Какое время, такие и конкурсы 🤕 Разработчики не пожелали получить, проходку, поэтому обе две уходят хакерам. В результате напряженных обсуждений всем составом жюри в моей голове, из двух участников было выбрано два победителя: @qasimis и @iamwii2. С чем вас и поздравляю 🫡 Чуть позже приду в личку за информацией для оформления проходок. На PHD у нас будет мобильный стенд, так что приходите развиртуализироваться и потрындеть за уязвимости.
👍10❤3
Команда анализа мобильных приложений компании Positive Technologies подготовила пару активностей на предстоящем Positive Hack Days.
1. Уже ставший традиционным конкурс Snatch, который в прошлом году обзавелся мобильным приложением. В мобильной части этого конкурса вы получаете приложение с уязвимостями, которые мы в том или ином виде встречали в дикой природе сами. Вам нужно будет эти уязвимости найти, отправить по ним отчеты и получить внутреннюю валюту и мерч. Задача предельно простая 😎
2. Для тех, кто еще не чувствует в себе достаточное количество мидихлорианов чтобы грузить приложение в jadx и разматывать уязвимости - смогут принять участие в викторине. Там нужно будет ответить на несколько несложных вопросов и получить охапку внутренней валюты, которую можно будет обменять на мерч (а может быть что-то еще).
Вся дополнительная информация по конкурсам и ссылки появятся сразу после старта. Следите за анонсами здесь или в любых других чатах/каналах где будут рассказывать про активности на PHD.
Ну а если вам все это тяжело или скучно и хочется прийти пообщаться про безопасность мобилок, то всех рады будем видеть. Я буду эпизодически появляться на этом стенде, так что все желающие развиртуализироваться ловите меня там. До встречи!
1. Уже ставший традиционным конкурс Snatch, который в прошлом году обзавелся мобильным приложением. В мобильной части этого конкурса вы получаете приложение с уязвимостями, которые мы в том или ином виде встречали в дикой природе сами. Вам нужно будет эти уязвимости найти, отправить по ним отчеты и получить внутреннюю валюту и мерч. Задача предельно простая 😎
2. Для тех, кто еще не чувствует в себе достаточное количество мидихлорианов чтобы грузить приложение в jadx и разматывать уязвимости - смогут принять участие в викторине. Там нужно будет ответить на несколько несложных вопросов и получить охапку внутренней валюты, которую можно будет обменять на мерч (а может быть что-то еще).
Вся дополнительная информация по конкурсам и ссылки появятся сразу после старта. Следите за анонсами здесь или в любых других чатах/каналах где будут рассказывать про активности на PHD.
Ну а если вам все это тяжело или скучно и хочется прийти пообщаться про безопасность мобилок, то всех рады будем видеть. Я буду эпизодически появляться на этом стенде, так что все желающие развиртуализироваться ловите меня там. До встречи!
🔥10❤1
В свежем бюллетене безопасности Android есть неприметная CVE-шка c традиционно мутным описанием и не менее мутным патчем. Зачем гугл так делает - загадка. Но хорошо, что есть не только "не прекрасный" гугл, но еще и нормальные исследователи которые это нашли, зарепортили и сделали очень подробный разбор.
Суть проблемы: имея разрешение
Да, разрешение не самое простое, но во-первых его имеет
#cve
Суть проблемы: имея разрешение
WRITE_SECURE_SETTINGS можно выполнять код от имени любого приложения в системе. Да, разрешение не самое простое, но во-первых его имеет
adb, а во-вторых устройства и сценарии бывают разные. Поэтому однозначно рекомендую ознакомиться с разбором.#cve
Meta Red Team X
Becoming any Android app via Zygote command injection
We have discovered a vulnerability in Android that allows an attacker with the WRITE_SECURE_SETTINGS permission, which is held by the ADB shell and certain privileged apps, to execute arbitrary code as any app on a device. By doing so, they can read and write…
Попался мне тут свежий репорт по уязвимости в одном известном продукте 🌚 Старый добрый path traversal с перезаписью файла.
Стоит сказать, что приложение написано довольно свежо и современно. Это не какая-то поделка времен Android 4.0.1. Kotlin, Single activity, Compose, архитектура(!). Все по взрослому 🙃 Но идеальных систем не бывает и ошибки случаются. Никогда об этом не забывайте, и не опускайте руки. Даже если вам кажется, что "в приложении багов нет", это означает ровно одно — вы уделили недостаточно времени анализу.
