Mobile AppSec World

Ir al canal en Telegram

Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое... По всем вопросам - @Mr_R1p

Rusia77 954 Tecnologías y Aplicaciones14 151

8 192

Suscriptores

+224 horas

-17 días

+60630 días

1 314

Visitas de la publicación

~ 66924 horas

~ 74048 horas

16.03%

Tasa de compromiso

Sin datos

Mensajes por día

Ads index

beta

Carga de datos en curso...

Canales Similares

AppSec & DevSecOps Jobs

703

YouPentest

Más canales

Menciones Entrantes y Salientes

---

Atraer Suscriptores

junio '26

+303

en 0 canales

mayo '26

+431

en 3 canales

Get PRO

abril '26

+432

en 0 canales

Get PRO

marzo '26

+596

en 7 canales

Get PRO

febrero '26

+79

en 0 canales

Get PRO

enero '26

+59

en 0 canales

Get PRO

diciembre '25

+72

en 0 canales

Get PRO

noviembre '25

+137

en 0 canales

Get PRO

octubre '25

+386

en 0 canales

Get PRO

septiembre '25

+103

en 1 canales

Get PRO

agosto '25

+157

en 0 canales

Get PRO

julio '25

+136

en 7 canales

Get PRO

junio '25

+95

en 1 canales

Get PRO

mayo '25

+139

en 4 canales

Get PRO

abril '25

+173

en 6 canales

Get PRO

marzo '25

+321

en 21 canales

Get PRO

febrero '25

+463

en 4 canales

Get PRO

enero '25

+105

en 2 canales

Get PRO

diciembre '24

+112

en 1 canales

Get PRO

noviembre '24

+162

en 0 canales

Get PRO

octubre '24

+161

en 0 canales

Get PRO

septiembre '24

+1 026

en 8 canales

Get PRO

agosto '24

+519

en 2 canales

Get PRO

julio '24

+149

en 4 canales

Get PRO

junio '24

+73

en 4 canales

Get PRO

mayo '24

+104

en 1 canales

Get PRO

abril '24

+184

en 5 canales

Get PRO

marzo '24

+82

en 2 canales

Get PRO

febrero '24

+188

en 8 canales

Get PRO

enero '24

+114

en 4 canales

Get PRO

diciembre '23

+71

en 0 canales

Get PRO

noviembre '23

+95

en 7 canales

Get PRO

octubre '23

+97

en 3 canales

Get PRO

septiembre '23

+129

en 0 canales

Get PRO

agosto '23

+228

en 0 canales

Get PRO

julio '23

+70

en 0 canales

Get PRO

junio '23

+111

en 0 canales

Get PRO

mayo '23

+353

en 0 canales

Get PRO

abril '23

+79

en 0 canales

Get PRO

marzo '23

+46

en 0 canales

Get PRO

febrero '23

+73

en 0 canales

Get PRO

enero '23

+54

en 0 canales

Get PRO

diciembre '22

+50

en 0 canales

Get PRO

noviembre '22

+68

en 0 canales

Get PRO

octubre '22

+74

en 0 canales

Get PRO

septiembre '22

+45

en 0 canales

Get PRO

agosto '22

+288

en 0 canales

Get PRO

julio '22

+204

en 0 canales

Get PRO

junio '22

+84

en 0 canales

Get PRO

mayo '22

+178

en 0 canales

Get PRO

abril '22

+151

en 0 canales

Get PRO

marzo '22

+35

en 0 canales

Get PRO

febrero '22

+46

en 0 canales

Get PRO

enero '22

+72

en 0 canales

Get PRO

diciembre '21

+43

en 0 canales

Get PRO

noviembre '21

+57

en 0 canales

Get PRO

octubre '21

+42

en 0 canales

Get PRO

septiembre '21

+80

en 0 canales

Get PRO

agosto '21

+159

en 0 canales

Get PRO

julio '21

+87

en 0 canales

Get PRO

junio '21

+40

en 0 canales

Get PRO

mayo '21

+53

en 0 canales

Get PRO

abril '21

+56

en 0 canales

Get PRO

marzo '21

+39

en 0 canales

Get PRO

febrero '21

+34

en 0 canales

Get PRO

enero '21

+21

en 0 canales

Get PRO

diciembre '20

+701

en 0 canales

Fecha	Crecimiento de Suscriptores	Menciones	Canales
13 junio	0
12 junio	+5
11 junio	+4
10 junio	+2
09 junio	+3
08 junio	+3
07 junio	+1
06 junio	+4
05 junio	+6
04 junio	+27
03 junio	+71
02 junio	+170
01 junio	+7

