Forwarded from AppSec Solutions
Исследование уязвимостей мобильных приложений📱
Команда AppSec Solutions представила результаты ежегодного исследования приложений российских разработчиков. Тестирование проводилась методом «черного ящика», без доступа к исходному коду, что максимально приближает его к реальным условиям атаки. Безопасность приложений проверялась с помощью «Стингрей» — платформы автоматизированного анализа защищенности мобильных приложений.
🛡 Эксперты проверили 1 675 Android-приложений из 18 категорий — от финтеха и онлайн-ритейла до здравоохранения, образования и корпоративных сервисов.
— прокомментировал результаты Юрий Шабалин, директор по продукту «Стингрей» компании AppSec Solutions.
➡️ Собрали главное в карточках, а полную версию исследования можно найти на странице нашего спецпроекта на CNews.
#AppSec_исследование #AppSec_Stingray
Команда AppSec Solutions представила результаты ежегодного исследования приложений российских разработчиков. Тестирование проводилась методом «черного ящика», без доступа к исходному коду, что максимально приближает его к реальным условиям атаки. Безопасность приложений проверялась с помощью «Стингрей» — платформы автоматизированного анализа защищенности мобильных приложений.
Как и год-два назад основной проблемой является небезопасное хранение данных. Это могут быть и пароли от приложений, и сессионные идентификаторы, и токены доступа для своих сервисов. В этом году на первом месте – небезопасное хранение ключей доступа от сторонних сервисов. Эти сервисы могут содержать большое количество конфиденциальной информации, утечка которой может быть опасна как для пользователей, так и для компании.
— прокомментировал результаты Юрий Шабалин, директор по продукту «Стингрей» компании AppSec Solutions.
#AppSec_исследование #AppSec_Stingray
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍5🤩3❤2🤯1
Эксплуатация SQL Injection в iOS или…
Прочитал тут удивительную статью про эксплуатацию SQLInjection в одном из приложений iOS.
И честно говоря, либо я не до конца понял, либо автор в статье просто перехватывает при помощи Frida запрос и подменяет его на свой собственный. Как-то не сильно-то похоже на инъекцию. С таким же успехом можно было просто базу скачать себе и посмотреть в том же бекапе даже без джейла.
На самом деле я очень нечасто встречал SQL-инъекции в iOS, так как там сильно ограничено межпроцессное взаимодействие и такого механизма, как, например Content Provider в Android, там нет, что бы смотрело впрямую в базу. В Android они тоже не так часто встречаются, но все таки они есть и реально эксплуатабельны.
Но все-таки я не понимаю, какой практический смысл этой статьи.. Помогите, пожалуйста, может я все-таки не так что-то понял?
Прочитал тут удивительную статью про эксплуатацию SQLInjection в одном из приложений iOS.
И честно говоря, либо я не до конца понял, либо автор в статье просто перехватывает при помощи Frida запрос и подменяет его на свой собственный. Как-то не сильно-то похоже на инъекцию. С таким же успехом можно было просто базу скачать себе и посмотреть в том же бекапе даже без джейла.
На самом деле я очень нечасто встречал SQL-инъекции в iOS, так как там сильно ограничено межпроцессное взаимодействие и такого механизма, как, например Content Provider в Android, там нет, что бы смотрело впрямую в базу. В Android они тоже не так часто встречаются, но все таки они есть и реально эксплуатабельны.
Но все-таки я не понимаю, какой практический смысл этой статьи.. Помогите, пожалуйста, может я все-таки не так что-то понял?
DEV Community
🧠 iOS Reverse Engineering: iOS SQL Injection Challenge
A Technical Walkthrough from Binary Analysis to Runtime Query Manipulation Welcome to this detailed...
Какую IDE для Android разработки вы используете?
Anonymous Poll
91%
Android Studio
5%
VSCode
2%
Eclipse
2%
Что-то другое (напишите в комментах)
Какую IDE для Android разработки вы используете?
