Forwarded from RutheniumOS
Срочное включение. Там на Y и на Пикабу Реддите говорят всё плохо, дни AOSP сочтены, GrapheneOS умер и RutheniumOS приуныл, даже земля на небесную ось налетела, короче ужас. В связи с этим хочу внести ясность.
Google не убивает AOSP — но просто меняет его в худшую сторону,как обычно
Что говорят Google
«Ходят слухи, что AOSP будет свёрнут. Чтобы было ясно: AOSP никуда не исчезает. Он создавался как платформа для open-source реализаций устройств, чипов и архитектур. Мы продолжаем поддерживать референс-цели — виртуальный Cuttlefish и GSI — для тестирования и разработки.»
— Seang Chau, вице-президент, Android Platform
Источник
Что происходит
— Google больше не публикует device-tree, бинарники и историю коммитов для Pixel.
— Сборка полноценного AOSP под Pixel невозможна без ручной реконструкции.
— Основная разработка Android теперь идёт в закрытой ветке — в AOSP попадает только финальный код с задержкой.
Что говорят GrapheneOS
«Нам сообщили, что AOSP закроют. Первый шаг — удаление Pixel-репозиториев в Android 16. Тогда мы не поверили, но теперь это происходит. По словам источника, официальный Android становится закрытым. Возможно, AOSP продолжится вне Google или проект отделят. Всё ещё может измениться, если Android выведут из-под контроля Google.»
Почему это важно
— Без истории коммитов теряется прозрачность и возможность аудита.
— Разработчики ROM'ов теперь должны вручную воссоздавать device-trees.
— Задержки в выкладке патчей снижают скорость реакции на уязвимости.
— AOSP превращается из основы в производную — без гарантии актуальности.
Резюмируя: AOSP и прошивкостроение пока живо — но проблем явно прибавится.
Google не убивает AOSP — но просто меняет его в худшую сторону,
Что говорят Google
«Ходят слухи, что AOSP будет свёрнут. Чтобы было ясно: AOSP никуда не исчезает. Он создавался как платформа для open-source реализаций устройств, чипов и архитектур. Мы продолжаем поддерживать референс-цели — виртуальный Cuttlefish и GSI — для тестирования и разработки.»
— Seang Chau, вице-президент, Android Platform
Источник
Что происходит
— Google больше не публикует device-tree, бинарники и историю коммитов для Pixel.
— Сборка полноценного AOSP под Pixel невозможна без ручной реконструкции.
— Основная разработка Android теперь идёт в закрытой ветке — в AOSP попадает только финальный код с задержкой.
Что говорят GrapheneOS
«Нам сообщили, что AOSP закроют. Первый шаг — удаление Pixel-репозиториев в Android 16. Тогда мы не поверили, но теперь это происходит. По словам источника, официальный Android становится закрытым. Возможно, AOSP продолжится вне Google или проект отделят. Всё ещё может измениться, если Android выведут из-под контроля Google.»
Почему это важно
— Без истории коммитов теряется прозрачность и возможность аудита.
— Разработчики ROM'ов теперь должны вручную воссоздавать device-trees.
— Задержки в выкладке патчей снижают скорость реакции на уязвимости.
— AOSP превращается из основы в производную — без гарантии актуальности.
Резюмируя: AOSP и прошивкостроение пока живо — но проблем явно прибавится.
🤯5😢3🤔1👾1
Внимание, вакансия!!
Всем привет!
Мы ищем к себе в команду опытного специалиста в мобилках!
https://hh.ru/vacancy/121675622
Предстоит много интересной работы, пентестов, аналитики и исследований! В основном Android-приложения предстоит ковырять)
Можно откликаться на hh или писать напрямую мне @Mr_r1p
Очень ждем вас у нас, в наш уютный коллектив :)
Всем привет!
Мы ищем к себе в команду опытного специалиста в мобилках!
https://hh.ru/vacancy/121675622
Предстоит много интересной работы, пентестов, аналитики и исследований! В основном Android-приложения предстоит ковырять)
Можно откликаться на hh или писать напрямую мне @Mr_r1p
Очень ждем вас у нас, в наш уютный коллектив :)
hh.ru
Вакансия Специалист по анализу защищенности мобильных приложений (Professional Services) в Москве, работа в компании Swordfish…
Зарплата: не указана. Москва. Требуемый опыт: 3–6 лет. Полная. Дата публикации: 13.07.2025.
🔥10
Mobile AppSec World
Загрузка приложений из AppStore больше не работает! А пока мы спокойно отдыхаем на выходных, Apple изменила свой API и теперь ни один инструмент по загрузке приложений из AppStore больше не работает. Сломаны ipatool, ipatool-py, наша интеграция и всё, что…
Загрузка из AppStore снова работает!