Publicaciones del Canal

Где-то в сторонке грустит https://github.com/P1sec/hermes-dec Уже точно года полтора гоняю

2	И еще один инструмент доя анализа Hermes	1 002
3	Декомпилятор для Hermes bytecode Дождались! Теперь нельзя спрятаться за тем фактом, что никто не умеет декомпилировать и реверсить Hermes bytecode. Ребята написали декомпилятор и выложили в открытый доступ. Ожидаем больше находок там где раньше никто и не думал копать.	944
4	крутити боробэн	1 744
5	Обычно стараюсь не писать ничего личного, но этот шедевр мне безумно нравится :D Тем более выходные)	1 584
6	Идёт шумная деревенская свадьба. Под утро пьяный вдрызг тамада, громко спрашивает: — Кто ещё не писал статьи про AI? — Я — раздаётся слабый голос из — под стола. — Кто это я — Это я, автор канала Android Guards! — Да ты еще успешь! (олды здесь?) Действительно, не хотел особо ничего писать про AI, потому что разжигать костры в аду это неблагодарное дело. Но как-то выдалось немного свободного времени и хороший чай и я решил зафиксировать свои мысли на эту тему. Может кому-то это принесет пользу и позволит выбрать правильный путь. Статья полностью философская, никаких "автопентестеров" там не будет. Я предупредил =)	1 316
7	очень согласен с автором статьи) ИИ - инструмент, который нужно уметь готовить, чтобы он действительно экономил время и силы. И как любым другим инструментом, с ним нужно учиться работать. И к сожалению, волшебной коробочки еще нет (а может и к счастью)	1 166
8	noxen: runtime-перехват Android Intent'ов Прикольная тулза для тех, кто занимается анализом Android-приложений и при это любит Intercept mode в BurpSuite. Noxen - это инструмент на Python, который использует Frida для хука Java-методов в приложении. Перехватывает Intent через хук функций типо GetIntent(). Это отображается в терминале с action, component, data URI, флагами, extras и, если повезёт, стектрейсом. Но можно не только смотреть, а еще и модифицировать Intent перед отправкой или вообще дропнуть его. Прямой аналог Burp Interceptor, но для мобилки. Еще прикольная фича noxen-analyze: скармливаешь APK, он через androguard генерирует конфиг хуков под конкретное приложение. В целом, можно и отдельно его заиспользовать, как старт. Вообще, давно я встречал расширение для Burp, которое нативно в его интерфейсе показывал Intent перехваченные, назывался он Brida (Burp+Frida). Я попробовал, но мне как-то не очень зашло. А тут отдельный специализированный тул, посмотрим, может будет поудобнее) #Android #Frida #Tools #ReverseEngineering #Research	1 429
9	+5 ⚡️ Запускаем call for papers Заявку можно подать на сайте до 29 июня (включительно). Там же ищите подробности и требования к докладам. Как проходит отбор и как лучше оформить заявку, читайте в статье на «Хабре».	1 094
10	OFFZONE WANT YOU! Ребята и девушки! Подавайте свои крутейшие доклады на OffZone! Пусть будет больше мобилок! Пусть будет больше сочных и крутых докладов на конфе! И ри заведении помните, что чем подробнее вы опишите то, о чем будете говорить, тем больше шансов у вас попасть в программу!	1 239
11	Android SELinux Internals Part II: домены, отказы, обходы Ребята из 8ksec наконец-то выпустили вторую часть серии про SELinux на Android! Первая часть была про основы: контексты, чтение политик, sepolicy-inject. Вторая уже про то, как это всё работает в реальности. Разбирается вся цепочка от сертификата подписи APK до SELinux-домена, роль Zygote, как работает installd. Добавили практики: chcon, runcon, как работает magiskpolicy под капотом, чем принципиально отличаются подходы Magisk, KernelSU и APatch. Очень сочная и большая статья для любителей мякотки и чтоб погрузиться поглубже в то, как и что устроено внутри. Ну и анонсированная третья часть обещает быть ещё интереснее: kernel-level техники отключения SELinux и разбор реальных CVE. Что сказать, ждем :) #Android #SELinux #Pentest #Research #Kernel #Tools	1 590