Мне вот правда интересно, есть ли люди, кто использует что-то отличное от Android Studio для разработки или это прям стандарт-стандарт для мобилок?
Наверняка же есть что-то еще, помимо Android Studio? Вголову приходит только VSCode с плагинчиками, но эмулятором же управлять удобнее из студии)
В общем, помогите, пожалуйста разобраться))
Мне вот правда интересно, есть ли люди, кто использует что-то отличное от Android Studio для разработки или это прям стандарт-стандарт для мобилок?
Наверняка же есть что-то еще, помимо Android Studio? Вголову приходит только VSCode с плагинчиками, но эмулятором же управлять удобнее из студии)
В общем, помогите, пожалуйста разобраться))
Forwarded from OFFZONE
Хотите выступить на OFFZONE 2025? Cейчас самое время подать заявку: хоть CFP и открыт до 10 июля включительно, есть шанс не успеть.
И напоминаем: до 1 июля билеты можно ухватить по ценам early bird. А еще их меньше, чем в прошлом году.
Please open Telegram to view this post
VIEW IN TELEGRAM
Как приложения сливают нашу геопозицию или я знаю, где ты живешь...
Очень крутое на исследование, которое глубоко копает в механизмы отслеживания местоположения через рекламу в мобильных приложениях аж в двух частях:
Часть первая
Часть вторая
Автор продемонстрировал, как, используя Charles Proxy (в первой части) и mitmproxy (во второй), можно вскрыть этот "ящик Пандоры". Даже если вы отключили службы геолокации, приложения, такие как простая игра Stack от KetchApp, передают ваш IP-адрес, точные временные метки и рекламные идентификаторы (IDFA/AAID) таким гигантам, как Unity Ads и Facebook.
Эти данные затем участвуют в Real-Time Bidding (RTB) аукционах, где SSP (Supply-Side Platforms) продают их DSP (Demand-Side Platforms), например, Moloco Ads. Более того, информация о вашем местоположении, полученная даже косвенно через IP или Wi-Fi сети, может оказаться на рынках данных вроде Datarade, иногда с пометкой "low latency", то есть практически в реальном времени.
В репозитории на GitHub есть подробное руководство и наработки на Python (mitm_test.ipynb и visualise_domains.ipynb) для самостоятельного анализа собранных .mitm файлов, позволяющие визуализировать, какие домены получают больше всего запросов.
И это крайне наглядный пример того, как даже обыденные приложения могут стать источником утечки чувствительных данных, и как важно проводить анализ сетевой активности разрабатываемых нами приложений и подключаемых внешних библиотек, чтобы не окзаться потом читающим статью, как твое приложение передает свою геопозицию в другие компании...
Кстати, на одной из конференций показывали, как публичные точки WiFi собирают наши данные для того, чтобы можно было отслеживать устройство, как и где оно перемещается... Конечно, существующие настройки приватности и рандомизации MAC-адресов работают, но настолько ли хорошо они нас защищают? Это вопрос))
Приятного вам вечера пятницы и да, все знают, где ты живешь!
#MobileSecurity #Privacy #AdTech #DataLeak #RTB #mitmproxy #InfoSec
Очень крутое на исследование, которое глубоко копает в механизмы отслеживания местоположения через рекламу в мобильных приложениях аж в двух частях:
Часть первая
Часть вторая
Автор продемонстрировал, как, используя Charles Proxy (в первой части) и mitmproxy (во второй), можно вскрыть этот "ящик Пандоры". Даже если вы отключили службы геолокации, приложения, такие как простая игра Stack от KetchApp, передают ваш IP-адрес, точные временные метки и рекламные идентификаторы (IDFA/AAID) таким гигантам, как Unity Ads и Facebook.
Эти данные затем участвуют в Real-Time Bidding (RTB) аукционах, где SSP (Supply-Side Platforms) продают их DSP (Demand-Side Platforms), например, Moloco Ads. Более того, информация о вашем местоположении, полученная даже косвенно через IP или Wi-Fi сети, может оказаться на рынках данных вроде Datarade, иногда с пометкой "low latency", то есть практически в реальном времени.