В целом, в заголовке все и сказано :)
Снова работает интеграция с AppStore и снова mdast-cli работает корректно со всеми магазинами приложений и системами дистрибуции!
Так что качайте, устанавливайте спокойно и без проблем!
#ios #appstore #mdastcli
В целом, в заголовке все и сказано :)
Снова работает интеграция с AppStore и снова mdast-cli работает корректно со всеми магазинами приложений и системами дистрибуции!
Так что качайте, устанавливайте спокойно и без проблем!
#ios #appstore #mdastcli
GitHub
GitHub - Dynamic-Mobile-Security/mdast-cli
Contribute to Dynamic-Mobile-Security/mdast-cli development by creating an account on GitHub.
🔥15❤1
This media is not supported in your browser
VIEW IN TELEGRAM
Всем, кто любит квизы
Так получилось, что я и моя семья очень любим квизы и викторины :)
И для того, чтобы играть в них и не зависеть от непостоянства разных ботов, я решил сделать свой небольшой канал, который посвящен квизам)
Всё просто, один вопрос, 4 варианта ответа, режим викторины и через полчасика публикация ответа с пояснением. Получилось очень прикольно, особенно с пояснением, узнаешь много новых вещей)
12 вопросов каждый день, вечером сверяем, кто лучше всех справился :)
Если вам интересно, присоединяйтесь!
Сообщения приходят без звука, так что отвлекать сильно не будет :)
Так получилось, что я и моя семья очень любим квизы и викторины :)
И для того, чтобы играть в них и не зависеть от непостоянства разных ботов, я решил сделать свой небольшой канал, который посвящен квизам)
Всё просто, один вопрос, 4 варианта ответа, режим викторины и через полчасика публикация ответа с пояснением. Получилось очень прикольно, особенно с пояснением, узнаешь много новых вещей)
12 вопросов каждый день, вечером сверяем, кто лучше всех справился :)
Если вам интересно, присоединяйтесь!
Сообщения приходят без звука, так что отвлекать сильно не будет :)
Telegram
QuizTime
Каждый час — новый вызов твоему уму!
📍 С 10:00 до 22:00 мы публикуем интеллектуальные квизы: 1 вопрос, 4 варианта ответа, 1 правильный выбор.
Проверь свою эрудицию, разбери ошибки и соревнуйся с друзьями.
👉 Никаких сложностей — только кайф!
📍 С 10:00 до 22:00 мы публикуем интеллектуальные квизы: 1 вопрос, 4 варианта ответа, 1 правильный выбор.
Проверь свою эрудицию, разбери ошибки и соревнуйся с друзьями.
👉 Никаких сложностей — только кайф!
❤6👍5
Forwarded from Crypto Radar
Массовая утечка 16 млрд паролей: криптоопасность
🔥 Внимание всем! Недавно в информационном пространстве появилась тревожная новость: утекли 16 миллиардов паролей, включая данные от таких гигантов, как Apple, Facebook и Google. Этот инцидент вызывает серьезные опасения, особенно для крипто-энтузиастов, где безопасность является ключевым звеном!
🔒 Что это значит? Если вы пользуетесь криптовалютными сервисами, то ваша безопасность напрямую зависит от надежности пароля. Постарайтесь обновить свои данные и не забывайте применять двухфакторную аутентификацию (2FA) для дополнительной защиты.
💡 Поддерживайте бдительность и регулярно обновляйте меры безопасности, чтобы ваши активы были максимально защищены.
Сноски:
[1] 16 млрд – сокращенно от 16 миллиардов.
[2] 2FA (двухфакторная аутентификация) – метод защиты, требующий подтверждения входа через дополнительное устройство или код.
[3] Apple, Facebook, Google – мировые технологические гиганты, предоставляющие широкий спектр интернет-сервисов.
Источник: https://cointelegraph.com/news/16b-passwords-from-apple-facebook-and-google-leaked
#CryptoRadar #КриптоРадар #Криптовалюта #Cryptocurrency #CryptoNews #CryptoDigest #CryptoAnalytics
🔥 Внимание всем! Недавно в информационном пространстве появилась тревожная новость: утекли 16 миллиардов паролей, включая данные от таких гигантов, как Apple, Facebook и Google. Этот инцидент вызывает серьезные опасения, особенно для крипто-энтузиастов, где безопасность является ключевым звеном!
