Android Guards

Благодарю всех, кто накидал вопросов. Выглядит так, что контента у нас немножко есть и можно сделать стрим. Пока планирую его на следующую пятницу, 18 сентября на 19:00 по MSK. Вопросы можно будет также задавать на самом стриме. https://www.youtube.com/watch?v=zeU2wlcj_Bw

Всем привет! Мне часто задают разные вопросы касающиеся безопасности android-приложений и операционной системы. И я не уникален в этом. Наверняка многим из тех, кто это читает, задают еще больше вопросов. Кого-то это возможно даже раздражает. Но все мы были когда-то новичками и задавали вопросы, если было кому их задавать 😉 Я хочу сделать стрим где буду отвечать на вопросы новичков максимально честно, подробно и терпеливо (ну тут как пойдет...). У меня есть свой личный рейтинг таких вопросов, но я хочу предварительно еще собрать вопросы, которые волнуют лично вас или может быть те, на которые вы устали отвечать. По ссылке найдете форму куда их можно будет написать. Даты стрима пока не публикую, но это произойдет в какое-то ближайшее время. Опрос, конечно же, полностью анонимный. Мне не нужны ваши данные =) https://docs.google.com/forms/d/e/1FAIpQLSdpqPvU2wfCwgICllKEdd5-YOIjaQhbFSa_2DzCEqg7DLZBYQ/viewform

Бывает ситуация, когда новая версия приложения, которое вы исследуете, вдруг перестает работать как раньше. Появляются какие-то новые методы защиты, меняются механизмы подписи запросов или происходят еще какие-нибудь нежелательные вещи. Для того, чтобы узнать что же изменилось, нужно взять предыдущую версию и текущую, распаковать, посмотреть diff... Но есть способ лучше: Diffuse. Эта утилита осуществляет описанный выше процесс, но делает это одной командой, да еще и показывает довольно полезный результат сравнения. Поддерживаются apk, aab, aar и jar файлы. #4developers, #reverse_engineering https://github.com/JakeWharton/diffuse

Еще одно “намеренно уязвимое” android-приложение для любителей что-нибудь поковырять на выходных. Содержит следующие задания: - Debug Me - File Access - Strings - Resources - Shares and Prefs - DB Leak - Export - Decode - Smali Injection Для решения задач понадобятся: FRIDA, ADB, apktool и dex2jar (или что-то другое на ваш выбор). https://github.com/abhi-r3v0/EVABS

Стрим с пентестерами начинаем через 25 минут: https://www.youtube.com/watch?v=BbygfeMZGj4

Google сделал удобную страничку с security best practices по разным разделам: - шифрование - определение небезопасной среды выполнения - аутентификация и биометрия - обмен данными плюс есть разделы по смежным темам. Выглядит неплохо. #4developers #google https://developer.android.com/security?linkId=97069982

Всем привет! Поскольку от вас не поступило негативного фидбэка за прошлый стрим, я планирую продолжать эту деятельность пока вам не надоест (ну или мне). А сейчас - анонс. Работа пентестера для многих людей выглядит чем-то таинственным и захватывающим. Километры вводимых в терминале команд, килобайты кода и виртуальные небоскребы хранилищ данных... Ну и вся прочая ерунда, которую показывают в кино. Мы же поговорим с реальными людьми для которых пентест это повседневная работа. Обсудим особенности пентеста под Android и iOS и разберемся в типовых инструментах мобильного пентестера. Также выясним как войти в эту профессию с нуля или прийти из соседней области, как развиваться после входа и как выйти на пенсию имея в гараже Ламборгини, а не долги по ипотеке. Гости выпуска: Николай (Positive Technologies) и Андрей (независимый эксперт) https://www.youtube.com/watch?v=BbygfeMZGj4

А у нас тут свежачок с интересными практиками эксплуатации уязвимостей в Android (и не только) приложениях. Если вы мучались и не знали как провести эту скучную пятинцу, то вам вам видео, слайды и репозиторий на гитхабе. https://www.youtube.com/watch?v=uWT15hEM1dQ

Выкатил новый релиз PINkman-а. Теперь там есть Argon2, RxJava3, корутины и возможность блокировать пинкоды из черного списка. Как всегда, я рад любому фидбэку и вашим идеям. #4developers, #pinkman https://github.com/RedMadRobot/PINkman/releases

Я как-то уже постил статьи из серии Modern Security in Android. Тут недавно вышла еще одна, на этот раз про биометрию. Из статьи вы узнаете: 🕵️‍♂️ Что такое Spoof Acceptance Rate и почему это важно 🚀 Что BiometricPrompt уже 1.0.1, а значит ваши бородатые безопасники одобрят его применение 😉 🤝 Как прикрутить биометрию к вашему шифрованию Статья небольшая, даже чай допить не успеете. #4developers, #biometric https://medium.com/@dinorahto/modern-security-in-android-part-4-495655c7d4fe

