Forwarded from Небезопасность
Помните, как на больших ИБ-конференциях приходили на стенды сообществ - открывали там замки отмычками, общались с настоящими энтузиастами аппаратного хакинга, слушали уникальные доклады "off-grid", которые часто читались даже без микрофона?
Все можно было потрогать и многому научиться на практике...
Мы сохранили дух старой школы, и зовем всех 28 сентября в Москве, на конференцию сообществ UnderConf2!
Что будет:
Люди, прежде всего. Придут многие ОЧЕНЬ ИЗВЕСТНЫЕ🏆 в узких и не очень кругах, будет много ибэшников и айтишников, и минимум "левого народа"
Воркшопы - как всегда, локпикинг, но кроме этого - полноценный стенд hardware-хакинга, где проведут полный анализ настоящего промышленного 🏭 девайса и покажут reverse engineering прямо на ваших глазах, от слива прошивки до полного управления устройством
Кроме того, приходите с💻 ноутбуком - и сможете поучаствовать в соревнованиях формата Pentest Lab, и не просто так, а выиграть неплохие призы
Будут викторины на знание ИБ с роботом🤖 Бендером, мастер-классы по использованию ML в работе безопасника, и даже выездной сетап винтажных компов от Лунохода в формате игрового клуба 90-х (да, будем резаться в Кваку)! И даже настолка по ИБ у нас планируется
БОНУС: На стенде @theaftertimes (да, будет стенд!) можно будет потрогать древнее📲 телефонное, очень редкие модели на старинных операционках. Также автор @rutheniumos откроет посетителям тайну, почему выжили только Android и iOS
Но самое главное - это 🎤 доклады. Мы сумели собрать трек докладчиков, каждый из которых знает в своем деле очень многое. И расскажет вам.
😶🌫️ Гвоздь программы - кальянная зона для всех желающих (строго 18+)
Приходите к нам, будет весело и 100% познавательно!
Когда и где?🗺
Купить билет 🎫
Видео с прошлого UnderConf'а 🎞
📅 28 сентября с 8:30 до 20:00
📍 Quattro Space, Мясницкая, 13, стр. 20
Все можно было потрогать и многому научиться на практике...
Мы сохранили дух старой школы, и зовем всех 28 сентября в Москве, на конференцию сообществ UnderConf2!
Что будет:
Люди, прежде всего. Придут многие ОЧЕНЬ ИЗВЕСТНЫЕ
Воркшопы - как всегда, локпикинг, но кроме этого - полноценный стенд hardware-хакинга, где проведут полный анализ настоящего промышленного 🏭 девайса и покажут reverse engineering прямо на ваших глазах, от слива прошивки до полного управления устройством
Кроме того, приходите с
Будут викторины на знание ИБ с роботом
БОНУС: На стенде @theaftertimes (да, будет стенд!) можно будет потрогать древнее
Но самое главное - это 🎤 доклады. Мы сумели собрать трек докладчиков, каждый из которых знает в своем деле очень многое. И расскажет вам.
Приходите к нам, будет весело и 100% познавательно!
Когда и где?
Купить билет 🎫
Видео с прошлого UnderConf'а 🎞
📅 28 сентября с 8:30 до 20:00
📍 Quattro Space, Мясницкая, 13, стр. 20
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6🌭1
Стоило мне рассказать про то какой нехороший iOS и на тебе))
😁3
Forwarded from Fly Dragon Fly
CVE-2025-10184 is permission bypass that affects multiple OnePlus devices running OxygenOS 12–15 (NOT FIXED) with PoC
This vulnerability allows any application installed on the device to read SMS/MMS without permission, user interaction, or consent.
https://www.rapid7.com/blog/post/cve-2025-10184-oneplus-oxygenos-telephony-provider-permission-bypass-not-fixed/
This vulnerability allows any application installed on the device to read SMS/MMS without permission, user interaction, or consent.
https://www.rapid7.com/blog/post/cve-2025-10184-oneplus-oxygenos-telephony-provider-permission-bypass-not-fixed/
🔥9❤3❤🔥2😢2😱1
Forwarded from Fly Dragon Fly
CPBlindSQLi.apk
3 MB
PoC works on fully patched Android 15 device.
🔥5❤2😁2
AppCenter от Microsoft кончился?
Уважаемые разработчики, кто использовал AppCenter, я же правильно понимаю, что он все, мертв и с 31 марта все уважающие себя люди переехали в Firebase/Testflight? Или это касается чего-то другого, потому что я по прежнему могу войти в систему, но вроде как скачать/загрузить приложения больше нельзя.
Как-то эта новость вообще мимо меня прошла, помогите понять, пожалуйста) А то я немного слоупок похоже)
https://learn.microsoft.com/ru-ru/appcenter/retirement
Уважаемые разработчики, кто использовал AppCenter, я же правильно понимаю, что он все, мертв и с 31 марта все уважающие себя люди переехали в Firebase/Testflight? Или это касается чего-то другого, потому что я по прежнему могу войти в систему, но вроде как скачать/загрузить приложения больше нельзя.
