⚡️ Если кто-то использует в своих проектах чистый Tink, то для вас есть пара новостей:

🐣 Вышел новый релиз 1.4.0 с несколькими важными android-фиксами

🎲 Лучше использовать специально оптимизированную версию библиотеки для android если вы еще не - implementation 'com.google.crypto.tink:tink-android:1.4.0’

#4developers, #cryptography

В пятницу, 24 июля, будем говорить про SSDLC с Юрием Шабалиным (@Mr_R1p). Обсудим это явление как таковое и кому оно может пригодиться. Поговорим про инструменты и подходы, которые помогут в построении SSDLC и попробуем поразбирать реальные кейсы применения.

Это будет прямой эфир, так что готовьтесь задавать вопросы.

https://youtu.be/EGB8mstJlyA

Если вы никогда не видели как делают RCE на Android, то рекомендую прочитать эту статью. Очень показательно, как можно (было) атаковать пользователей весьма популярного приложения вообще не прикасаясь к их устройству. В статье разбирается уязвимость CVE-2020-5764 в приложении MX Player и приводится PoC эксплойта. Рекомендую ознакомиться всем разработчикам, чтобы так не делать. И конечно же начинающим пентестерам, чтобы узнать как делать надо 👻

#bug

https://medium.com/tenable-techblog/android-mx-player-path-traversal-to-code-execution-9134b623eb34

Через пол-часа начинаем стрим по SSDLC. https://youtu.be/EGB8mstJlyA

Я как-то уже постил статьи из серии Modern Security in Android. Тут недавно вышла еще одна, на этот раз про биометрию. Из статьи вы узнаете:

🕵️‍♂️ Что такое Spoof Acceptance Rate и почему это важно

🚀 Что BiometricPrompt уже 1.0.1, а значит ваши бородатые безопасники одобрят его применение 😉

🤝 Как прикрутить биометрию к вашему шифрованию

Статья небольшая, даже чай допить не успеете.

#4developers, #biometric

https://medium.com/@dinorahto/modern-security-in-android-part-4-495655c7d4fe

Выкатил новый релиз PINkman-а. Теперь там есть Argon2, RxJava3, корутины и возможность блокировать пинкоды из черного списка. Как всегда, я рад любому фидбэку и вашим идеям.

#4developers, #pinkman

https://github.com/RedMadRobot/PINkman/releases

А у нас тут свежачок с интересными практиками эксплуатации уязвимостей в Android (и не только) приложениях. Если вы мучались и не знали как провести эту скучную пятинцу, то вам вам видео, слайды и репозиторий на гитхабе.

https://www.youtube.com/watch?v=uWT15hEM1dQ

Всем привет! Поскольку от вас не поступило негативного фидбэка за прошлый стрим, я планирую продолжать эту деятельность пока вам не надоест (ну или мне). А сейчас - анонс.

Работа пентестера для многих людей выглядит чем-то таинственным и захватывающим. Километры вводимых в терминале команд, килобайты кода и виртуальные небоскребы хранилищ данных... Ну и вся прочая ерунда, которую показывают в кино. Мы же поговорим с реальными людьми для которых пентест это повседневная работа. Обсудим особенности пентеста под Android и iOS и разберемся в типовых инструментах мобильного пентестера. Также выясним как войти в эту профессию с нуля или прийти из соседней области, как развиваться после входа и как выйти на пенсию имея в гараже Ламборгини, а не долги по ипотеке.

Гости выпуска: Николай (Positive Technologies) и Андрей (независимый эксперт)

https://www.youtube.com/watch?v=BbygfeMZGj4

Google сделал удобную страничку с security best practices по разным разделам:

- шифрование
- определение небезопасной среды выполнения
- аутентификация и биометрия
- обмен данными

плюс есть разделы по смежным темам. Выглядит неплохо.