Обязательно попробуйте найти что-нибудь в этом приложении. Там есть много интересных мест 😉
Стоит сказать, что приложение написано довольно свежо и современно. Это не какая-то поделка времен Android 4.0.1. Kotlin, Single activity, Compose, архитектура(!). Все по взрослому 🙃 Но идеальных систем не бывает и ошибки случаются. Никогда об этом не забывайте, и не опускайте руки. Даже если вам кажется, что "в приложении багов нет", это означает ровно одно — вы уделили недостаточно времени анализу.
Обязательно попробуйте найти что-нибудь в этом приложении. Там есть много интересных мест 😉
GitHub
Malicious App Can Write/Delete Arbitrary Files in App Internal Storage · Issue #877 · flipperdevices/Flipper-Android-App
Describe the bug There is a security issue in the way how the app handles shared files via a android.intent.action.SEND intent. The DeepLinkFileUriCopy.kt class trusts an attacker controlled filena...
👍11❤5🔥2
Любите разборы уязвимостей в мобильных приложениях? Принес вам немного. Если нравится такой формат, то дайте знать. Напишите чего хватило/не хватило.
🔥19👍8
⛔️ UPD: По ряду причин было решено отложить эту активность до следующего PHD и не проводить ее на ИТ-Пикнике. Все откликнувшиеся не удаляйтесь. Ближе к PHD свяжусь с вами чтобы понять осталось еще желание прийти побеседовать или нет.
⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯
Некоторое время назад мне хотелось провести на канале полу-шутливую активность под названием "публичное собеседование". Потом, как обычно, закончилось время и идею я отложил. Сейчас решил ее реанимировать уже в более "взрослом" виде. Вот как это будет выглядеть: 17-го августа, в рамках фестиваля ИТ-Пикник, при поддержке ребят из Positive Hack Media, я хочу провести пару 10-ти минутных собеседований на условную позицию "хакер мобильных приложений". От меня - смешные и не очень вопросы по безопасности мобилок, от вас - желание получитьмерч и должность прийти на это мероприятие ногами и поддержать беседу. Все это великолепие будет транслироваться на канале Positive Hack Media. Кто хорошо пройдет собес - получит проходку на настоящее собеседование в нашу команду анализа мобильных приложений 😎 А проходку на ИТ-Пикник вы получаете в любом случае. Оставляйте заявки в комментариях под этим постом - просто сообщение
⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯
Некоторое время назад мне хотелось провести на канале полу-шутливую активность под названием "публичное собеседование". Потом, как обычно, закончилось время и идею я отложил. Сейчас решил ее реанимировать уже в более "взрослом" виде. Вот как это будет выглядеть: 17-го августа, в рамках фестиваля ИТ-Пикник, при поддержке ребят из Positive Hack Media, я хочу провести пару 10-ти минутных собеседований на условную позицию "хакер мобильных приложений". От меня - смешные и не очень вопросы по безопасности мобилок, от вас - желание получить
Я готов. Если кандидатов будет много, то подумаю как провести отбор.👍5🔥3👌1
Наконец-то началась работа над важным артефактом, который, как я верю, выведет уязвимости в мобильных приложениях из полумаргинального состояния и никому больше не надо будет сидеть и мучительно думать "а на что это вообще похоже? хss или уже csrf? а может это вообще не уязвимость?". Авторам документа не позавидуешь, потому что задача сложная, но когда она будет решена, можно будет смело вешать MASWE идентификаторы на отчеты и прекратить эти бесконечные споры слепого с глухим на тему опасности уязвимости и всего остального. Красота же, ну!
🔥33
От лета осталось совсем чуть-чуть и скоро в школу... Кхм.. К чему это я собственно - 18 августа стартует новый поток стажировки PT Start. Я как-то рассказывал уже про интенсив от нашей команды занимающейся мобильными приложениями. Тогда студентам было рассказано про три интересные уязвимости и предложены не самые простые задания. В целом, стажировка направлена на то, чтобы довести выпускника IT или ИБ специальности до "кондиционного состояния" и дать базовые навыки и понятия необходимые для работы. Для тех, кто пройдет стажировку успешно, будет возможность присоединиться к какой-то из команд Positive Technologies. В том числе к команде анализа мобильных приложений. Нам нужна свежая кровь и светлые головы 😐
Ах да, стажировка оплачиваемая. Желаю удачи в прохождении отбора.
Ах да, стажировка оплачиваемая. Желаю удачи в прохождении отбора.
