Mobile AppSec World
Розыгрыш билета на конференцию Территория Безопасности! Всем привет! Уже скоро пройдет конференция, которая мне очень понравилась в прошлом году, на которой я обязательно буду в этом и хотел бы пригласить и вас) И конечно, как обещал, розыгрыш одной проходки…
Я немного задержался, простите :)
Сегодня днем разыграем)
Сегодня днем разыграем)
Media is too big
VIEW IN TELEGRAM
Итоги розыгрыша на конференцию Территория Безопасности
Итак, великим рандомайзером из всех участников был выбран @aleks_8l8!
Поздравляю тебя!
Приходи к нам на стенд обязательно, подарим немного мерча)
Спасибо всем, кто участвовал!
Итак, великим рандомайзером из всех участников был выбран @aleks_8l8!
Поздравляю тебя!
Приходи к нам на стенд обязательно, подарим немного мерча)
Спасибо всем, кто участвовал!
👍4🔥3😢1
Загрузка приложений из AppStore больше не работает!
А пока мы спокойно отдыхаем на выходных, Apple изменила свой API и теперь ни один инструмент по загрузке приложений из AppStore больше не работает. Сломаны ipatool, ipatool-py, наша интеграция и всё, что удалось найти :) Спасибо Apple за чудесные новости!
В репозитории ipatool энтузиасты пытаются найти решение, но пока все тщетно. Есть вроде способ с kbsync на айфоне (но придется его пересобрать) или с патчингом iTunes на Windows, но пока нет подверждения, что они еще работают.
Так что ждем, исследуем, пробуем и надеемся что загрузка приложений снова станет доступной 😠
А пока мы спокойно отдыхаем на выходных, Apple изменила свой API и теперь ни один инструмент по загрузке приложений из AppStore больше не работает. Сломаны ipatool, ipatool-py, наша интеграция и всё, что удалось найти :) Спасибо Apple за чудесные новости!
В репозитории ipatool энтузиасты пытаются найти решение, но пока все тщетно. Есть вроде способ с kbsync на айфоне (но придется его пересобрать) или с патчингом iTunes на Windows, но пока нет подверждения, что они еще работают.
Так что ждем, исследуем, пробуем и надеемся что загрузка приложений снова станет доступной 😠
GitHub
majd/ipatool
Command-line tool that allows searching and downloading app packages (known as ipa files) from the iOS App Store - majd/ipatool
😱22🤯4😢3🔥2❤1😭1
Жизненный цикл Activity в Android
Ну а пока iOS-приложения не скачиваются, можно поизучать детальнее Android ;)
И у ребят из k8s как раз есть отличная статья про Activity Lifecycle. Какие есть состояния, какая логика перехода между ними, какие атаки есть на Activity и т.д.
Очень полезный материал, который поможет лучше узнать, как работают приложения внутри, а без этого понимания очень сложно их ломать и что-то придумывать :)
Хороших всем выходных!
#Android #activity
Ну а пока iOS-приложения не скачиваются, можно поизучать детальнее Android ;)
И у ребят из k8s как раз есть отличная статья про Activity Lifecycle. Какие есть состояния, какая логика перехода между ними, какие атаки есть на Activity и т.д.
Очень полезный материал, который поможет лучше узнать, как работают приложения внутри, а без этого понимания очень сложно их ломать и что-то придумывать :)
Хороших всем выходных!
#Android #activity
🔥4
Опубликована программа AppsConf
Итак, друзья, прошла вчера конференция Код Безопасности, смотрим вперед)
Следующая по плану у нас конференция для мобильщиков - AppsConf!
У нее уже опубликована программа, я туда к сожалению не попал, потому что продолбал все сроки по заявке 😁
Но, я планирую обязательно пойти туда и послушать доклады, потому что правда очень много интересного, а руку нужно держать "на пульсе" и смотреть, что нового и интересного есть в мире мобильной разработки!
Так что жду вас тоже на мероприятии! И да, скоро тоже разыграем билет одному из подписчиков, ждите новостей и конкурса 😎
Итак, друзья, прошла вчера конференция Код Безопасности, смотрим вперед)
Следующая по плану у нас конференция для мобильщиков - AppsConf!
У нее уже опубликована программа, я туда к сожалению не попал, потому что продолбал все сроки по заявке 😁
Но, я планирую обязательно пойти туда и послушать доклады, потому что правда очень много интересного, а руку нужно держать "на пульсе" и смотреть, что нового и интересного есть в мире мобильной разработки!