#4developers #google

https://developer.android.com/security?linkId=97069982

Стрим с пентестерами начинаем через 25 минут: https://www.youtube.com/watch?v=BbygfeMZGj4

Еще одно “намеренно уязвимое” android-приложение для любителей что-нибудь поковырять на выходных. Содержит следующие задания:

- Debug Me
- File Access
- Strings
- Resources
- Shares and Prefs
- DB Leak
- Export
- Decode
- Smali Injection

Для решения задач понадобятся: FRIDA, ADB, apktool и dex2jar (или что-то другое на ваш выбор).

https://github.com/abhi-r3v0/EVABS

Бывает ситуация, когда новая версия приложения, которое вы исследуете, вдруг перестает работать как раньше. Появляются какие-то новые методы защиты, меняются механизмы подписи запросов или происходят еще какие-нибудь нежелательные вещи. Для того, чтобы узнать что же изменилось, нужно взять предыдущую версию и текущую, распаковать, посмотреть diff... Но есть способ лучше: Diffuse. Эта утилита осуществляет описанный выше процесс, но делает это одной командой, да еще и показывает довольно полезный результат сравнения. Поддерживаются apk, aab, aar и jar файлы.

#4developers, #reverse_engineering

https://github.com/JakeWharton/diffuse

Всем привет! Мне часто задают разные вопросы касающиеся безопасности android-приложений и операционной системы. И я не уникален в этом. Наверняка многим из тех, кто это читает, задают еще больше вопросов. Кого-то это возможно даже раздражает. Но все мы были когда-то новичками и задавали вопросы, если было кому их задавать 😉 Я хочу сделать стрим где буду отвечать на вопросы новичков максимально честно, подробно и терпеливо (ну тут как пойдет...). У меня есть свой личный рейтинг таких вопросов, но я хочу предварительно еще собрать вопросы, которые волнуют лично вас или может быть те, на которые вы устали отвечать. По ссылке найдете форму куда их можно будет написать. Даты стрима пока не публикую, но это произойдет в какое-то ближайшее время. Опрос, конечно же, полностью анонимный. Мне не нужны ваши данные =)

https://docs.google.com/forms/d/e/1FAIpQLSdpqPvU2wfCwgICllKEdd5-YOIjaQhbFSa_2DzCEqg7DLZBYQ/viewform

Благодарю всех, кто накидал вопросов. Выглядит так, что контента у нас немножко есть и можно сделать стрим. Пока планирую его на следующую пятницу, 18 сентября на 19:00 по MSK. Вопросы можно будет также задавать на самом стриме.

https://www.youtube.com/watch?v=zeU2wlcj_Bw

Через 20 минут стартую стрим с вопросами новичков. Запасайтесь чаем или чем-то покрепче и присоединяйтесь.

Казалось бы, еще одна статья про биометрическую аутентификацию в Android... Но нет. В этой даются полезные пояснения по новым классам аутентификации, которые появились в Android 11.

#4developers #biometric

https://proandroiddev.com/biometrics-in-android-50424de8d0e

Стартую новую рубрику "Чердачок Брюса Шнайера" в ней буду писать всякое про криптографию и пробовать приземлять это на Android-реальность.

Выпуск №1 "Самые базовые понятия"

В криптографии, как в и любой другой области знаний есть свой язык и даже свой жаргон. Не зная его, порой тяжело понимать разные важные концепции, которые можно встретить в статьях и докладах. Сегодня поговорим про самые базовые понятия, которые для кого-то могут показаться очевидными, но без них невозможно двигаться дальше.

Криптография обычно оперирует двумя сторонами - "отправитель" и "получатель" которые передают друг-другу "сообщения". Чуть позже мы дадим имена этим безликим сторонам. При этом, обе стороны хотят обеспечить секретность своих сообщений и быть уверенными, что "перехватчик" не сможет их прочитать.