Please open Telegram to view this post
VIEW IN TELEGRAM
Ptsecurity
PT Start
стажировка для начинающих IT-специалистов
👍3🐳1
Опять Android, опять навигация. Я уже рассказывал вам про интересную технику эксплуатации уязвимости в библиотеке Jetpack Navigation, которую обнаружил мой коллега. Кто не читал, обязательно ознакомьтесь. В той статье шла речь про навигацию для приложений использующих фрагменты. Но проблема не только в них. Поэтому я решил посмотреть что там с расширением для Jetpack Compose и оказалось, что там все еще веселее. Техники эксплуатации этой уязвимости даже более простые, чем в предыдущем варианте. Исследование вышло в двух вариантах:
1. На английском языке в блоге PT SWARM
2. На русском языке в моем личном блоге
Надеюсь вам понравится.
1. На английском языке в блоге PT SWARM
2. На русском языке в моем личном блоге
Надеюсь вам понравится.
3🔥41👍4✍1
По предварительным данным, ребятки из Google таки пофиксили "не уязвимость" cвязанную с неявными диплинками, о которой я рассказывал ранее. Упоминаний естественно никаких. Да и вобщем-то зачем им это надо =) Но то, что они произнесли слово "уязвимость" уже неплохо.
Для разработчиков: Обновляйтесь на версию 2.8.1+
Для хакеров: есть варианты поискать байпасс в личную копилочку ;)
Для разработчиков: Обновляйтесь на версию 2.8.1+
Для хакеров: есть варианты поискать байпасс в личную копилочку ;)
🔥23🤔2👍1👌1
После долгих раздумий решил все же выложить свой старый, но не потерявший актуальности RFC на тему серверной реализации аутентификации по пин-коду. Эта тема будет интересна тем, кто хочет уйти от локальной реализации (что почти всегда плохо) и сделать серверную.
Вряд-ли описанный мной подход подойдет всем, но если интересуетесь темой, то думаю найдете в нем что-то интересное для себя.
Вряд-ли описанный мной подход подойдет всем, но если интересуетесь темой, то думаю найдете в нем что-то интересное для себя.
👍14🔥7❤1🍓1
...Either way, I learned some new things, which is nice :^)
Thanks for tuning in, and see you in the next attempt.
Очень часто мои попытки разбора уязвимостей в Android заканчиваются также как у автора статьи с разбором CVE-2020-0238. Даже ощущения те же. И начинается все всегда одинаково - сначала в бюллетени безопасности находится интересный с виду баг уровня High/EoP, потом совершается акт медитации над странным с виду фиксом который был сделан и в итоге становится совершенно не понятно как при таком количестве условий эксплуатации это вообще может быть High, где тут EoP, и как это вообще попалю в бюллетень. Т.е. практическая ценность тут ровно одна - чуть больше узнать про механизмы ОС. Ну и попытаться получить хоть немного удовольствия (сомнительно...). А статью обязательно прочитайте, разборы CVE из Android с нормальными PoC-ами выходят нечасто.
Thanks for tuning in, and see you in the next attempt.
Очень часто мои попытки разбора уязвимостей в Android заканчиваются также как у автора статьи с разбором CVE-2020-0238. Даже ощущения те же. И начинается все всегда одинаково - сначала в бюллетени безопасности находится интересный с виду баг уровня High/EoP, потом совершается акт медитации над странным с виду фиксом который был сделан и в итоге становится совершенно не понятно как при таком количестве условий эксплуатации это вообще может быть High, где тут EoP, и как это вообще попалю в бюллетень. Т.е. практическая ценность тут ровно одна - чуть больше узнать про механизмы ОС. Ну и попытаться получить хоть немного удовольствия (сомнительно...). А статью обязательно прочитайте, разборы CVE из Android с нормальными PoC-ами выходят нечасто.
🤝12❤4👍1
Вот и закончился 2024-й год. Много было сделано, но явно не все что хотелось. А значит будет перенесено техдолгом на следующий год =) Частью вещей, которые я встретил в этом году, мне даже захотелось поделиться. Настолько было всего много.
Также в будущем году наш уютный чатик ждут некоторые изменения, которые надеюсь положительно скажутся на внутренней атмосфере. Впрочем время покажет.
С Новым Годом!🧑💻
Также в будущем году наш уютный чатик ждут некоторые изменения, которые надеюсь положительно скажутся на внутренней атмосфере. Впрочем время покажет.
С Новым Годом!
