Android Guards

В androidx есть такая библиотека: security-crypto. Многие о ней знают и используют. Была у нее только одна поблема, которая будоражила умы н̶е̶к̶р̶о̶ф̶и̶л̶о̶в любителей поддерживать старые версии android: minSdk=23. Сделано это было не от хорошей жизни, т.к. на версии ниже 23 (она же М) нельзя хранить симметричные ключи в AndroidKeystore. Для этого всегда изобретались дичайшие костыли и приседания вокруг асимметричной крипты в KeyChain. Видимо поэтому команда решила в это не играть, и отрубить старые версии. Но "Google идет нам навстречу" и даже иногда читает issue на своем трекере. Буквально вчера, нашим спецкореспондентом был замечен коммит, который устанавливает minSdk=21. Этот же коммит проводит некоторые косметические изменения, но не более. Ключи на версии ниже 23 не будут храниться в AndroidKeystore. Совершенно непонятно почему бы не сделать так сразу, т.к. используемый под капотом этой библиотеки Tink всегда работал на версии 21. #androidx_security, #security_best_practice

Вышла новая версия Frida 🎉 Они обновили все зависимости до свежих версий и наболее интересным обновлением выглядит V8 версия 8.4. Также добавлена поддержка Android 11 Developer Preview 4. Обновляемся! https://frida.re/news/2020/05/19/frida-12-9-released/

Давненько что-то Samsung не радовал нас багами в прошивках. На этот раз ошибку нашли в обработчике изображений встроенном в систему рендеринга графики. Уязвимость приводит к RCE. Нашли ее ребята из Google с помощью обычного фаззинга. Так что если вы до сир пор считали, что фаззинг это бесполезная трата времени, то пора менять свое отношение к этой технике. #samsung_bugs, #fuzzing https://www.opennet.ru/opennews/art.shtml?num=52896

Вот и произошло то, чего мы все так долго ждали (ну может не все, ладно…). ProtonMail выложили в открытый доступ исходники своего Android приложения. Они позиционируют себя как очень защищенная почта и их исходники многие хотели по двум причинам: 👮‍♀️ Убедиться, что там все так безопасно как они обещают 📚 Изучить применяемые их командой security-практики. Теперь все это лежит на github. Идем смотреть =) #security_best_practice, #protonmail_android https://github.com/ProtonMail/proton-mail-android

Скучно проводите выходные? Прекратите это делать. Если вы начинающий android reverse engineer, то вам будет полезно посмотреть этот тренинг. #reverse_engineering https://www.youtube.com/watch?v=BijZmutY0CQ

Вслед за взломом айфонов через отправку email сломали Bluetooth на андройде. Найденная уязвимость позволяет получить удаленный шелл на устройстве. По ссылке найдете полный разбор уязвимости с примерами и картинками. #bluetooth_bug, #reverse_engineering https://insinuator.net/2020/04/cve-2020-0022-an-android-8-0-9-0-bluetooth-zero-click-rce-bluefrag/

Я подумал и решил дать подсказку про ключ, который оказался самым сложным для участников. Возможно это поможет продвинуться нашим лидерам. Подсказка:Некоторые алгоритмы шифрования очень похожи и порой существуют под разными именами. Что мы еще знаем про алгоритмы шифрования? Они не всегда требуют указывать вектор инициализации. Так… Что еще… Ах да, ключ.. Некоторые из них не принимают ключ произвольной длины.

Вторая подсказка: Разработчики бывают весьма наивны и думают, что хранение токенов в коде приложения это "довольно безопасно". Но есть и такие, кто думает, что они умнее первых и делают то же самое, но уже не в коде приложения. Очень опасное заблуждение.

Найдено 4 ключа и я, как обещал, даю первую подсказку: Мета-данные - очень полезная вещь. Много чего можно из них узнать, например автора. Но не все форматы файлов имеют возможность хранить метаданные.

