Android Guards

Опять Android, опять навигация. Я уже рассказывал вам про интересную технику эксплуатации уязвимости в библиотеке Jetpack Navigation, которую обнаружил мой коллега. Кто не читал, обязательно ознакомьтесь. В той статье шла речь про навигацию для приложений использующих фрагменты. Но проблема не только в них. Поэтому я решил посмотреть что там с расширением для Jetpack Compose и оказалось, что там все еще веселее. Техники эксплуатации этой уязвимости даже более простые, чем в предыдущем варианте. Исследование вышло в двух вариантах: 1. На английском языке в блоге PT SWARM 2. На русском языке в моем личном блоге Надеюсь вам понравится.

От лета осталось совсем чуть-чуть и скоро в школу... Кхм.. К чему это я собственно - 18 августа стартует новый поток стажировки PT Start. Я как-то рассказывал уже про интенсив от нашей команды занимающейся мобильными приложениями. Тогда студентам было рассказано про три интересные уязвимости и предложены не самые простые задания. В целом, стажировка направлена на то, чтобы довести выпускника IT или ИБ специальности до "кондиционного состояния" и дать базовые навыки и понятия необходимые для работы. Для тех, кто пройдет стажировку успешно, будет возможность присоединиться к какой-то из команд Positive Technologies. В том числе к команде анализа мобильных приложений. Нам нужна свежая кровь и светлые головы 😐 Ах да, стажировка оплачиваемая. Желаю удачи в прохождении отбора.

Наконец-то началась работа на важным артефактом, который, как я верю, выведет уязвимости в мобильных приложениях из полумаргинального состояния и никому больше не надо будет сидеть и мучительно думать "а на что это вообще похоже? хss или уже csrf? а может это вообще не уязвимость?". Авторам документа не позавидуешь, потому что задача сложная, но когда она будет решена, можно будет смело вешать MASWE идентификаторы на отчеты и прекратить эти бесконечные споры слепого с глухим на тему опасности уязвимости и всего остального. Красота же, ну!

Некоторое время назад мне хотелось провести на канале полу-шутливую активность под названием "публичное собеседование". Потом, как обычно, закончилось время и идею я отложил. Сейчас решил ее реанимировать уже в более "взрослом" виде. Вот как это будет выглядеть: 17-го августа, в рамках фестиваля ИТ-Пикник, при поддержке ребят из Positive Hack Media, я хочу провести пару 10-ти минутных собеседований на условную позицию "хакер мобильных приложений". От меня - смешные и не очень вопросы по безопасности мобилок, от вас - желание получить мерч и должность прийти на это мероприятие ногами и поддержать беседу. Все это великолепие будет транслироваться на канале Positive Hack Media. Кто хорошо пройдет собес - получит проходку на настоящее собеседование в нашу команду анализа мобильных приложений 😎 А проходку на ИТ-Пикник вы получаете в любом случае. Оставляйте заявки в комментариях под этим постом - просто сообщение Я готов. Если кандидатов будет много, то подумаю как провести отбор.

Любите разборы уязвимостей в мобильных приложениях? Принес вам немного. Если нравится такой формат, то дайте знать. Напишите чего хватило/не хватило.

Попался мне тут свежий репорт по уязвимости в одном известном продукте 🌚 Старый добрый path traversal с перезаписью файла. Стоит сказать, что приложение написано довольно свежо и современно. Это не какая-то поделка времен Android 4.0.1. Kotlin, Single activity, Compose, архитектура(!). Все по взрослому 🙃 Но идеальных систем не бывает и ошибки случаются. Никогда об этом не забывайте, и не опускайте руки. Даже если вам кажется, что "в приложении багов нет", это означает ровно одно — вы уделили недостаточно времени анализу. Обязательно попробуйте найти что-нибудь в этом приложении. Там есть много интересных мест 😉

В свежем бюллетене безопасности Android есть неприметная CVE-шка c традиционно мутным описанием и не менее мутным патчем. Зачем гугл так делает - загадка. Но хорошо, что есть не только "не прекрасный" гугл, но еще и нормальные исследователи которые это нашли, зарепортили и сделали очень подробный разбор. Суть проблемы: имея разрешение WRITE_SECURE_SETTINGS можно выполнять код от имени любого приложения в системе. Да, разрешение не самое простое, но во-первых его имеет adb, а во-вторых устройства и сценарии бывают разные. Поэтому однозначно рекомендую ознакомится с разбором.

Немного юмора 🙃 Пока разработчики будут читать такие книги у android хакеров всегда будет работа 😎

Резервный бот поднят для истинных фанатов канала, которые успели начать проходить викторину до официального анонса на ресурсах фестиваля. Для продолжения прохождения перейдите в резервный бот и нажмите /continue Бот: @quiz_avt0tre44gh2585_bot

Стартанула викторина по мобильному инфобезу. Отвечайте на вопросы, получайте posi token-ы и обменивайте их на мерч. Вопросы простые. Все удачи!

Наконец-то поднялся многострадальный бэкенд нашего конкурса по взлому мобильного приложения. Условия конкурса и apk лежат тут. Удачи! Если что-то будет не понятно, то спрашивайте в чате или подходите на стенд.