Please open Telegram to view this post
VIEW IN TELEGRAM
(не)Уникальный опыт
Этот все, несите следующего
(не только)Мобильные итоги года
🎉30❤2🥱1
Приближается очередной Positive Hack Days, где мы с командой опять готовим много интересного. Но "много" нам показалось мало и хочется сделать что-нибудь еще. Покидайте в комментарии к этому сообщению какую движуху вы хотели бы видеть на мобильном стенде. Может быть вам интересно прийти пособирать электронный конструктор для детей младшего школьного возраста или потапать хомяка =) В общем любые идеи в рамках разумного и в границах действующего законодательства 🌚
🔥12🤡3💩1🖕1
Необычный CrackMe от одного из участников нашего сообщества - @n13625124998637487500.
Задача: изменить строку "Hello world!" на свою и пересобрать приложение. Изменить нужно именно путем патча apk файла. Без использования DBI фреймворков. Кто справится, думаю можно через несколько дней писать в комментариях к этому сообщению как действовали. Ну или кидайте ссылку на свой райтап.
Удачи 🌚
Задача: изменить строку "Hello world!" на свою и пересобрать приложение. Изменить нужно именно путем патча apk файла. Без использования DBI фреймворков. Кто справится, думаю можно через несколько дней писать в комментариях к этому сообщению как действовали. Ну или кидайте ссылку на свой райтап.
Удачи 🌚
👍16🔥4👎3👏1
Стартанули продажи билетов на PHDays Fest 2025. Цена смешная — 1500 рублей, за которую вы получаете доступ ко всем зонам конференции, в том числе к нашему маленькому, но гордому стенду, посвященному безопасности мобилок. Как я писал ранее, мы готовим несколько конкурсов. Будет наша традиционная имитация крупного банка, конкурс на обход биометрии смартфона и, если успеем, кое-что еще для серьезных реверсеров:)
🔥23❤1
review.pdf
1.2 MB
Совершенно случайно для себя создал артефакт, который подсвечивает устаревшую или изменившуюся информацию в книге
Немного легенды к этому артефакту:
- Если выделена вся глава, то там много чего поменялось в разных разделах, но я не помню точно в каких
- Если глава вообще отсутствует, то либо там ничего не менялось (как в Selinux) либо я не помню точно менялось ли что-то (как в NFC).
Естественно это все просто частное мнение, и я буду вам очень благодарен если вы в комментариях напишете каких-то конструктивных дополнений, а то и ссылок на эту тему.
Android Security Internals. В документе я отметил главы, на которые стоит обратить пристальное внимание при прочтении и перепроверить информацию из них.Немного легенды к этому артефакту:
- Если выделена вся глава, то там много чего поменялось в разных разделах, но я не помню точно в каких
- Если глава вообще отсутствует, то либо там ничего не менялось (как в Selinux) либо я не помню точно менялось ли что-то (как в NFC).
Естественно это все просто частное мнение, и я буду вам очень благодарен если вы в комментариях напишете каких-то конструктивных дополнений, а то и ссылок на эту тему.
🔥16👍2
У нас почти сформировался пул тех уязвимостей, которые мы хотели бы предложить вам поискать в формате конкурса на мобильном стенде на Positive Hack Days. Поскольку одним из основных лейтмотивов фестиваля в этом году будет reverse engineering, то мы тоже не остались в стороне от этой идеи. Реверса будет много. Настоящего, все как вы любите. Без флагов. Только реальные уязвимости в различных механизмах мобильных приложений.
Кроме этого, на фестивале впервые будет отдельный трек по девайсам и технологиям. В рамках этого трека можно будет заслушать доклады про основные риски бытовой электроники, ИИ-агенты в киберразведке или про то как создать игровой движок на WASM.
В целом, продолжая тему девайсов, технологий и реверса, могу рассказать еще про несколько конкурсов в зоне Киберхаба:
- взлом робокафе
- перехват управления роборукой
- задачки по социалке и машинному обучению
Ну а для желающих хотя бы в эти дни не работать, будут всякие лайтовые ивенты типа детских квестов и аллея стажировок с ведущими вузами страны: МГУ, ВШЭ, МГТУ им. Баумана, ИТМО и др.
Кроме этого, на фестивале впервые будет отдельный трек по девайсам и технологиям. В рамках этого трека можно будет заслушать доклады про основные риски бытовой электроники, ИИ-агенты в киберразведке или про то как создать игровой движок на WASM.
В целом, продолжая тему девайсов, технологий и реверса, могу рассказать еще про несколько конкурсов в зоне Киберхаба:
- взлом робокафе
- перехват управления роборукой
- задачки по социалке и машинному обучению
Ну а для желающих хотя бы в эти дни не работать, будут всякие лайтовые ивенты типа детских квестов и аллея стажировок с ведущими вузами страны: МГУ, ВШЭ, МГТУ им. Баумана, ИТМО и др.
🔥26👍3❤2