Вслед за взломом айфонов через отправку email сломали Bluetooth на андройде. Найденная уязвимость позволяет получить удаленный шелл на устройстве. По ссылке найдете полный разбор уязвимости с примерами и картинками.

#bluetooth_bug, #reverse_engineering

https://insinuator.net/2020/04/cve-2020-0022-an-android-8-0-9-0-bluetooth-zero-click-rce-bluefrag/

Скучно проводите выходные? Прекратите это делать. Если вы начинающий android reverse engineer, то вам будет полезно посмотреть этот тренинг.

#reverse_engineering

https://www.youtube.com/watch?v=BijZmutY0CQ

Вот и произошло то, чего мы все так долго ждали (ну может не все, ладно…). ProtonMail выложили в открытый доступ исходники своего Android приложения. Они позиционируют себя как очень защищенная почта и их исходники многие хотели по двум причинам:

👮‍♀️ Убедиться, что там все так безопасно как они обещают

📚 Изучить применяемые их командой security-практики.

Теперь все это лежит на github. Идем смотреть =)

#security_best_practice, #protonmail_android

https://github.com/ProtonMail/proton-mail-android

Давненько что-то Samsung не радовал нас багами в прошивках.

На этот раз ошибку нашли в обработчике изображений встроенном в систему рендеринга графики. Уязвимость приводит к RCE.

Нашли ее ребята из Google с помощью обычного фаззинга. Так что если вы до сир пор считали, что фаззинг это бесполезная трата времени, то пора менять свое отношение к этой технике.

#samsung_bugs, #fuzzing

https://www.opennet.ru/opennews/art.shtml?num=52896

Вышла новая версия Frida 🎉
Они обновили все зависимости до свежих версий и наболее интересным обновлением выглядит V8 версия 8.4. Также добавлена поддержка Android 11 Developer Preview 4. Обновляемся!

https://frida.re/news/2020/05/19/frida-12-9-released/

В androidx есть такая библиотека: security-crypto. Многие о ней знают и используют. Была у нее только одна поблема, которая будоражила умы н̶е̶к̶р̶о̶ф̶и̶л̶о̶в любителей поддерживать старые версии android: minSdk=23. Сделано это было не от хорошей жизни, т.к. на версии ниже 23 (она же М) нельзя хранить симметричные ключи в AndroidKeystore. Для этого всегда изобретались дичайшие костыли и приседания вокруг асимметричной крипты в KeyChain. Видимо поэтому команда решила в это не играть, и отрубить старые версии. Но "Google идет нам навстречу" и даже иногда читает issue на своем трекере. Буквально вчера, нашим спецкореспондентом был замечен коммит, который устанавливает minSdk=21. Этот же коммит проводит некоторые косметические изменения, но не более. Ключи на версии ниже 23 не будут храниться в AndroidKeystore. Совершенно непонятно почему бы не сделать так сразу, т.к. используемый под капотом этой библиотеки Tink всегда работал на версии 21.

#androidx_security, #security_best_practice

Запись вебинара от Eric Lafortune (CTO в Guardsquare). Обсуждаются следующие темы:
- Какие существуют угрозы безопасности мобильных приложений и сценарии атак
- Как реализовать многослойную защиту против этих атак
- Шаги по повышению безопасности приложения: shrinking, optimization, obfuscation

Сам вебинар был доступен только для сотрудников компаний (требовался корп.мыльник), но я любезно перезалил его на ютуб. Сам вебинар предназначен для разработчиков, которые ничего не понимают в безопасности, архитекторов без мобильного бэкграунда, технических директоров и (возможно) менеджеров.

#video

https://youtu.be/Ql4q-mGmXkA

Нашел удобный плагин для утилиты Dependency-Check от OWASP. Наличие этого плагина позволяет встроить ее использование в рабочий процесс, а значит сделать приложения безопаснее. Как следует из названия, это утилита для проверки зависимостей вашего проекта на security уязвимости. Начать использовать ее довольно просто.

🛠 Подключить плагин в корневой build.gradle

buildnoscript {
repositories {
mavenCentral()
}
dependencies {
classpath 'org.owasp:dependency-check-gradle:5.3.2'
}
}


📲 Добавить плагин в модуль приложения

apply plugin: 'com.android.application'
...
apply plugin: 'org.owasp.dependencycheck'


💻 Выполнить команду

./gradlew dependencyCheckAnalyze


Отчет об уязвимостях появится в app/build/reports.

#4developers, #security_best_practice

Ребята из Guardsquare, сообщают, что новая версия ProGuard (и конечно же DexGuard) научилась удалять аннотацию @Metadata у kotlin-классов. Если кто не вкурсе проблемы, то эта штука сводила на нет все усилия по обфускации кода, т.к. по этой аннотации можно было восстановить исходные имена полей, методов и самого класса. Теперь это в прошлом. А чтобы проверить свой код они также выпустили утилиту Kotlin Metadata Printer. Утилита доступна как в виде сервиса на сайте, так и в виде исходных кодов.