🔒 Что это значит? Если вы пользуетесь криптовалютными сервисами, то ваша безопасность напрямую зависит от надежности пароля. Постарайтесь обновить свои данные и не забывайте применять двухфакторную аутентификацию (2FA) для дополнительной защиты.
💡 Поддерживайте бдительность и регулярно обновляйте меры безопасности, чтобы ваши активы были максимально защищены.
Сноски:
[1] 16 млрд – сокращенно от 16 миллиардов.
[2] 2FA (двухфакторная аутентификация) – метод защиты, требующий подтверждения входа через дополнительное устройство или код.
[3] Apple, Facebook, Google – мировые технологические гиганты, предоставляющие широкий спектр интернет-сервисов.
Источник: https://cointelegraph.com/news/16b-passwords-from-apple-facebook-and-google-leaked
#CryptoRadar #КриптоРадар #Криптовалюта #Cryptocurrency #CryptoNews #CryptoDigest #CryptoAnalytics
👎10🤡5❤1
Crypto Radar
Массовая утечка 16 млрд паролей: криптоопасность 🔥 Внимание всем! Недавно в информационном пространстве появилась тревожная новость: утекли 16 миллиардов паролей, включая данные от таких гигантов, как Apple, Facebook и Google. Этот инцидент вызывает серьезные…
Массовая утечка паролей
Только ленивый еще не написал про «самую крупную» утечку…
Ну, объективно, никакой конкретики, только общие фразы про свежие данные в продаваемых данных.
как обычно, похоже на очередной хайп и очередную склейку из кучи прошлых дампов и может пары новых)
Мы все умрем, меняйте пароли!
На самом деле, если так подумать, то распиарив эту новость, если хоть часть людей поменяют пароли в основных сервисах, то может это и неплохо на самом деле..
Только ленивый еще не написал про «самую крупную» утечку…
Ну, объективно, никакой конкретики, только общие фразы про свежие данные в продаваемых данных.
как обычно, похоже на очередной хайп и очередную склейку из кучи прошлых дампов и может пары новых)
Мы все умрем, меняйте пароли!
На самом деле, если так подумать, то распиарив эту новость, если хоть часть людей поменяют пароли в основных сервисах, то может это и неплохо на самом деле..
Forbes
16 Billion Apple, Facebook, Google And Other Passwords Leaked
As 16 billion credentials are confirmed as having been leaked, is it time to switch from passwords to passkeys?
🔥9🤡5👌3😁1
Forwarded from Подслушано в твиторе
Иногда я жду крупных утечек паролей, чтобы оттуда узнать, какие у меня пароли
😁42🤡1👻1🙈1
Forwarded from QuizTime
Какой язык программирования создал в 1995 году Расмус Лердорф, выпустив его как набор «Personal Home Page Tools» для динамической генерации веб-страниц?
Anonymous Quiz
6%
Ruby
77%
PHP
13%
JavaScript
4%
Python
👍4❤1
esReverse для анализа дампа конкретных функций
Что-то мы все про AI, да про ИИ, пора уже и руками поработать!
И сегодня рассмотрим очень интересный подход для анализа интересующих функций в Android-приложениях с использованием esReverse.
Зачем всё это?
Полноценный эмулятор Android удобен, но он тяжёлый, съедает гигабайты и не подходит (ну или надо с-и-и-и-льно постараться), как только приложение проверяет «железо». Например, когда приложения требуют TrustZone, SIM-карту, Bluetooth или NFC..
Идея: использовать Frida на живом устройстве как «видеокамеру» для кода. Модуль Stalker в Frida фиксирует каждую инструкцию и доступ к памяти, перекидывает их в маленький Python-мост, а тот пишет файлы
Что получаем?
Записываешь ровно нужный участок (например, одну JNI-функцию); trace на тысячу инструкций делается меньше чем за минуту. Затем открываешь файл в esReverse и отматываешь выполнение вперёд-назад, видя регистры и память «кадр за кадром» — как в видеоплеере, только для ассемблера.
Один раз снял — дальше анализируешь офлайн, без постоянных перезапусков приложения.
Вообще, интересный подход, когда дампишь чисто нужную функцию и исследуешь. Я пока не пробовал, но звучит интересно!
По крайней в мере в статье ребята хорошо прям описали принцип работы. Хоть и многое остается непонятным, пока не попробуешь, но читать интересно!
Надеюсь те, кто использует, подскажет, стоит ли оно того?))
Всем отличных выходных!
#frida #reverse
Что-то мы все про AI, да про ИИ, пора уже и руками поработать!
И сегодня рассмотрим очень интересный подход для анализа интересующих функций в Android-приложениях с использованием esReverse.
Зачем всё это?