12	Сборка Frida нативно на Termux Я правда не знаю, кому и зачем это может быть полезно, но история стоит того, чтобы про нее рассказать. Занятный ресерч от автора под ником AbhiTheModder, который искал путь, чтобы скомпилировать Frida нативно на Android/Termux, без NDK, без кросс-компиляции, без prebuilt-артефактов с build.frida.re. Просто ./configure && ninja на телефоне. Его путь оказался, мягко говоря, нетривиальным и долгим ради цели доказать что это возможно! Любителям поковыряться в исходниках Frida и процессах ее сборки. Это вам не в LLM тыкать)) хотя может и без них не обошлось :D #Android #Frida #Termux #ReverseEngineering #Tools #Research	1 176
13	Android Pentesting Skill: APK-аудит через AI-агента И снова расширение инструментов для ваших агентов по анализу мобилок! Прикольный проект от ребят из DragonJAR - "скилл" для AI-агентов (Claude Code, и подобных), который превращает агента в полноценный инструмент аудита Android-приложений. Клонируем репозиторий в директорию скиллов агента, и тот начинает понимать команды вроде "audit this APK" или "bypass SSL pinning". Дальше агент сам оркестрирует весь процесс — от декомпиляции через APKTool и JADX до построения Frida-скриптов для обхода защит. Внутри на самом деле интересное наполнение, это не только статика, но и работа в динамике. Статический анализ: 70+ Semgrep-правил, плюс собственные grep-паттерны с дедупликацией находок. Source-to-sink трейсинг с разделением подтверждённых багов и тех, что требуют динамической проверки. Детектирование фреймворков - React Native, Flutter, Cordova, Xamarin с соответствующими техниками анализа (для Flutter, например, сразу идут нативные хуки BoringSSL. Динамика: 37 Frida-скриптов для хукинга, обхода SSL Pinning, root detection, биометрии, перехвата крипто-операций и нативного кода. Тема со скилами будет и дальше развиваться и этот инструмент тому пример, будем следить за обновлениями) А именно это репо стоит посмотреть хотя бы ради структуры репозитория и принципов описания работы агента с Frida. #Android #Pentest #Frida #Tools #MASVS #Research	1 406
14	🎙 Вебинар по безопасности мобильных приложений: как обеспечить защиту и соответствие требованиям регуляторов Скорость мобильной разработки растёт, AI-инструменты генерируют код быстрее, чем команды успевают его проверять. Цифровые сервисы, государственные платформы, мобильные личные кабинеты и платёжные решения оказываются под угрозой, которую традиционные подходы к защите уже не покрывают. 28 мая в 14:00 расскажем на вебинаре о том, как адаптировать процессы мобильной безопасности к новой реальности. Вы узнаете: 🎱как защищать мобильные приложения в условиях ускоренной разработки; 🎱что требуют регуляторы и действующие методики и почему большинство из этих требований невозможно выполнить без практической проверки защищённости; 🎱зачем мобильному приложению пентест и почему это уже обязательный элемент защиты. Вебинар проведут Александр Гадай, руководитель службы консалтинга, Арсентий Карпов, старший инженер по безопасности мобильных приложений и Владислав Ржевский, инженер по безопасности мобильных приложений. ➡️ Регистрируйтесь, приходите и задавайте вопросы. 🐟 Рассылка \| МАКС \| Habr #ВебинарыSFS	1 432
15	В полку мобильщиков прибывает и прибывает! Уже в этот четверг мои коллеги проведут вебинар по безопасности мобильных приложений. Приходите, будет интересно :)	1 427
16	Премия для пентестеров 2026 Всем привет! В этом году снова проходит премия для пентестеров от Awillix: https://award.awillix.ru/ Ребята молодцы, очень интересное событие и шанс рассказать, как вы что-то интересное поломали или какой-то необычнй кейс из профессиональной жизни, который особенно запомнился. И не просто рассказать, а получить возможность выиграть крутые призы! Номинаций много, включая Device (туда же и наши любимые мобилки) и AI про ИИ-шечку. Если есть, что рассказать - подавайтесь обязательно!	1 914
