Исследователи компании CheckPoint обнаружили новое семейство clicker-малвари в Google Play: Haken.

#malware, #google_play, #reverse_engineering

https://research.checkpoint.com/2020/android-app-fraud-haken-clicker-and-joker-premium-dialer/

Начиная с Android 11 разработчикам становится доступна весьма интересная функциональность: Безопасное хранение и шаринг blob-ов между приложениями. Google говорит, что это идеальный механизм для обмена ML моделями между приложениями, но мне кажется, что это в целом очень полезная штука для экосистем приложений. Что хочу отметить особо:

🧐 API весьма "церемониальный", впрочем как и любой Google-овый;

🧊Информация отправленная в такое хранилище в рамках сессии (подробнее по ссылке) "запечатывается" и становится недоступной для изменения;

🤔Есть 3 ваарианта доступа к blob-ам: whitelist по имени пакета, приложения подписанные одинаковыми сертификатами, доступ кому попало;

#android11, #4developers

https://developer.android.com/reference/android/app/blob/BlobStoreManager

Эксперты из компании Malwarebytes предложили новый способ удаления трояна xHelper без полной перепрошивки устройства.

Для того чтобы пережить удаление инфицированного приложения, xHelper устанавливает себя как отдельную службу и продолжает работать. Удаление службы, кстати, тоже не помогает. Как и сброс к заводским настройкам. Эксперты считают, что xHelper каким-то образом эксплуатирует процесс внутри Google Play Store для инициализации переустановки.

#xhelper, #malware, #google_play

Оригинальный пост (https://blog.malwarebytes.com/android/2020/02/new-variant-of-android-trojan-xhelper-reinfects-with-help-from-google-play/)

Адаптированная версия от ребят из Х (спасибо им за все!) (https://xakep.ru/2020/02/18/xhelper-del/)

В очередной раз отличилась компания Samsung. Ребята из Google Project Zero обнаружили, что в модели Samsung Galaxy A50 (и вероятно не только) производитель модифицировал часть ядра отвечающую за аутентификацию процессов. Изменение с одной стороны позитивное, оно позволяет сверять цифровую подпись при запуске приложений и системных служб. Но в GPZ не зря едят свой хлеб и конечно же все сломали ;)

P.S. За новость спасибо ребятам из Kaspersky Lab

#google_project_zero, #samsung, #bug

https://googleprojectzero.blogspot.com/2020/02/mitigations-are-attack-surface-too.html

Google наконец-то расчехлился на официальный гайд по шифрованию данных с помощью Jetpack Security. Мы получили более-менее разумное описание с интересными подробностями. В частности показано как связать это с BiometricPrompt. А еще стало известно "официальное" сокращение названия этой библиотеки - JetSec. Это сделает нашу жизнь в два раза лучше ;) В конце статьи есть ссылка на исходники приложения, которое показывает как пользоваться шифрованием файлов c помощью Jetpack Security.

#jetpack_security, #google, #4developers, #cryptography

https://medium.com/androiddevelopers/data-encryption-on-android-with-jetpack-security-e4cb0b2d2a9

Небольшой гайд о том, что делать после распаковки Android-приложения. Подойдет начинающим реверсерам и тем, кто хочет "вкатиться в тему". Рассказывают о том, что вообще искать и показывают некоторые типовые приемы. Все красиво и с картинками.

#reverse_engineering, #guide, #jadx

https://www.nowsecure.com/blog/2020/02/26/what-to-look-for-when-reverse-engineering-android-apps/

Google прдолжает радовать нас отличными статьями по разным аспектам безопасной разработки. На этот раз мы получили довольно объемную статью про то, как правильно использовать CryptoObject в BiometricPrompt. В статье разбираются всякие подкапотные аспекты биометрической системы Android и даются свежие примеры того как с этим работать (ну наконец-то...). Если вы до сих пор не решились это прочитать, то вот что вы можете узнать из этой статьи:

🧐 разницу между криптографической и биометрической системой Android

⚔️ как защитить ваши данные с помощью биометрии

👫 как объединить две этих системы с помощью CryptoObject и достигнуть высочайшего уровня безопасности :D

🗝 как использовать setUserAuthenticationRequired(true) при определении вашего SecretKey для блокировки ключа с помощью привязки к аутентификации

📤 как передать ваш шифр в CryptoObject во время аутентификации чтобы разблокировать секретный ключ

Ну и конечно же Google подготовил вполне юзабельный пример c которым можно поиграть.