Как-то эта новость вообще мимо меня прошла, помогите понять, пожалуйста) А то я немного слоупок похоже)
https://learn.microsoft.com/ru-ru/appcenter/retirement
Docs
Прекращение работы Центра приложений Visual Studio - Visual Studio App Center
Центр приложений Visual Studio планируется вывести из эксплуатации
😱2🤨1
Forwarded from Дневник Комбеза
Подпиши APK по братски
Многие волнуются из-за новых правил распространения приложений от Google и переживают, что это усложнит пентесты мобильных приложений.
Но, судя по этому посту, изменений для нас нет: через ADB приложения по-прежнему будут устанавливаться без проблем.
Единственное, что усложнится — обычным пользователям станет труднее ставить APK, подписанные непонятно кем.
Злоумышленники, конечно, могут наклепать аккаунтов разработчиков и глобально на ситуацию внедрение подписи не изменит.
Продолжаем просто наблюдать за ситуацией, ну и в бетта-тест "супербезопасной" фичи записываемся
Многие волнуются из-за новых правил распространения приложений от Google и переживают, что это усложнит пентесты мобильных приложений.
Но, судя по этому посту, изменений для нас нет: через ADB приложения по-прежнему будут устанавливаться без проблем.
Единственное, что усложнится — обычным пользователям станет труднее ставить APK, подписанные непонятно кем.
Злоумышленники, конечно, могут наклепать аккаунтов разработчиков и глобально на ситуацию внедрение подписи не изменит.
Продолжаем просто наблюдать за ситуацией, ну и в бетта-тест "супербезопасной" фичи записываемся
Android Developers Blog
Let's talk security: Answering your top questions about Android developer verification
News and insights on the Android platform, developer tools, and events.
👍5
Mobile AppSec World
Встречаемся через час на Mobile Appsec Club Всем привет! Уже через час жду всех, кто хочет в Wino bar! Прихватите с собой отличное настроение и парочку классных историй :)
а ровно два года назад в это самое время :)
Мы первый раз встречались на небольшом междусобойчике) было оч классно!)😀
Мы первый раз встречались на небольшом междусобойчике) было оч классно!)😀
🔥2❤1
Подборочка каналов про ИБ
Я тут недавно вписался в подборку каналов по ИБ и обнаружил внутри много интересных, о которых не знал раньше.
Надеюсь и каждый из вас найдет что-то интересное.
Ну а пока смотрите подборку из поста, напишите в комментариях, какие каналы читаете вы по безопасности (лучше про мобилки, но и остальные подойдут). Вполне вероятно, что кто-то найдет для себя крайне полезный контент)
И да, всем отличного вечера пятницы!
Я тут недавно вписался в подборку каналов по ИБ и обнаружил внутри много интересных, о которых не знал раньше.
Надеюсь и каждый из вас найдет что-то интересное.
Ну а пока смотрите подборку из поста, напишите в комментариях, какие каналы читаете вы по безопасности (лучше про мобилки, но и остальные подойдут). Вполне вероятно, что кто-то найдет для себя крайне полезный контент)
И да, всем отличного вечера пятницы!
🔥7❤3👍2💩1
Forwarded from Pavel Vasiliev
Наброшу небольшой оффтоп от темы по мобилкам про хранилища сертификатов - я большой сторонник того что системному хранилищу сертов доверять не стоит вообще, причём на любой ОС. Лучше иметь своё хранилище, или же сильно ограничить системное.
И даже более того - я активно пропагандирую, в том числе и своим личным примером, отказываться от большинства сертификатов, которые нам по умолчанию поставляют в ОС, и разные продукты, потому что 80% из них - разный мутный шлак: разные государственные сертификаты, сертификаты мутных конторок, сертификаты контор которые занимаются разработкой DLP систем, сертфикаты ОПСОСов, сертификаты мутных типов которые поставляли решения о точечном перехвате и расшифровке https трафика на лету для правительств по всему миру, разные странные конторы, которые фактически вообще не занимаются инфраструктурой открытых ключей, и т.д.
ВСЕ эти странные ребята имеют возможность перехватывать, расшифровывать и подменять по сути ЛЮБОЙ трафик любого устройства в любой точке на планете, в том числе и ваш. Для меня это не окей. Благо сертификаты из системного хранилища можно отключать на всех ОС (кроме болезной iOS). У меня у самого на компудахтере и телефоне выключено порядка 60-80 процентов всех сертов, и я так отлично живу уже почти 2 года, а для собственных важных селфхостед сервисов у меня свой корневой серт и mtls 🌚
Всем рекомендую задуматься об этом и возможно делать также как я)
И даже более того - я активно пропагандирую, в том числе и своим личным примером, отказываться от большинства сертификатов, которые нам по умолчанию поставляют в ОС, и разные продукты, потому что 80% из них - разный мутный шлак: разные государственные сертификаты, сертификаты мутных конторок, сертификаты контор которые занимаются разработкой DLP систем, сертфикаты ОПСОСов, сертификаты мутных типов которые поставляли решения о точечном перехвате и расшифровке https трафика на лету для правительств по всему миру, разные странные конторы, которые фактически вообще не занимаются инфраструктурой открытых ключей, и т.д.