Сообщения принято называть открытым текстом(plaintext), а процесс маскировки сообщения называют шифрованием(encryption). Зашифрованное сообщение называется шифротекст(ciphertext), а процесс преобразования шифротекста обратно в открытый текст называеся расшифровкой(decryption)

Хозяйке на заметку: В соответствии со стандартом ISO 7498-2 в англоязычных текстах используются термины enchiper вместо encrypt и decipher вместо decrypt. Видимо, это объясняется тем, что в некоторых культурах термины encrypt и decrypt ассоциируются со словом crypt(склеп).

#ЧБШ

​​Чердачок Брюса Шнайера. Выпуск №2 "Основы криптографии"

Искусство и наука сокрытия сообщений называется криптографией (cryptography), а специалисты по криптографии называются криптографами (cryptographers). Их естественными "врагами" в дикой природе являются криптоаналитики (cryptoanalysts), которые занимаются искусством и наукой взлома шифротекстов - криптоанализом (cryptoanalysis). Отрасль математики, охватывающая криптографию и криптоанализ, называется криптологией (cryptology), а людей, которые ей занимаются - криптологами (cryptologist). Т.е. без хорошей математической подготовки тут никуда. Чтобы ты там себе на напридумывал %username%.

В криптографических формулах, открытый текст принято обозначать буквой M (message) или P (plaintext). Он может быть чем угодно, но в конечном итоге все сводится к набору битов. Шифротекст принято обозначать буквой C (chipertext), который тоже представляет из себя двоичные данные. Функцию шифрования обозначают буквой E, а функцию расшифровки буквой D. Таким образом, в математической форме основные формулы криптографии выглядят вот так:
E(M) = C - шифрование

D(С) = M - расшифровка

При этом должно выполняться следующее равенство:

D(E(M)) = M

Если уже на этом моменте тебе стало ничего не понятно, то самое время сделать вывод, что с криптографией тебе не по пути, потому что дальше будет сложнее 🤤

#ЧБШ

Многие из вас уже знают, что Google недавно представил две новые концепции хранения данных в Android в рамках библиотеки DataStore. Библиотека представляет из себя два хранилища: Preferences DataStore и Proto DataStore. Первое это привычные и понятные всем SharedPreferences, но немного поумневшие и типобезопасные. А вот второе уже гораздо интереснее. как следует из названия это хранилище работает со схемами ProtoBuf и обещает нам много интересного. Единственное, чего оно не обещает из коробки это шифрования данных. Это довольно странно в 2020-м году и при условии, что у Google уже есть все нужные компоненты для реализации. Ну нет так нет. Я написал эту интеграцию сам и хочу поделиться ей с вами. Там никакого космоса, просто Tink встроенный в proto-сериализатор данных. Код можно слить с GitHub-а и поиграться с ним.

https://github.com/Fi5t/secured-datastore

#4developers #cryptography

Google создает новую команду безопасности Android. Ее задачей будет искать уявимости в “особо важных” приложениях из Play Store.

Под особо важными имеются в виду приложения для отслеживания контактов COVID-19, приложения связанные с выборами и т.п.

Кто-нибудь хочет сменить работу? 😉

#google

https://xakep.ru/2020/10/02/special-android-security-team/

Вот и настал тот день, чтобы сказать "И вот этот день настал!". Пока нас потихоньку накрывает второй волной сами знаете чего (🦠) и мы опять переходим на удаленную работу, есть идея провести это время с пользой. Хочу провести online митап по безопасности android-приложений, операционной системы и смежным темам. Конечно же без вашего участия ничего не получиться, поэтому с сегодняшнего дня открываю CFP. Если у вас есть интересный релевантный опыт, то буду рад включить вас в программу митапа.

Если вы новичок в вопросах выступлений на коференциях, то я и программный коммитет поможем вам определитья с темой и направлением доклада, а также подготовиться к самому докладу.

Для тех, кто не любит Google формы - пишите мне в личку. Ваша нелюбовь к Google еще не повод не выступать на митапе 😉

https://forms.gle/nNVZBemesFsFmwvSA