В репозитории на GitHub есть подробное руководство и наработки на Python (mitm_test.ipynb и visualise_domains.ipynb) для самостоятельного анализа собранных .mitm файлов, позволяющие визуализировать, какие домены получают больше всего запросов.
И это крайне наглядный пример того, как даже обыденные приложения могут стать источником утечки чувствительных данных, и как важно проводить анализ сетевой активности разрабатываемых нами приложений и подключаемых внешних библиотек, чтобы не окзаться потом читающим статью, как твое приложение передает свою геопозицию в другие компании...
Кстати, на одной из конференций показывали, как публичные точки WiFi собирают наши данные для того, чтобы можно было отслеживать устройство, как и где оно перемещается... Конечно, существующие настройки приватности и рандомизации MAC-адресов работают, но настолько ли хорошо они нас защищают? Это вопрос))
Приятного вам вечера пятницы и да, все знают, где ты живешь!
#MobileSecurity #Privacy #AdTech #DataLeak #RTB #mitmproxy #InfoSec
tim.sh
Everyone knows your location
How I tracked myself down using leaked location data in the in-app ads, and what I found along the way.
👍10🔥3😁3
Как получить root на Android эмуляторе (AVD) с Google Play?
Для анализа некоторых мобильных приложений на Android часто нужен не только root-доступ, но и полноценный Google Play со всеми его сервисами. И в том, чтобы его получить может отлично помочь статья на 8ksec.io.
По сути, в статье описан способ модификации образа ramdisk.img при помощи инструмента RootAVD. Описан весьма детально, с подробностями и пояснением к каждому этапу.
В итоге мы получаем эмулятор с установленным Magisk, Frida и root доступом через adb. При этом имея полноценные Google Services и даже Google Play. Отличный способ, главное, чтоб он рабочий оказался))
Пользуйтесь и пишите,. если и правда получилось =)
#Android #Emulator #Magisk #root
Для анализа некоторых мобильных приложений на Android часто нужен не только root-доступ, но и полноценный Google Play со всеми его сервисами. И в том, чтобы его получить может отлично помочь статья на 8ksec.io.
По сути, в статье описан способ модификации образа ramdisk.img при помощи инструмента RootAVD. Описан весьма детально, с подробностями и пояснением к каждому этапу.
В итоге мы получаем эмулятор с установленным Magisk, Frida и root доступом через adb. При этом имея полноценные Google Services и даже Google Play. Отличный способ, главное, чтоб он рабочий оказался))
Пользуйтесь и пишите,. если и правда получилось =)
#Android #Emulator #Magisk #root
👍7❤3🔥3🤝1
Forwarded from 󠆜ₖᵢbₑᵣ.ᵢₒ ༽
Можно и ksu поставить на avd, у них есть ci канал в телеге, там есть пропатченные avd образы.
Вот здесь я issue заводил и разраб описал как это можно замутить
Вот здесь я issue заводил и разраб описал как это можно замутить
GitLab
KernelSU support (#101) · Issues · newbit / rootAVD · GitLab
Is KernelSu support planned? And is it even possible?
👍6❤4
участвуем активнее, друзья, покажите ваши умения)
Forwarded from Android Guards
Всем привет! Стартанул наш конкурс на PHD. Задача как обычно простая - находите баги, получаете баллы, забираете мерч. В этот раз вас ждет супер защищенное хранилище конфиденциальной информации. Кроме беслатных функций в нем есть платные. Еще есть триальная лицензия чтобы можно было оценить прелесть платной версии программы ;) Сможете получить безлимитную? Все подробности здесь.
Всем удачи!
Всем удачи!
👍3
Forwarded from Android Guards
Сегодня было сдано очень мало отчетов, поэтому хочу немного прояснить смысл конкурса и помочь вам начать копать в правильном направлении.