ВСЕ эти странные ребята имеют возможность перехватывать, расшифровывать и подменять по сути ЛЮБОЙ трафик любого устройства в любой точке на планете, в том числе и ваш. Для меня это не окей. Благо сертификаты из системного хранилища можно отключать на всех ОС (кроме болезной iOS). У меня у самого на компудахтере и телефоне выключено порядка 60-80 процентов всех сертов, и я так отлично живу уже почти 2 года, а для собственных важных селфхостед сервисов у меня свой корневой серт и mtls 🌚
Всем рекомендую задуматься об этом и возможно делать также как я)
👍12🫡6😁4
Forwarded from Pavel Vasiliev
Кстати, насчёт той темы с сертами - тут пару недель назад выложили моё выступление по этой теме)
https://www.youtube.com/watch?v=EsaaEGoU4Ag
https://www.youtube.com/watch?v=EsaaEGoU4Ag
YouTube
Павел Васильев. Доверяй, но проверяй: про корневые сертификаты в Android и не только
Тезисы
В докладе поделюсь историей одного спонтанного исследования корней доверия в ОС Андроид.
Объясню, как работают цепочки доверия сертификатов и защита https от перехвата. Расскажу, как пентестеры перехватывают и расшифровывают https-трафик мобильных…
В докладе поделюсь историей одного спонтанного исследования корней доверия в ОС Андроид.
Объясню, как работают цепочки доверия сертификатов и защита https от перехвата. Расскажу, как пентестеры перехватывают и расшифровывают https-трафик мобильных…
👍11
Forwarded from RutheniumOS
YouTube
Архитектура утечек в Android / Александр Чайка / VolgaCTF 2025
Слайды: http://archive.volgactf.ru/volgactf_2025/slides/VolgaCTF_2025_Chayka.pdf
Архитектура утечек в Android
Спикер: Александр Вир (Чайка)
________________________
Leak Architecture in Android
by Alexander Vir (Chaika)
Архитектура утечек в Android
Спикер: Александр Вир (Чайка)
________________________
Leak Architecture in Android
by Alexander Vir (Chaika)
👍6🔥2
Всем привет!
Скоро уже новый год (скорее бы). Ну а пока все начинают подводить итоги. И хотел вас пригласить на одну из конференций, на которой мне как-то тоже посчастливилось поучаствовать. Очень уютная и приятная атмосфера :)
До встречи ;)
Скоро уже новый год (скорее бы). Ну а пока все начинают подводить итоги. И хотел вас пригласить на одну из конференций, на которой мне как-то тоже посчастливилось поучаствовать. Очень уютная и приятная атмосфера :)
До встречи ;)
❤3👍3🔥2
Открыта регистрация на главную аналитическую конференцию Код ИБ ИТОГИ в Москве
🗓 4 декабря | Начало в 9:30
📍 Palmira Business Club
Более 50 экспертов по ИБ разберут ключевые события года, представят свежую аналитику и озвучат прогнозы на будущее.
В программе:
📌 3 дискуссии
— CISO говорят
— БОССЫ кибербеза говорят
— Стартапы говорят
📌 6 тематических сессий
— Защита инфраструктуры
— Культура кибербезопасности
— Анализ защищенности
— Защита данных
— Безопасная разработка
— Процессы
А также:
— Зона со стендами ИБ-компаний
— Новогодние угощения
— Розыгрыши подарков
— Дружественная атмосфера
Опытом поделятся практики из ведущих компаний: Яндекс, СберТех, Билайн, Райффайзенбанк, СОГАЗ, ГК Элемент и др.
Успейте забронировать место — участие бесплатное по предварительной регистрации.
➡️ Стать участником
Более 50 экспертов по ИБ разберут ключевые события года, представят свежую аналитику и озвучат прогнозы на будущее.
В программе:
📌 3 дискуссии
— CISO говорят
— БОССЫ кибербеза говорят
— Стартапы говорят
📌 6 тематических сессий
— Защита инфраструктуры
— Культура кибербезопасности
— Анализ защищенности
— Защита данных
— Безопасная разработка
— Процессы
А также:
— Зона со стендами ИБ-компаний
— Новогодние угощения
— Розыгрыши подарков
— Дружественная атмосфера
Опытом поделятся практики из ведущих компаний: Яндекс, СберТех, Билайн, Райффайзенбанк, СОГАЗ, ГК Элемент и др.
Успейте забронировать место — участие бесплатное по предварительной регистрации.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🔥5👍3💩2☃1