Стоило мне рассказать про то какой нехороший iOS и на тебе))

CVE-2025-10184 is permission bypass that affects multiple OnePlus devices running OxygenOS 12–15 (NOT FIXED) with PoC

This vulnerability allows any application installed on the device to read SMS/MMS without permission, user interaction, or consent.

https://www.rapid7.com/blog/post/cve-2025-10184-oneplus-oxygenos-telephony-provider-permission-bypass-not-fixed/

PoC works on fully patched Android 15 device.

AppCenter от Microsoft кончился?

Уважаемые разработчики, кто использовал AppCenter, я же правильно понимаю, что он все, мертв и с 31 марта все уважающие себя люди переехали в Firebase/Testflight? Или это касается чего-то другого, потому что я по прежнему могу войти в систему, но вроде как скачать/загрузить приложения больше нельзя.

Как-то эта новость вообще мимо меня прошла, помогите понять, пожалуйста) А то я немного слоупок похоже)

https://learn.microsoft.com/ru-ru/appcenter/retirement

Подпиши APK по братски

Многие волнуются из-за новых правил распространения приложений от Google и переживают, что это усложнит пентесты мобильных приложений.
Но, судя по этому посту, изменений для нас нет: через ADB приложения по-прежнему будут устанавливаться без проблем.

Единственное, что усложнится — обычным пользователям станет труднее ставить APK, подписанные непонятно кем.
Злоумышленники, конечно, могут наклепать аккаунтов разработчиков и глобально на ситуацию внедрение подписи не изменит.

Продолжаем просто наблюдать за ситуацией, ну и в бетта-тест "супербезопасной" фичи записываемся

а ровно два года назад в это самое время :)

Мы первый раз встречались на небольшом междусобойчике) было оч классно!)😀

Подборочка каналов про ИБ

Я тут недавно вписался в подборку каналов по ИБ и обнаружил внутри много интересных, о которых не знал раньше.

Надеюсь и каждый из вас найдет что-то интересное.

Ну а пока смотрите подборку из поста, напишите в комментариях, какие каналы читаете вы по безопасности (лучше про мобилки, но и остальные подойдут). Вполне вероятно, что кто-то найдет для себя крайне полезный контент)

И да, всем отличного вечера пятницы!

Наброшу небольшой оффтоп от темы по мобилкам про хранилища сертификатов - я большой сторонник того что системному хранилищу сертов доверять не стоит вообще, причём на любой ОС. Лучше иметь своё хранилище, или же сильно ограничить системное.

И даже более того - я активно пропагандирую, в том числе и своим личным примером, отказываться от большинства сертификатов, которые нам по умолчанию поставляют в ОС, и разные продукты, потому что 80% из них - разный мутный шлак: разные государственные сертификаты, сертификаты мутных конторок, сертификаты контор которые занимаются разработкой DLP систем, сертфикаты ОПСОСов, сертификаты мутных типов которые поставляли решения о точечном перехвате и расшифровке https трафика на лету для правительств по всему миру, разные странные конторы, которые фактически вообще не занимаются инфраструктурой открытых ключей, и т.д.

ВСЕ эти странные ребята имеют возможность перехватывать, расшифровывать и подменять по сути ЛЮБОЙ трафик любого устройства в любой точке на планете, в том числе и ваш. Для меня это не окей. Благо сертификаты из системного хранилища можно отключать на всех ОС (кроме болезной iOS). У меня у самого на компудахтере и телефоне выключено порядка 60-80 процентов всех сертов, и я так отлично живу уже почти 2 года, а для собственных важных селфхостед сервисов у меня свой корневой серт и mtls 🌚

Всем рекомендую задуматься об этом и возможно делать также как я)

Кстати, насчёт той темы с сертами - тут пару недель назад выложили моё выступление по этой теме)
https://www.youtube.com/watch?v=EsaaEGoU4Ag

Всем привет!
Скоро уже новый год (скорее бы). Ну а пока все начинают подводить итоги. И хотел вас пригласить на одну из конференций, на которой мне как-то тоже посчастливилось поучаствовать. Очень уютная и приятная атмосфера :)

До встречи ;)