Полноценный эмулятор Android удобен, но он тяжёлый, съедает гигабайты и не подходит (ну или надо с-и-и-и-льно постараться), как только приложение проверяет «железо». Например, когда приложения требуют TrustZone, SIM-карту, Bluetooth или NFC..
Идея: использовать Frida на живом устройстве как «видеокамеру» для кода. Модуль Stalker в Frida фиксирует каждую инструкцию и доступ к памяти, перекидывает их в маленький Python-мост, а тот пишет файлы
trace.bin, trace.cache и memhist.sqlite — формат совместим с Time Travel Analysis в esReverse. Что получаем?
Записываешь ровно нужный участок (например, одну JNI-функцию); trace на тысячу инструкций делается меньше чем за минуту. Затем открываешь файл в esReverse и отматываешь выполнение вперёд-назад, видя регистры и память «кадр за кадром» — как в видеоплеере, только для ассемблера.
Один раз снял — дальше анализируешь офлайн, без постоянных перезапусков приложения.
Вообще, интересный подход, когда дампишь чисто нужную функцию и исследуешь. Я пока не пробовал, но звучит интересно!
По крайней в мере в статье ребята хорошо прям описали принцип работы. Хоть и многое остается непонятным, пока не попробуешь, но читать интересно!
Надеюсь те, кто использует, подскажет, стоит ли оно того?))
Всем отличных выходных!
#frida #reverse
❤12👍5👎1
QuizTime
Какой язык программирования создал в 1995 году Расмус Лердорф, выпустив его как набор «Personal Home Page Tools» для динамической генерации веб-страниц?
Периодически всплывают вопросы про нашу тематику))
присоединяйтесь)
https://news.1rj.ru/str/quiztimebraintrain
присоединяйтесь)
https://news.1rj.ru/str/quiztimebraintrain
Telegram
QuizTime
Каждый час — новый вызов твоему уму!
📍 С 10:00 до 22:00 мы публикуем интеллектуальные квизы: 1 вопрос, 4 варианта ответа, 1 правильный выбор.
Проверь свою эрудицию, разбери ошибки и соревнуйся с друзьями.
👉 Никаких сложностей — только кайф!
📍 С 10:00 до 22:00 мы публикуем интеллектуальные квизы: 1 вопрос, 4 варианта ответа, 1 правильный выбор.
Проверь свою эрудицию, разбери ошибки и соревнуйся с друзьями.
👉 Никаких сложностей — только кайф!
❤3
Подаемся скорее!
Как обычно, ожидаем скачок докладов в последние дни!
Если вы сомневаетесь, нужно ли подаваться, то ответ однозначно да!
Особенно, если ваща тема связана с мобилками! Докладов таких очень немного, а хочется))
Ждем ваших заявок, друзья!
Как обычно, ожидаем скачок докладов в последние дни!
Если вы сомневаетесь, нужно ли подаваться, то ответ однозначно да!
Особенно, если ваща тема связана с мобилками! Докладов таких очень немного, а хочется))
Ждем ваших заявок, друзья!
😁1
Forwarded from OFFZONE
This media is not supported in your browser
VIEW IN TELEGRAM
Но это будет через неделю. А пока — ждем вас и ваши темы докладов.
Напоминаем, что можно податься сразу на несколько треков. А еще напоминаем, что мы написали подробный гайд о том, как правильно оформить заявку. Хорошая заявка повысит ваш шанс пройти отбор.
Дерзайте :)
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from RutheniumOS
TapTrap: новая уязвимость Android без рута.
Исследователи TU Wien и Университета Байройта нашли способ обхода разрешений в Android — через невидимые системные анимации. Метод назвали TapTrap.
Как работает: вы думаете, что нажимаете кнопку в приложении, а на самом деле — подтверждаете доступ к камере или стираете данные. Всё из-за почти прозрачной системной анимации поверх интерфейса.
Атака работает на Android 15 и 16. Уязвимы 76% приложений из Google Play. Google обещает исправить, GrapheneOS уже готовит патч.
Исследователи TU Wien и Университета Байройта нашли способ обхода разрешений в Android — через невидимые системные анимации. Метод назвали TapTrap.
Как работает: вы думаете, что нажимаете кнопку в приложении, а на самом деле — подтверждаете доступ к камере или стираете данные. Всё из-за почти прозрачной системной анимации поверх интерфейса.
Атака работает на Android 15 и 16. Уязвимы 76% приложений из Google Play. Google обещает исправить, GrapheneOS уже готовит патч.
👍10😢6
Forwarded from SberHealth IT
Уязвимости в мобильных приложениях, как они выглядят и так ли безопасны приложения для iOS
У нас отличная новость!