В приложении бесполезно (почти) искать всякие стандартные уязвимости, к которым большинство привыкло. Основной фокус - реверс. В том числе бинарный. Кроме этого нужно немного быть в курсе различных механизмов работы Android и библиотек для разработки приложений. Поэтому, если вы совсем новичок в исследовании мобильных приложений, то может быть немного сложно. Но это не повод опускать руки. Для новичков там тоже есть несколько уязвимостей, нахождение которых не требует каких-то исключительных скилов. Просто внимательность и понимание модели угроз для мобилок.
Ожидается, что участники глубоко погрузятся в некоторые сценарии работы приложения и найдут в них недочеты, которые, при должном упорстве, можно превратить в critical баги.
Чуть позже будут опубликованы подсказки для тех, кому совсем не приходит в голову никаких мыслей. Также, прошу вас написать какие сложности возникают при анализе этого приложения. Попробую сделать какой-то ликбез по итогу чтобы этих сложностей больше не возникало.
Время еще есть. Reverse must go on ;)
В приложении бесполезно (почти) искать всякие стандартные уязвимости, к которым большинство привыкло. Основной фокус - реверс. В том числе бинарный. Кроме этого нужно немного быть в курсе различных механизмов работы Android и библиотек для разработки приложений. Поэтому, если вы совсем новичок в исследовании мобильных приложений, то может быть немного сложно. Но это не повод опускать руки. Для новичков там тоже есть несколько уязвимостей, нахождение которых не требует каких-то исключительных скилов. Просто внимательность и понимание модели угроз для мобилок.
Ожидается, что участники глубоко погрузятся в некоторые сценарии работы приложения и найдут в них недочеты, которые, при должном упорстве, можно превратить в critical баги.
Чуть позже будут опубликованы подсказки для тех, кому совсем не приходит в голову никаких мыслей. Также, прошу вас написать какие сложности возникают при анализе этого приложения. Попробую сделать какой-то ликбез по итогу чтобы этих сложностей больше не возникало.
Время еще есть. Reverse must go on ;)
Telegram
Android Guards
Всем привет! Стартанул наш конкурс на PHD. Задача как обычно простая - находите баги, получаете баллы, забираете мерч. В этот раз вас ждет супер защищенное хранилище конфиденциальной информации. Кроме беслатных функций в нем есть платные. Еще есть триальная…
👍4
Forwarded from Дневник Комбеза
Как стоит подходить к проверкам окружения и сбору метрик приложения
Недавно обсуждали о том а вообще можно ли подходить к проверке безопасность финансовых приложений без сбора метрик в которые входят проверки окружения. И моё мнение что нет - метрики нужны для многого : проверка что пользователь не бот , проверка что у пользователя нормальный девайс , проверка для аналитики...
Этот сбор информации нужен иногда и для безопасности пользователя - например в случае когда вы просите вернуть деньги которые застраховали и приходите и пишите что ваш телефон взломали как думаете куда будет смотреть банк? 🙂
На основе метрик и аналитики строится антифрод мониторинг и другие подобные методы защиты
На PhD начинающим исследователям под iOS посоветовали обратить свое внимание на вот эту библиотеку https://github.com/nmilcoff/IOSSecuritySuite
И казалось бы все здорово , но есть её вариация лучше https://github.com/securing/IOSSecuritySuite
Тут разрабочики поддерживают актуальные проверки и стараются чтобы применимость была побольше.
Конечно не стоит использовать эти проверки в виде как есть - динамический анализ прекрасно их отломает(вангую кто-то уже написал плагин magisk для этого). Желательно чтобы используя описанные в этих проверках вектора - вы модифицировали логику работы функций добавляли логику которая усложняла бы анализ и поверх накидывали обфускаю или упаковщики.
У некоторых мобильных приложений я видел ещё более интересную и "безопасную" реализацию:
Весь код проверок вынесен в отдельную библиотеку и код вызова этих проверкок тоже собран в одну функцию
Насколько долговечным и надежным было бы подобное решение - ровно до того момента как кто-то не открыл бы Jadx и не скопировал от туда frida хук поменяв возвращаемое значение на нужное для прохождения проверок.