Так что жду вас тоже на мероприятии! И да, скоро тоже разыграем билет одному из подписчиков, ждите новостей и конкурса 😎
appsconf.ru
Профессиональная
конференция разработчиков мобильных приложений 2025: Список тезисов
конференция разработчиков мобильных приложений 2025: Список тезисов
Заявки на доклады и список принятых докладов. Тезисы конференции, информация о докладчиках.
👍4🔥2
И снова анонс!
Мне очень нравятся ребята из PVC, их продукт и главное их маскот :D
И я очень рад, что у нас будет совместный с ними вебинар, куда вас всех и приглашаю)
Мне очень нравятся ребята из PVC, их продукт и главное их маскот :D
И я очень рад, что у нас будет совместный с ними вебинар, куда вас всех и приглашаю)
Forwarded from AppSec Solutions
Расскажем, как повысить безопасность вашего кода с помощью современных инструментов.
AppSec.Hub — платформа DevSecOps от AppSec Solutions, которая автоматизирует внедрение инструментов безопасности и управление процессами безопасной разработки, и PVS-Studio — мощный статический анализатор, выявляющий ошибки и уязвимости в коде.
На вебинаре эксперты продемонстрируют возможности продуктов и покажут, как интегрировать PVS-Studio в AppSec.Hub для создания эффективного конвейера DevSecOps.
Узнайте, как сократить время на поиск уязвимостей и улучшить качество вашего ПО!
🗓16 апреля 12:00
Ссылка на регистрацию
#AppSec_Вебинары
Please open Telegram to view this post
VIEW IN TELEGRAM
🤮2
Приятно, когда твои материалы используют!
Спасибо!
Кстати, надо бы обновить awesome репозиторий, займусь на неделе)
:)
Спасибо!
Кстати, надо бы обновить awesome репозиторий, займусь на неделе)
:)
👍5
Forwarded from S.E.Book
• Здесь собраны материалы, которые могут быть полезны с практической точки зрения. Из них можно узнать о способах атак на приложения, прочитать об уязвимостях, изучить, как работают механизмы операционной системы и т.д.:
• iOS Security Awesome:
• Android Security Awesome:
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11
на и раз пошел такой разговор, еще подборочка для начинающих)
👍2
Forwarded from Дневник Комбеза
Полезные материалы по безопасности мобильных приложений
Попросили сформировать минимальный набор ресурсов, которые я бы порекомендовал к ознакомлению, если вам интересна безопасность мобильных приложений.
Понятно что этот список охватывает только самые базовые моменты, но ресурсов должно быть достаточно для понимания того куда двигаться дальше.
БАЗА:
(В этом разделе основные ресурсы с которыми вы будете сталкиваться на работе + вектора атак для понимания от кого мы защищаемся)
- OWASP Mobile Top 10
- MASVS/MASWE/MASTG
- Сценарии атак на МП
Курсы и циклы статей:
(Статьи и курсы которые я бы мог рекомендовать для совсем начинающих или тех кто дне понимает с чего начать)
- Инструменты анализа безопасности Android
- Не плохие бесплатные курсы по безопасности МП
- Cборник с заметками, apk тасками и книгами
Книги:
(Для тех кому нравится читать)
- Android глазами хакера
- Хакинг на Android
- Android Security Internals
Каналы и блоги:
(Люди за которыми стоит следить для повышения погружения)
- Блог Сергея Тошина о безопасности мобилок
- Канал сообщества Android Guards
- Блог Юрия Шабалина
- (Не)Уникальный опыт
- iOS Helper
Возможно со временем что-то дополню :)
Попросили сформировать минимальный набор ресурсов, которые я бы порекомендовал к ознакомлению, если вам интересна безопасность мобильных приложений.
Понятно что этот список охватывает только самые базовые моменты, но ресурсов должно быть достаточно для понимания того куда двигаться дальше.