Доброе утро мобильные хакеры! Наш стенд находится сразу под этой надписью. Заходите. Про конкурсы напишу позже.

Команда анализа мобильных приложений компании Positive Technologies подготовила пару активностей на предстоящем Positive Hack Days. 1. Уже ставший традиционным конкурс Snatch, который в прошлом году обзавелся мобильным приложением. В мобильной части этого конкурса вы получаете приложение с уязвимостями, которые мы в том или ином виде встречали в дикой природе сами. Вам нужно будет эти уязвимости найти, отправить по ним отчеты и получить деньги и мерч. Задача предельно простая 😎 2. Для тех, кто еще не чувствует в себе достаточное количество мидихлорианов чтобы грузить приложение в jadx и разматывать уязвимости - смогут принять участие в викторине. Там нужно будет ответить на несколько несложных вопросов и получить охапку внутренней валюты, которую можно будет обменять на мерч (а может быть что-то еще). Вся дополнительная информация по конкурсам и ссылки появятся сразу после старта. Следите за анонсами здесь или в любых других чатах/каналах где будут рассказывать про активности на PHD. Ну а если вам все это тяжело или скучно и хочется прийти пообщаться про безопасность мобилок, то всех рады будем видеть. Я буду эпизодически появляться на этом стенде, так что все желающие развиртуализироваться ловите меня там. До встречи!

Какое время, такие и конкурсы 🤕 Разработчики не пожелали получить, проходку, поэтому обе две уходят хакерам. В результате напряженных обсуждений всем составом жюри в моей голове, из двух участников было выбрано два победителя: @qasimis и @iamwii2. С чем вас и поздравляю 🫡 Чуть позже приду в личку за информацией для оформления проходок. На PHD у нас будет мобильный стенд, так что приходите развиртуализироваться и потрындеть за уязвимости.

Конкурс на вторую проходку на PHD. На этот раз для разработчиков. Опишите самую сложную уязвимость которую вам когда-либо приносили (QA, апсеки, внешний аудит, кто угодно). Вот прямо такую, что вы сначала ничего не поняли, а потом как поняли. А потом опять не поняли как фиксить, а потом поняли и пофиксили плохо и вам принесли байпас... Ну вот это вот все 😅 Самый топовый расказчик получит бесплатную проходку на PHD. Итоги этого и прошлого этапа подведем в середине недели.

Меня часто спрашивают (да успокойся ты уже, никто тебя об этом не спрашивает...) как качать скилл анализа мобильных приложений если InsecureBank надоел? Мне всегда нравились настоящие, а не выдуманные задачи, поэтому я в основном прохладно отношусь к разного рода CTF. Чтобы развивать навыки на невыдуманных задачах их (задачи) нужно откуда-то брать. И по моему скромному мнению имеет смысл начать с анализа open source приложений, которые можно добыть из магазина F-Droid например. Чем менее уверенно вы себя чувствуете, тем менее популярное и большое вам нужно там выбрать. А все найденные уязвимости сдаете разработчику приложения. И это будет отличным продолжением для погружающихся в анализ защищенности мобилок. Дальше уже есть смысл учавствовать в bug bounty программах. Но сразу туда лезть не рекомендую. Без устойчивых навыков получите только дизмораль и никакого профита. Что касается самих программ, то их можно найти как на площадках вроде Standoff365 и BI.ZONE, так и в виде self-hosted программ у конкретных вендоров. Вендоров, которые включают мобильные приложения в скоуп BB не так много, но они есть, и вот буквально недавно ребята из Яндекса обновили описания уязвимостей и правила для участия в их программе. Легкой прогулкой это не будет, но если чувствуете, что поиск багов в open source апах вам наскучил, то заскакивайте в мобильный челлендж от Яндекса. Удачного похека!

Хочу вам рассказать про прикольную фишку студии, которая чрезвычайно полезна для реверса. Декомпиляторы (привет HexRays), страдают такой болезнью как "распад переменных". В "нашем мире" это может выглядеть вот так:

String str = this.url;
if (str != null) {
    String str2 = str;
    doCoolThings(str2);
}

Из кода видно, что str2 здесь явно лишняя, и декомпилятор просто не смог ее заинлайнить. Решить эту проблему очень просто: ПКМ на str2, далее Refactor->Inline variable. Также доступно по хоткею: ⌥⌘N (macOS)/Ctrl+Alt+N (Windows/Linux). Ну и студия также показывает подсказку прямо на месте. Если никогда не пользовались, то рекомендую. btw, в HexRays так тоже можно 🌚

Результаты голосования за конкурс вышли весьма забавными. Но большинство из проголосовавших решило, что розыгрыш проходок им нужен. Так тому и быть. Будет два задания, по одному на каждый билет. Выбирать победителя буду лично я. Никакого рандома. Первое задание будет для хакеров, второе для разработчиков. Поехали! Задание на первую проходку: В комментариях под этим постом напишите с комфортным вам уровнем подробностей, какую самую серьезную уязвимость в android приложениях, системе или библиотеках от Google вы нашли в этом году.