Не стоит класть все яйца в одну корзину: раскидывайте проверки в разные классы и места кода , дублируйте и модифицируйте. Тут подход должен быть как будто вы специально пишите уцуцуга таск на CTF, чтобы злоумышленник просто задолбался выпиливать и обходить. Ваша задача написать уцуцугу которую вы бы решали несколько месяцев, а ещё желательнее лет.
Нашли фрида скрипт который ломает вашу проверку - сломайте скрипт злоумышленнику модифицируя стандартную функцию. Заставьте человека реверсить и страдать при реверсе. Чем больше страдает злоумышленник тем лучше вам - потому что вероятность что он все бросит и пойдёт ковырять другую прилу выше 🙂
Защищайте канал по которому вы передаёте метрики и результаты проверок.
Шифруйте канал внутри https и всячески припятствуйте исследованию трафика ваших приложений.
Безопасность это пирог с множеством слоёв и на каким из слоёв злоумышленник устанет есть зависит только от вас 🙂
Недавно обсуждали о том а вообще можно ли подходить к проверке безопасность финансовых приложений без сбора метрик в которые входят проверки окружения. И моё мнение что нет - метрики нужны для многого : проверка что пользователь не бот , проверка что у пользователя нормальный девайс , проверка для аналитики...
Этот сбор информации нужен иногда и для безопасности пользователя - например в случае когда вы просите вернуть деньги которые застраховали и приходите и пишите что ваш телефон взломали как думаете куда будет смотреть банк? 🙂
На основе метрик и аналитики строится антифрод мониторинг и другие подобные методы защиты
На PhD начинающим исследователям под iOS посоветовали обратить свое внимание на вот эту библиотеку https://github.com/nmilcoff/IOSSecuritySuite
И казалось бы все здорово , но есть её вариация лучше https://github.com/securing/IOSSecuritySuite
Тут разрабочики поддерживают актуальные проверки и стараются чтобы применимость была побольше.
Конечно не стоит использовать эти проверки в виде как есть - динамический анализ прекрасно их отломает(вангую кто-то уже написал плагин magisk для этого). Желательно чтобы используя описанные в этих проверках вектора - вы модифицировали логику работы функций добавляли логику которая усложняла бы анализ и поверх накидывали обфускаю или упаковщики.
У некоторых мобильных приложений я видел ещё более интересную и "безопасную" реализацию:
Весь код проверок вынесен в отдельную библиотеку и код вызова этих проверкок тоже собран в одну функцию
CheckDeviceSecure которая возвращает True или False.Насколько долговечным и надежным было бы подобное решение - ровно до того момента как кто-то не открыл бы Jadx и не скопировал от туда frida хук поменяв возвращаемое значение на нужное для прохождения проверок.
Не стоит класть все яйца в одну корзину: раскидывайте проверки в разные классы и места кода , дублируйте и модифицируйте. Тут подход должен быть как будто вы специально пишите уцуцуга таск на CTF, чтобы злоумышленник просто задолбался выпиливать и обходить. Ваша задача написать уцуцугу которую вы бы решали несколько месяцев, а ещё желательнее лет.
Нашли фрида скрипт который ломает вашу проверку - сломайте скрипт злоумышленнику модифицируя стандартную функцию. Заставьте человека реверсить и страдать при реверсе. Чем больше страдает злоумышленник тем лучше вам - потому что вероятность что он все бросит и пойдёт ковырять другую прилу выше 🙂
Защищайте канал по которому вы передаёте метрики и результаты проверок.
Шифруйте канал внутри https и всячески припятствуйте исследованию трафика ваших приложений.