Анонсируем еще одного спикера на Mobile Meetup 10 сентября.
К нам присоединился Юрий Шабалин, эксперт в области мобильной безопасности⭐️
В своем докладе Юрий разберет часто встречающиеся уязвимости на примерах реальных мобильных приложений (ни один разработчик не пострадал). Рассмотрит проблемы небезопасного хранения данных: приватные ключи от сторонних сервисов и что с их помощью можно сделать. Поделится, почему не нужно надеяться на защиту ОС, как открыть любой экран в приложении в обход защитных механизмов и почему докладчик так любит Flutter.
В особенности затронем тему iOS: так ли безопасны приложения, как считается и действительно ли там меньше проблем, чем в Android?
👇 Регистрация по ссылке
У нас отличная новость!
Анонсируем еще одного спикера на Mobile Meetup 10 сентября.
К нам присоединился Юрий Шабалин, эксперт в области мобильной безопасности
В своем докладе Юрий разберет часто встречающиеся уязвимости на примерах реальных мобильных приложений (ни один разработчик не пострадал). Рассмотрит проблемы небезопасного хранения данных: приватные ключи от сторонних сервисов и что с их помощью можно сделать. Поделится, почему не нужно надеяться на защиту ОС, как открыть любой экран в приложении в обход защитных механизмов и почему докладчик так любит Flutter.
В особенности затронем тему iOS: так ли безопасны приложения, как считается и действительно ли там меньше проблем, чем в Android?
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11👍7🔥5
Всем здравствуйте
Давненько я не писал ничего и нигде почти не появлялся) Работа накрыла с головой, но тем не менее, пора выходить из сумрака))
В ближайшее время планирую реанимироваться и начать снова постить разное интересное) Ну с пока приходите послушать доклад, надеюсь сделать интересно ;)
Давненько я не писал ничего и нигде почти не появлялся) Работа накрыла с головой, но тем не менее, пора выходить из сумрака))
В ближайшее время планирую реанимироваться и начать снова постить разное интересное) Ну с пока приходите послушать доклад, надеюсь сделать интересно ;)
🔥15❤4👍4
Forwarded from Дневник Комбеза
Лабубу для мобильного пентестера 🐒🔧
Или советы как жить и не тужить
В процессе работы с мобильными приложениями вы часто будете ловить вот
такие ошибки:
❌ Что с этим делать:
1️⃣ Используйте PID вместо имени пакета и не тратьте время на лишние
танцы:
2️⃣ Следите, какую версию frida/frida-server вы используете.
Несостыковки = боль.
3️⃣ Чтобы не поднимать всё руками каждый раз → ставим магиск-плагин:
👉 https://github.com/ViRb3/magisk-frida
4️⃣ Если вам мешает SELinux, просто переключите его в permissive:
👉 https://github.com/evdenis/selinux_permissive
🎁 Бонус: для сетевых проверок удобно юзать плагин, который сам кладёт
ваши проксейные сертификаты куда нужно:
👉 https://github.com/NVISOsecurity/AlwaysTrustUserCerts
Или советы как жить и не тужить
В процессе работы с мобильными приложениями вы часто будете ловить вот
такие ошибки:
objection -g com.mobsec.downflags explore
Using USB device Pixel 4
Traceback (most recent call last):
...
File "/opt/homebrew/lib/python3.13/site-packages/objection/console/cli.py", line 114, in explore
agent.inject()
~~~~~~~~~~~~^^
❌ Что с этим делать:
1️⃣ Используйте PID вместо имени пакета и не тратьте время на лишние
танцы:
frida --codeshare Q0120S/bypass-ssl-pinning -U -p 6850
objection -g 6850 explore
2️⃣ Следите, какую версию frida/frida-server вы используете.
Несостыковки = боль.
3️⃣ Чтобы не поднимать всё руками каждый раз → ставим магиск-плагин:
👉 https://github.com/ViRb3/magisk-frida
4️⃣ Если вам мешает SELinux, просто переключите его в permissive:
👉 https://github.com/evdenis/selinux_permissive
🎁 Бонус: для сетевых проверок удобно юзать плагин, который сам кладёт
ваши проксейные сертификаты куда нужно:
👉 https://github.com/NVISOsecurity/AlwaysTrustUserCerts
GitHub
GitHub - ViRb3/magisk-frida: 🔐 Run frida-server on boot with Magisk, always up-to-date
🔐 Run frida-server on boot with Magisk, always up-to-date - ViRb3/magisk-frida
❤10👍6😁2⚡1🤔1