17	Собрали с коллегами папку Телеграм-каналов по кибербезопасности "ТОП ИБ Май". В подборке каналы про: 📰 новости, аналитику и тренды индустрии 🛠 offensive security, пентест и AppSec 🧩 управление уязвимостями, SOC и enterprise-ИБ 📱 mobile security, privacy и secure development 🎤 конференции, митапы и ИБ-мероприятия ➡️ Выбирайте понравившиеся каналы или подписывайтесь сразу на все. 😉 https://t.me/addlist/iY4lJrhMyws2NTVi	2 275
18	iDump: замена frida-ios-dump без Python (но с блекджеком и обходами) Если кому-то нужно было когда-нибудь сдампить приложение с iOS трубки, то первое, что приходит на ум - классический frida-ios-dump. Но с Frida 17+ он сломался и, судя по всему, уже не починится. И вот появился iDump - переосмысление того же подхода, но без всей той боли с pip, зависимостями, правильное версией Python и тд Автор этого шикарного тула - широко известный в узких кругах @OxFi5t, спасибо ему за это! Написан на Go с использованием frida-go, и главная идея это автономность. Один самодостаточный бинарь, который уже содержит в себе Frida-агент. Скопировал в PATH и работает. Техника та же, что у оригинала: инжектим агент, патчим cryptid вDump: замена frida-ios вытаскиваем расшифрованные сегменты Mach-O, собираем валидный IPA. Только без лишних телодвижений 🤓 Из приятного: - поддержка батч-дампинга (можно сразу несколько приложений или вообще `--dump-all`) - фильтрация по bundle ID - пропуск системных приложений Apple Передача файлов идёт через Frida messages напрямую — SSH не нужен (хотя SSH/SFTP режим тоже есть, если USB-трансфер медленный). Отдельно порадовал флаг --dodge - встроенный bypass для приложений, которые детектят Frida и падают до того, как агент успевает что-то сделать. Есть базовый вариант (хукает libc-символы: ptrace, sysctl и тд) и --dodge=advanced для особо упоротых приложений, которые делают raw syscalls и сканируют память на Frida-сигнатуры. Ну и возможность передать свой bypass-скрипт через --early, если встроенные не справляются. Так что тут можно еще и идеи по обходу джейлбрейка/фриды подсмотреть 😉 Очень рекомендую попробовать. Как по мне, давно нужна была нормальная замена 🔥 #iOS #Frida #ReverseEngineering #Tools #iDump	3 126
19	Ни на что не намекаю, просто оставлю это здесь… https://youtube.com/shorts/EhchxUPmUYk?is=XZnP768wax87DFAj	2 137
20	90 zero-days в 2025: отчёт GTIG Google Threat Intelligence Group выпустили ежегодный обзор zero-day — и цифры там занятные. 90 уязвимостей, активно использовавшихся в дикой природе (in the wild) lв 2025 году. Это в рамках "нормы" последних лет (60–100), но детали интереснее самой цифры. Рекорд по enterprise: 43 zero-day (48%) — против корпоративного софта. Это исторический максимум. SonicWall, Cisco, Fortinet, Oracle EBS — всё это теперь приоритетные цели, а не десктопные браузеры обычных пользователей. Кстати, браузерная эксплуатация как раз снизилась — зато мобильные zero-days отскочили до 15 после провала 2024 года. Отдельно выделены два интересных кейса. Первый — full-chain на SonicWall SMA: уязвимость в ctrl-service для LPE до root плюс RCE. Второй — DNG-based эксплойт под Samsung, который через парсер Quram и процесс com.samsung.ipservice давал широкий доступ к медиафайлам. Классифицируется как "1-click" вектор — пользователь просто открывает картинку. Еще интересный момент: коммерческие поставщики шпионского ПО впервые обошли традиционные государственные группы по количеству приписанных им zero-days. Китайские APT-группы (UNC5221, UNC3886 с их BRICKSTORM) по-прежнему активны и сосредоточены именно на сетевых устройствах для долгосрочного присутствия и закрепления. Про AI в отчёте тоже есть — авторы предупреждают, что он будет ускорять как поиск уязвимостей, так и разработку эксплойтов. Пока это скорее прогноз, чем задокументированный факт, но тренд понятен. Отчёт большой, с разбивкой по категориям, вендорам и техникам — рекомендую почитать целиком, особенно если вы занимаетесь защитой enterprise-инфраструктуры или мобильных платформ 🔥 #ZeroDay #Android #Enterprise #Vulnerability #Research #ThreatIntelligence	0

Ver todas las publicaciones