БАЗА:
(В этом разделе основные ресурсы с которыми вы будете сталкиваться на работе + вектора атак для понимания от кого мы защищаемся)
- OWASP Mobile Top 10
- MASVS/MASWE/MASTG
- Сценарии атак на МП
Курсы и циклы статей:
(Статьи и курсы которые я бы мог рекомендовать для совсем начинающих или тех кто дне понимает с чего начать)
- Инструменты анализа безопасности Android
- Не плохие бесплатные курсы по безопасности МП
- Cборник с заметками, apk тасками и книгами
Книги:
(Для тех кому нравится читать)
- Android глазами хакера
- Хакинг на Android
- Android Security Internals
Каналы и блоги:
(Люди за которыми стоит следить для повышения погружения)
- Блог Сергея Тошина о безопасности мобилок
- Канал сообщества Android Guards
- Блог Юрия Шабалина
- (Не)Уникальный опыт
- iOS Helper
Возможно со временем что-то дополню :)
Хабр
Безопасность мобильных устройств и приложений: пять популярных сценариев атак и способы защиты
Изображение: Unsplash Современные мобильные устройства очень сложны, и это дает злоумышленникам возможности для проведения атак. Для взлома вашего смартфона может быть использовано буквально все — от...
🔥13
Регуляторика в ИБ
На самом деле, я скажу, что сам достаточно сильно погрузился в регуляторику. Правда, пытаюсь притянуть туда мобильные приложения, но все равно достаточно плотно сижу с разными регламентами и доками.
И вот такие вот семинары/вебинары очень помогают!
Так что спешу вас пригласить!
На самом деле, я скажу, что сам достаточно сильно погрузился в регуляторику. Правда, пытаюсь притянуть туда мобильные приложения, но все равно достаточно плотно сижу с разными регламентами и доками.
И вот такие вот семинары/вебинары очень помогают!
Так что спешу вас пригласить!
👍3❤1
Forwarded from Swordfish Security
В 2024 году ФСТЭК России запустила новый подход к сертификации продуктов – теперь для ПО средств защиты допускается вместо отдельных сертификации новых версий ПО сертифицировать конвейер разработки этого ПО, что позволяет ускорить процесс выпуска релизов в эксплуатацию.
15 апреля в 14.00 мск расскажем, как организовать процесс безопасной разработки программных продуктов в соответствии с требованиями ГОСТ 56939–2024. 📑
Что обсудим?
Спикеры:
- Аскерова Альбина, руководитель направления по взаимодействию с регуляторами, Swordfish Security
- Алексей Щербаков, начальник центра кибербезопасности платформы, СберТех
👉 Регистрируйтесь по ссылке и готовьте ваши вопросы!
Будет полезно
- CISO
- CIO
- Сomplience-специалистам
- DevSecOps-специалистам
#ВебинарыSFS
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥5👍2
Запуск iOS в qemu
Еще одна попытка запуска iOS в эмуляции через qemu. При этом, все очень классно описано, все шаги и подводные камни, с которыми столкнулись исследователи. И даже вроде запускается!
Все прошлые репозитории и попытки запустить сколь-нибудь рабочее и предсказуемое поведение у меня ни к чему не привели. Может быть этот вариант будет более рабочим, но все равно верится слабо)
И пока что там только iOS 14. Но надеемся, что это будет отправной точкой для следующих свершений!
Еще одна попытка запуска iOS в эмуляции через qemu. При этом, все очень классно описано, все шаги и подводные камни, с которыми столкнулись исследователи. И даже вроде запускается!
Все прошлые репозитории и попытки запустить сколь-нибудь рабочее и предсказуемое поведение у меня ни к чему не привели. Может быть этот вариант будет более рабочим, но все равно верится слабо)
И пока что там только iOS 14. Но надеемся, что это будет отправной точкой для следующих свершений!
🔥14👍4
Jadx with AI
А тем временем AI все плотнее входят в нашу жизнь :)
Вот, теперь и плагинчик для Jadx подъехал! Очень круто!
А тем временем AI все плотнее входят в нашу жизнь :)
Вот, теперь и плагинчик для Jadx подъехал! Очень круто!
🔥4❤2👏1
Разработка под мобилки это просто? Или же нет?
На самом деле весьма и весьма хороший вопрос. насколько просто сейчас разрабатывать современные приложения под мобильные ОС?
Раньше, как мне кажется, все было сильно проще, вот тебе Java, вот тебе Objective-C, вот теперь мобилка, которая отображает данные с сервера.. 😈
Но сейчас, анализируя современные приложения ты понимаешь, насколько всего за какой-то десяток лет ушла мобильная разработка. Свои фреймворки, технологии, подходы, локальные вычисления, продвинутая логика, абсолютно все, что можно придумать уже есть в мобилках. А еще и огромное количество устройств надо поддерживать, учитывать нюансы разных ОС и их версий и разных форм-факторов (как телефоны с раскрывающимся экраном)..