Безопасность это пирог с множеством слоёв и на каким из слоёв злоумышленник устанет есть зависит только от вас 🙂
GitHub
GitHub - nmilcoff/IOSSecuritySuite: Xamarin.iOS bindings for https://github.com/securing/IOSSecuritySuite
Xamarin.iOS bindings for https://github.com/securing/IOSSecuritySuite - nmilcoff/IOSSecuritySuite
👍10❤4🔥4
Forwarded from Похек
Reverse Engineer Android Apps for API Keys
#android #reverse #RE #mobile #pentest #API
Статья с pwn.guide посвящена основам реверс-инжиниринга и цифровой криминалистики (форензики) приложений под Android. В ней рассматриваются ключевые этапы анализа мобильных приложений, важные инструменты и практические советы для начинающих и опытных специалистов по информационной безопасности.
➡️ Основные моменты статьи:
➡️ Описывается структура Android-приложений (APK-файлов), их компоненты и способы упаковки.
➡️ Даётся обзор инструментов для реверса и форензики Android, включая такие популярные решения, как Apktool, Androguard, jadx, а также специализированные forensic-утилиты вроде androick и backhack.
➡️ Пошагово разбирается процесс декомпиляции APK-файла, извлечения ресурсов, анализа манифеста и кода, поиска уязвимостей и вредоносных функций.
➡️ Приводятся советы по анализу разрешений, трекеров и подозрительных библиотек, а также по выявлению признаков компрометации или вредоносной активности.
➡️ Рассматриваются методы динамического анализа, включая запуск приложения на эмуляторе, мониторинг сетевых запросов и взаимодействие с файловой системой.
Даются рекомендации по автоматизации анализа с помощью скриптов и интеграции различных инструментов.
➡️ Необходимый тулинг
Android Studio — For running and testing APKs.
ADB — For interacting with Android devices or emulators.
APKTool — For decompiling and recompiling APKs.
JADX — For decompiling APKs to Java source code.
HTTP Toolkit — For intercepting and analyzing HTTP/HTTPS traffic.
Кому будет полезна статья:
Материал рассчитан на специалистов по кибербезопасности, исследователей вредоносных программ, а также всех, кто интересуется анализом безопасности мобильных приложений Android.
🔗 Читать далее
🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч
#android #reverse #RE #mobile #pentest #API
Статья с pwn.guide посвящена основам реверс-инжиниринга и цифровой криминалистики (форензики) приложений под Android. В ней рассматриваются ключевые этапы анализа мобильных приложений, важные инструменты и практические советы для начинающих и опытных специалистов по информационной безопасности.
Даются рекомендации по автоматизации анализа с помощью скриптов и интеграции различных инструментов.
Android Studio — For running and testing APKs.
ADB — For interacting with Android devices or emulators.
APKTool — For decompiling and recompiling APKs.
JADX — For decompiling APKs to Java source code.
HTTP Toolkit — For intercepting and analyzing HTTP/HTTPS traffic.
Кому будет полезна статья:
Материал рассчитан на специалистов по кибербезопасности, исследователей вредоносных программ, а также всех, кто интересуется анализом безопасности мобильных приложений Android.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤2🤮2👍1
Forwarded from AI-шечка
Как AI-ассистенты открывают всему миру вашу почту и календарь
Всем привет!
Сегодня безумно популярна тема различных AI-агентов и в частности персональных AI-помощников, эдаких «Джарвисов» на минималках.
Эти помощники умеют читать и отправлять почту, ставить встречи в календарь и напоминать нам о них. И все это через удобный и привычный Телеграм!
Офигенно удобно, полезно и всячески ускоряет и упрощает нам жизнь! Если бы не одно но..
О том как создать такого ассистента и подключить его к своей почте есть огромное количество материалов, особенно видео на Youtube. Я посмотрел 10 наиболее популярных видео, у которых в сумме набирается около 700 000 просмотров.. И во всех есть один и тот же косяк!