Статья от ребят из Plaid где они рассказывают почему использовать Chrome Custom Tabs гораздо безопаснее чем WebView. А ведь и правда, почему? 🏝 В отличие от WebView, CCT запускает себя (а значит и JavaScript) в своем собественном процессе 🔐 CCT отображает адрес посещаемого сайта и "замочек" безопасного (или нет) соединения Но ничего не дается бесплатно и проблемы с использованием CCT тоже есть. В статье написано с чем ребята столкнулись и как эти проблемы решали. #4developers, #webview, #chrome_custom_tabs https://blog.plaid.com/securing-webviews-with-chrome-custom-tabs/

Если вы еще не забыли (а я забыл), то в Goolge Pixel 3 и Pixel 3 XL появились отдельные security чипы "Titan M". Вместе с ними появилось такое понятие как StrongBox KeyStore APIs, которое обещает хранить наши ключи "в железе". Наткнулся на старую, но все еще актуальную статью, которая объясняет разницу между тем как ключи хранили "в железе" раньше (23+) и как они хранятся сейчас (28+). #strongbox, #cryptography, #pixel https://proandroiddev.com/android-keystore-what-is-the-difference-between-strongbox-and-hardware-backed-keys-4c276ea78fd0

Самоизоляция продолжается, а вместе с ней нарастает скука. Чтобы как-то вас развлечь, я хочу предложить решить crackme начального уровня. Закаленным в боях реверсерам и ctf-ерам он может показаться скучным, но кто знает, может и для вас найдется над чем подумать. Задача: у вас есть apk файл crackme1.apk (контрольная сумма: 93baa133485e8d1fb069effd4528c0a4b2acef69), который содержит 5 ключей. Нужно их найти. Проверить правильность ключа можно у бота: @android_guards_crackme_bot Если история зайдет, то сделаю crackme посложнее. Всем хороших выходных! 😉 #reverse_engineering, #just4fun

Многие уже слышали историю про “Социальный мониторинг”. Наткнулся на хабропост где разбираются основные проблемы. Если кто-то еще не вкурсе, то это отличный повод узнать что же произошло. #reverse_engineering https://habr.com/en/post/495606/

Нашел сайт, куда выкладывают записи конференций по безопасности. Контента очень много и он регулярно обновляется. Проведите ближайший месяц с пользой 🦠 #conference https://infocon.org/cons/

Вы всегда хотели русскоговоряющую шпаргалку по Smali? Теперь она есть. Ставим звездочки, предлагаем правки. #4developers, #reverse_engineering, #smali https://habr.com/en/post/495024/

Вышла в релиз довольно удобная веб-панелька для работы с java классами и методами в рантайме. Можно хукать методы, смотреть их аргументы и значения, что помогает лучше понять поток выполнения приложения. Построена на базе Frida и требует установки Frida сервера на устройстве. Пока все работает не так хорошо, как хотелось бы, но задумка отличная. #reverse_engineering #frida https://github.com/m0bilesecurity/RMS-Runtime-Mobile-Security

В современном мире стало очень много данных. И очень много людей, которые этими данными интересуются. Поэтому на плечи разработчиков приложений ложится забота о приватности данных пользователей, т.к. пользователи не всегда беспокоятся об этом сами. Но практически всегда приходят и жалуются на утечки ;) По ссылке вы найдете туториал, который покрывает различные аспекты обеспечения приватности данных в android приложениях: 😎 Работа с разрешениями (permissions) относящимися к приватности 📸 Отключение логирования и снятия скриншотов 🧻 Очистка кэша 👆 Биометрия и шифрование Люди искушенные в написании безопасных приложений вряд-ли найдут для себя что-то новое, но для желающих разобраться или систематизировать свои знания этот туториал подходит отлично #4developers, #cryptography, #privacy https://www.raywenderlich.com/6901838-data-privacy-for-android

Кто там переживал, что служба безопасности не дает пользоваться alpha-версиями библиотек? Теперь все ваши прблемы решены. Jetpack Security получила стаус Beta. Правда список изменений пустой, что еще раз подтверждает то, что альфой вполне можно было пользоваться. #jetpack_security #google #cryptography https://developer.android.com/jetpack/androidx/releases/security#1.0.0-beta01

Хорошая, обзорная статья по современным декомпиляторам java байткода. В статье рассматриваются: 🧠 Fernflower - опенсорсный декомпилятор, на текущий момент разрабатываемый и поддерживаемый компанией JetBrains. 🤪CFR - декомпилятор, написанный, судя по всему, одним человеком, который говорит, что сделал это "for fun". 🧰Procyon - набор инструментов, относящихся к генерации и анализу кода на Java. Среди них есть и декомпилятор. 🤖jadx - компилятор, предназначенный для компиляции байткода для Dalvik, а не для JVM. Если вы хотите получить более-менее актуальную информацию о том как обстоят дела в сфере декомпиляции байткода, то вам сюда. #reverse_engineering #bytecode #tools https://habr.com/en/company/solarsecurity/blog/489844/