих исследователей и для тех, кто хочет накидать себе в чемодан новых навыков.

Замечательная уязвимость, которая напоминает простую истину: используй все доступные возможности. Хакеру удалось обойти экран блокировки на Pixel 6 с помощью замены SIM карты на свою с ее последующей блокировкой и разблокировкой через PUK код. Выглядит довольно элегантно и совершенно точно нужно проверять эту возможность на других устройствах.

Google заплатил за нее 70 килобаксов так-то 🤑

Давайте поговорим про исследование приложений на ReactNative? Чтобы задать тон дискуссии я написал небольшую заметку о моих подходах к вопросу и буду рад послушать про ваш опыт. Как положительный так и отрицательный.

Канал достиг элитного числа подписчиков =) Знаю-знаю, что сейчас кто-нибудь обязательно отпишется или придет, но число зафиксировано ;)

Хочу поблагодарить всех, кто активно участвует в жизни сообщества - отвечает на вопросы, помогает новичкам и репортит про прорывы периметра ботами предлагающими увеличить ваше материальное благосостояние 😎 Напомню, что если у вас есть какие-нибудь интересные идеи, которые сделают нашу маленькую тусовочку еще интереснее, то пишите мне. Рассмотрим, обсудим, а может и реализуем что-нибудь.

Хороших выходных!

Я вам уже рассказывал про DataStore и даже набросал концепт того, как могло бы выглядеть шифрование этого хранилища, потому что Google не предоставил такую возможность из коробки. С тех пор прошло два года и ничего не изменилось. Встроенного шифрования так и нет. Это заставляет разработчиков городить свои велосипеды, которые я иногда наблюдаю в приложениях. Но если вы хотите просто шифровать данные и не хотите велосипедов, то можно воспользоваться библиотекой, которую разработал и поддерживает мой бывший коллега. Недавно он туда завез поддержку StreamingAead и облагородил документацию.

А если вы сможете найти в этой библиотеке уязвимость, то вам дадут денег заведите пожалуйста issue на github.

⚡️Государству F снова угрожают хакеры, и их атаки становятся все более изощренными. Что им удастся взломать на этот раз?

Да-да, нас опять ждет осенний Standoff. Вместе с кибербитвой будет проходить митап, который можно смотреть онлайн. А в 14:00, в секции "Безопасность или паранойя? Разбираем клиентскую часть мобильных приложений" - я и небезызвестный @Mr_R1p обсудим темные стороны безопасности мобильных приложений.

Кроме этого выступления, обязательно обратите внимание на доклады "OAuth 2.0 и как его разламывать" и "37 слайдов про багбаунти".

Присоединяйтесь, трансляция начинается в 10:00 MSK.

Если вы пропустили трансляцию нашего с @Mr_R1p выступления, то ее уже можно посмотреть на YouTube. Получилось скорее развлекательно чем технически, поэтому можете также показать это выступление вашему менеджеру ;)