P.S. Но возможность узнать оригинальное имя класса и полей все еще существует. Догадайтесь как 😉

#proguard, #4developers

https://www.guardsquare.com/en/blog/why-mobile-developers-must-better-protect-their-kotlin-apps%E2%80%94and-how-do-it

Пара хороших новостей от Guardsquare.

💎 В ProGuard v7.0 завезли улучшенную поддержку Kotlin-а.

🧰 Выкатили новую opensource библиотеку ProGuardCore, которая позволяет работать с java байткодом (чтение, запись, анализ, обработка). И это выглядит реально круто! Теперь можно попробовать написать свой личный обфускатор кода или даже деобфускатор 😉

#4developers, #proguard

Google выпустил короткое и информативное видео о том, как шифровать данные в 2020-м году. Всем смотреть.

#4developers, #cryptography

https://www.youtube.com/watch?v=2y9Ol2N1I4k

Всем привет! Написал небольшую библиотеку, которая может сделать вашу аутентификацию по пин-коду проще и возможно безопаснее. В основе этой библиотеки лежат идеи, которые я изложил в моей статье про аутентификацию + проведена работа над ошибками. Буду рад любому фидбэку и контрибьюшенам.

#4developers, #libraries

https://github.com/RedMadRobot/PINkman

⚡️ Если кто-то использует в своих проектах чистый Tink, то для вас есть пара новостей:

🐣 Вышел новый релиз 1.4.0 с несколькими важными android-фиксами

🎲 Лучше использовать специально оптимизированную версию библиотеки для android если вы еще не - implementation 'com.google.crypto.tink:tink-android:1.4.0’

#4developers, #cryptography

В пятницу, 24 июля, будем говорить про SSDLC с Юрием Шабалиным (@Mr_R1p). Обсудим это явление как таковое и кому оно может пригодиться. Поговорим про инструменты и подходы, которые помогут в построении SSDLC и попробуем поразбирать реальные кейсы применения.

Это будет прямой эфир, так что готовьтесь задавать вопросы.

https://youtu.be/EGB8mstJlyA

Если вы никогда не видели как делают RCE на Android, то рекомендую прочитать эту статью. Очень показательно, как можно (было) атаковать пользователей весьма популярного приложения вообще не прикасаясь к их устройству. В статье разбирается уязвимость CVE-2020-5764 в приложении MX Player и приводится PoC эксплойта. Рекомендую ознакомиться всем разработчикам, чтобы так не делать. И конечно же начинающим пентестерам, чтобы узнать как делать надо 👻

#bug

https://medium.com/tenable-techblog/android-mx-player-path-traversal-to-code-execution-9134b623eb34

Через пол-часа начинаем стрим по SSDLC. https://youtu.be/EGB8mstJlyA

Я как-то уже постил статьи из серии Modern Security in Android. Тут недавно вышла еще одна, на этот раз про биометрию. Из статьи вы узнаете:

🕵️‍♂️ Что такое Spoof Acceptance Rate и почему это важно

🚀 Что BiometricPrompt уже 1.0.1, а значит ваши бородатые безопасники одобрят его применение 😉

🤝 Как прикрутить биометрию к вашему шифрованию

Статья небольшая, даже чай допить не успеете.

#4developers, #biometric

https://medium.com/@dinorahto/modern-security-in-android-part-4-495655c7d4fe

Выкатил новый релиз PINkman-а. Теперь там есть Argon2, RxJava3, корутины и возможность блокировать пинкоды из черного списка. Как всегда, я рад любому фидбэку и вашим идеям.

#4developers, #pinkman

https://github.com/RedMadRobot/PINkman/releases

А у нас тут свежачок с интересными практиками эксплуатации уязвимостей в Android (и не только) приложениях. Если вы мучались и не знали как провести эту скучную пятинцу, то вам вам видео, слайды и репозиторий на гитхабе.

https://www.youtube.com/watch?v=uWT15hEM1dQ

Всем привет! Поскольку от вас не поступило негативного фидбэка за прошлый стрим, я планирую продолжать эту деятельность пока вам не надоест (ну или мне). А сейчас - анонс.

Работа пентестера для многих людей выглядит чем-то таинственным и захватывающим. Километры вводимых в терминале команд, килобайты кода и виртуальные небоскребы хранилищ данных... Ну и вся прочая ерунда, которую показывают в кино. Мы же поговорим с реальными людьми для которых пентест это повседневная работа. Обсудим особенности пентеста под Android и iOS и разберемся в типовых инструментах мобильного пентестера. Также выясним как войти в эту профессию с нуля или прийти из соседней области, как развиваться после входа и как выйти на пенсию имея в гараже Ламборгини, а не долги по ипотеке.

Гости выпуска: Николай (Positive Technologies) и Андрей (независимый эксперт)

https://www.youtube.com/watch?v=BbygfeMZGj4

Google сделал удобную страничку с security best practices по разным разделам:

- шифрование
- определение небезопасной среды выполнения
- аутентификация и биометрия
- обмен данными

плюс есть разделы по смежным темам. Выглядит неплохо.

#4developers #google

https://developer.android.com/security?linkId=97069982