#biometric_prompt, #google, #4developers, #cryptography

https://medium.com/androiddevelopers/using-biometricprompt-with-cryptoobject-how-and-why-aace500ccdb7

Если всегда хотелось разобраться в криптографии, но размер книги "Прикладная криптография" пугал, а борода Брюса Шнайера наводила тоску, то у меня есть для вас решение. Книга по криптографии, которая написана довольно простым языком и ориентирована на разработчиков любых возрастов и уровней развития. Повествование начинается от XOR-а и завершается элиптическими кривыми и атаками по сторонним каналам (side-channel attacks). Вот список тем в которых вы однозначно разберетесь к концу книги:

🧱 Блочные шифры
😭 Потоковые шифры
🤝 Обмен ключами
🔑 Шифрование с применением открытых ключей
#️⃣ Хэш функции
🧧 Коды аутентификация сообщений
🔏 Алгоритмы цифровой подписи
🧬 Функции генерации ключевого материала
🔮 Генераторы (псевдо)случайных чисел
🔐 SSL и TLS
📧 OpenPGP и GPG
👩‍❤️‍💋‍👨 Протокол OTR

#cryptography, #4developers

Наткнулся на интересную статью, в которой поднимается вопрос защиты приложения от пересборки с левым сертификатом. Все мы с вами знаем эту стандартную проверку сертификата через getPackageInfo(...) и еще лучше знаем как легко она обходится. Автор статьи переводит эту проверку в нативный код, но делает это не обычным переносом, а использует довольно хитрый трюк для проверки целостности приложения. Есть готовый PoC с которым можно поиграть. Ну и конечно же стоит помнить, что это просто плюс еще один шаг, а не идеальная защита от всего. Хотя как добавление к уже существующему комплексу мер, выглядит очень даже.

#tamper_detection, #android_native, #4developers

https://darvincitech.wordpress.com/2020/03/01/yet-another-tamper-detection-in-android/

Война платформ Android и iOS вышла на новый уровень. Теперь вы можете рутануть (джеилбрейкнуть?) iPhone используя рутованный Android смартфон. Это стало возможным благодаря нашумевшей на iOS пространстве штуке под названием checkra1n, которая позволяет рутовать айфоны бесплатно и без смс. Использование android смартфона в этой схеме стало возможным благодаря недавно появившейся поддержке linux-а в checkra1n. Сам процесс выглядит довольно простым:

⬇️ Скачать бинарник с checkra1n и закинуть его на android устройство

🔌 Присоединить айфончик и android смартфону

📲 Включить на айфоне Device Firmware Upgrade режим

💥 Запустить checkra1n командой ./checkra1n -c

🐒 Все =)

#other_platforms, #anroid_root, #vulnerability, #checkra1n

https://www.xda-developers.com/jailbreak-apple-iphone-using-checkra1n-rooted-android-phone/

Неделя выдалась весьма скучной на интересный контент, поэтому остается только читать гугловые отчеты по закрытым в андройде дырам за март. Там, как обычно, есть все: выполнение произвольного кода в контексте привилегированного процесса (в том числе с использованием внешнего USB устройства), получение малварью дополнительных пермишенов, hardware specific баги и конечно наш любимый Media framework.

В общем если вам больше не приходят обновления на вашу ОС, то повод начать что-то с этим делать ;)

#android_security_bulletin, #android_bugs

https://source.android.com/security/bulletin/2020-03-01

⚡️Пока человечество борется сами знаете с чем, компании Google удалось победить Magisk. “Эпоха ушла”, говорит его автор (сотрудник компании Apple кстати :D)

#magisk, #google, #safety_net

https://github.com/topjohnwu/Magisk/commit/612b51d48f9771a65cfab045f931573f42d3a494