Я на самом деле поражаюсь, как оставаться в стриме современных технологий. И как один из способов, это, конечно различные ТГ-каналы, которые публикуют новости, какие-то заметки из будней разработки и помогают хотябы не терять нить) А иногда и по безопасности попадаются статьи в таких каналах и тогда приходит понимание, что все это не зря)))
Один из таких каналов, на которые подписан - @dolgo_polo_dev
Как раз последние посты про наш любый SSL Pinning, mTLS и скрытие контента на превью на примере PornHub:
- mTLS / SSL Pinning на пальцах
- Как PornHub бережет твою репутацию
Так что, надеюсь, вам тоже понравится))
На самом деле весьма и весьма хороший вопрос. насколько просто сейчас разрабатывать современные приложения под мобильные ОС?
Раньше, как мне кажется, все было сильно проще, вот тебе Java, вот тебе Objective-C, вот теперь мобилка, которая отображает данные с сервера.. 😈
Но сейчас, анализируя современные приложения ты понимаешь, насколько всего за какой-то десяток лет ушла мобильная разработка. Свои фреймворки, технологии, подходы, локальные вычисления, продвинутая логика, абсолютно все, что можно придумать уже есть в мобилках. А еще и огромное количество устройств надо поддерживать, учитывать нюансы разных ОС и их версий и разных форм-факторов (как телефоны с раскрывающимся экраном)..
Я на самом деле поражаюсь, как оставаться в стриме современных технологий. И как один из способов, это, конечно различные ТГ-каналы, которые публикуют новости, какие-то заметки из будней разработки и помогают хотябы не терять нить) А иногда и по безопасности попадаются статьи в таких каналах и тогда приходит понимание, что все это не зря)))
Один из таких каналов, на которые подписан - @dolgo_polo_dev
Как раз последние посты про наш любый SSL Pinning, mTLS и скрытие контента на превью на примере PornHub:
- mTLS / SSL Pinning на пальцах
- Как PornHub бережет твою репутацию
Так что, надеюсь, вам тоже понравится))
Telegram
Dolgo.polo Dev | Денис Долгополов
SSL Pinning
Помните про мужика в середине?
Он может прочитать наш зашифрованный трафик, если каким-то образом подсунет свой сертификат. Например, если пользователь по незнанию нажмет в настройках системы "доверять любым сертификатам"
Чтобы этого избежать…
Помните про мужика в середине?
Он может прочитать наш зашифрованный трафик, если каким-то образом подсунет свой сертификат. Например, если пользователь по незнанию нажмет в настройках системы "доверять любым сертификатам"
Чтобы этого избежать…
🦄6🔥4🤮3👍1👎1
Исследование JNI через Frida
Ну и да, к слову о предыдущем посте, многие вещи специально реализуют в нативе, чтобы усложнить анализ.
И для тех, кто хотел бы глубже погрузиться в этот чудесный мир, есть статья, где автор делится советами по детальному анализу поведения нативных методов, с акцентом на использование указателей функций внутри структуры JNIEnv.
Он объясняет, как нативные методы, написанные на C/C++, взаимодействуют с Java-кодом через JNI, а также как с помощью Frida можно получить доступ к структуре JNIEnv и что с его помощью можно сделать.
Звучит страшно, но статья правда хорошая, хоть и небольшая. Осталось только на практике ее как-то применить))
Ну и да, к слову о предыдущем посте, многие вещи специально реализуют в нативе, чтобы усложнить анализ.
И для тех, кто хотел бы глубже погрузиться в этот чудесный мир, есть статья, где автор делится советами по детальному анализу поведения нативных методов, с акцентом на использование указателей функций внутри структуры JNIEnv.
Он объясняет, как нативные методы, написанные на C/C++, взаимодействуют с Java-кодом через JNI, а также как с помощью Frida можно получить доступ к структуре JNIEnv и что с его помощью можно сделать.
Звучит страшно, но статья правда хорошая, хоть и небольшая. Осталось только на практике ее как-то применить))
Medium
A Random and Simple Tip: Advanced Analysis of JNI Methods Using Frida
In this article, I will share a tip for those interested in performing a more detailed analysis of the behavior of native methods, with a…
🔥4👏3👎1
и в дополнение от @DIJIR0:
Небольшой снипет как хукать функции jni в фриде, не гугля индекс каждой функции
Небольшой снипет как хукать функции jni в фриде, не гугля индекс каждой функции
👍2