Через пол-часа начинаем стрим по SSDLC. https://youtu.be/EGB8mstJlyA

Если вы никогда не видели как делают RCE на Android, то рекомендую прочитать эту статью. Очень показательно, как можно (было) атаковать пользователей весьма популярного приложения вообще не прикасаясь к их устройству. В статье разбирается уязвимость CVE-2020-5764 в приложении MX Player и приводится PoC эксплойта. Рекомендую ознакомиться всем разработчикам, чтобы так не делать. И конечно же начинающим пентестерам, чтобы узнать как делать надо 👻 #bug https://medium.com/tenable-techblog/android-mx-player-path-traversal-to-code-execution-9134b623eb34

В пятницу, 24 июля, будем говорить про SSDLC с Юрием Шабалиным (@Mr_R1p). Обсудим это явление как таковое и кому оно может пригодиться. Поговорим про инструменты и подходы, которые помогут в построении SSDLC и попробуем поразбирать реальные кейсы применения. Это будет прямой эфир, так что готовьтесь задавать вопросы. https://youtu.be/EGB8mstJlyA

⚡️ Если кто-то использует в своих проектах чистый Tink, то для вас есть пара новостей: 🐣 Вышел новый релиз 1.4.0 с несколькими важными android-фиксами 🎲 Лучше использовать специально оптимизированную версию библиотеки для android если вы еще не - implementation 'com.google.crypto.tink:tink-android:1.4.0’ #4developers, #cryptography

Всем привет! Написал небольшую библиотеку, которая может сделать вашу аутентификацию по пин-коду проще и возможно безопаснее. В основе этой библиотеки лежат идеи, которые я изложил в моей статье про аутентификацию + проведена работа над ошибками. Буду рад любому фидбэку и контрибьюшенам. #4developers, #libraries https://github.com/RedMadRobot/PINkman

Google выпустил короткое и информативное видео о том, как шифровать данные в 2020-м году. Всем смотреть. #4developers, #cryptography https://www.youtube.com/watch?v=2y9Ol2N1I4k

Пара хороших новостей от Guardsquare. 💎 В ProGuard v7.0 завезли улучшенную поддержку Kotlin-а. 🧰 Выкатили новую opensource библиотеку ProGuardCore, которая позволяет работать с java байткодом (чтение, запись, анализ, обработка). И это выглядит реально круто! Теперь можно попробовать написать свой личный обфускатор кода или даже деобфускатор 😉 #4developers, #proguard

Ребята из Guardsquare, сообщают, что новая версия ProGuard (и конечно же DexGuard) научилась удалять аннотацию @Metadata у kotlin-классов. Если кто не вкурсе проблемы, то эта штука сводила на нет все усилия по обфускации кода, т.к. по этой аннотации можно было восстановить исходные имена полей, методов и самого класса. Теперь это в прошлом. А чтобы проверить свой код они также выпустили утилиту Kotlin Metadata Printer. Утилита доступна как в виде сервиса на сайте, так и в виде исходных кодов. P.S. Но возможность узнать оригинальное имя класса и полей все еще существует. Догадайтесь как 😉 #proguard, #4developers https://www.guardsquare.com/en/blog/why-mobile-developers-must-better-protect-their-kotlin-apps%E2%80%94and-how-do-it

Нашел удобный плагин для утилиты Dependency-Check от OWASP. Наличие этого плагина позволяет встроить ее использование в рабочий процесс, а значит сделать приложения безопаснее. Как следует из названия, это утилита для проверки зависимостей вашего проекта на security уязвимости. Начать использовать ее довольно просто. 🛠 Подключить плагин в корневой build.gradle buildscript { repositories { mavenCentral() } dependencies { classpath 'org.owasp:dependency-check-gradle:5.3.2' } } 📲 Добавить плагин в модуль приложения apply plugin: 'com.android.application' ... apply plugin: 'org.owasp.dependencycheck' 💻 Выполнить команду ./gradlew dependencyCheckAnalyze Отчет об уязвимостях появится в app/build/reports. #4developers, #security_best_practice

Запись вебинара от Eric Lafortune (CTO в Guardsquare). Обсуждаются следующие темы: - Какие существуют угрозы безопасности мобильных приложений и сценарии атак - Как реализовать многослойную защиту против этих атак - Шаги по повышению безопасности приложения: shrinking, optimization, obfuscation Сам вебинар был доступен только для сотрудников компаний (требовался корп.мыльник), но я любезно перезалил его на ютуб. Сам вебинар предназначен для разработчиков, которые ничего не понимают в безопасности, архитекторов без мобильного бэкграунда, технических директоров и (возможно) менеджеров. #video https://youtu.be/Ql4q-mGmXkA