Из-за неправильной настройки телеграм-тригера написать вашему «Джарвису» может кто угодно! И абсолютно также получить данные о письмах, контактах, встречах, написать письмо всем контактам и т.д. Любой человек, кто найдет вашего бота может получать любые данные! А учитывая, что многие сервисы осуществляют сброс пароля через подтверждение на почту, это может быть еще интереснее!!
Одна маленькая, скрытая настройка ставит под очень большой удар всю конфиденциальную информацию, что у нас есть 🎉
Я написал об этом небольшую статью и даже записал коротенькое видео, которое показывает, как это работает!
Надеюсь вам будет интересно узнать поподробнее, как это работает и как сделать вашего «Джарвиса» только вашим :)
До связи!
#aishe4ka #aiassistant #n8n
Всем привет!
Сегодня безумно популярна тема различных AI-агентов и в частности персональных AI-помощников, эдаких «Джарвисов» на минималках.
Эти помощники умеют читать и отправлять почту, ставить встречи в календарь и напоминать нам о них. И все это через удобный и привычный Телеграм!
Офигенно удобно, полезно и всячески ускоряет и упрощает нам жизнь! Если бы не одно но..
О том как создать такого ассистента и подключить его к своей почте есть огромное количество материалов, особенно видео на Youtube. Я посмотрел 10 наиболее популярных видео, у которых в сумме набирается около 700 000 просмотров.. И во всех есть один и тот же косяк!
Из-за неправильной настройки телеграм-тригера написать вашему «Джарвису» может кто угодно! И абсолютно также получить данные о письмах, контактах, встречах, написать письмо всем контактам и т.д. Любой человек, кто найдет вашего бота может получать любые данные! А учитывая, что многие сервисы осуществляют сброс пароля через подтверждение на почту, это может быть еще интереснее!!
Одна маленькая, скрытая настройка ставит под очень большой удар всю конфиденциальную информацию, что у нас есть 🎉
Я написал об этом небольшую статью и даже записал коротенькое видео, которое показывает, как это работает!
Надеюсь вам будет интересно узнать поподробнее, как это работает и как сделать вашего «Джарвиса» только вашим :)
До связи!
#aishe4ka #aiassistant #n8n
Хабр
Персональные AI-ассистенты или как открыть любому человеку свою почту и календарь
Всем привет! На связи Юрий Шабалин, директор продукта Стингрей. И сегодня у нас тема не про мобильные приложения, а, пожалуй, самая трендовая — про AI-ассистентов. Я не так давно увлекся темой...
👍9🔥5😱2❤1
Forwarded from Android Security & Malware
BrutDroid — Android Security Toolkit that automates tedious emulator setup with one command (emulator, Magisk, Frida, Burp certificates, etc.)
https://github.com/Brut-Security/BrutDroid/
https://github.com/Brut-Security/BrutDroid/
👍7❤3🤔1
А вот это очень даже рабочая идея, особенно для кастомного SSL Pinning, когда в коде прописываются кастомные методы доя OkHttp, например и без ручного анализа напрямую не отключишь.
Мы тоже для разных проверок так делаем, комбинация анализа smali и динамики, очень действенный метод и, наверное, единственно возможный.
Мы тоже для разных проверок так делаем, комбинация анализа smali и динамики, очень действенный метод и, наверное, единственно возможный.
❤1👍1🔥1
Forwarded from Дневник Комбеза
Ещё один вариант автоматизации рутины https://github.com/thecybersandeep/frida-noscript-gen
Скрипт для автогенерации обхода проверок на root и отключения ssl-pinning
Автор насколько я понял планирует поддерживать эту тулзу - возможно получится что-то удобное
Скрипт для автогенерации обхода проверок на root и отключения ssl-pinning
Автор насколько я понял планирует поддерживать эту тулзу - возможно получится что-то удобное
GitHub
GitHub - thecybersandeep/frida-noscript-gen: Generate Frida bypass noscripts for Android APK root and SSL checks.
Generate Frida bypass noscripts for Android APK root and SSL checks. - thecybersandeep/frida-noscript-gen
🔥10👍3❤2