Mobile AppSec World

Попался мне тут свежий репорт по уязвимости в одном известном продукте 🌚 Старый добрый path traversal с перезаписью файла. Стоит сказать, что приложение написано довольно свежо и современно. Это не какая-то поделка времен Android 4.0.1. Kotlin, Single activity, Compose, архитектура(!). Все по взрослому 🙃 Но идеальных систем не бывает и ошибки случаются. Никогда об этом не забывайте, и не опускайте руки. Даже если вам кажется, что "в приложении багов нет", это означает ровно одно — вы уделили недостаточно времени анализу. Обязательно попробуйте найти что-нибудь в этом приложении. Там есть много интересных мест 😉

DoS McAfee VPN app via deeplink McAfee Security: Antivirus VPN for Android before 8.3.0 could allow an attacker to cause a denial of service through the use of a malformed deep link (CVE-2024-34406) https://www.mcafee.com/support/?articleId=000002403&page=shell&shell=article-view

А что, так можно было? Блин, а за это можно CVE получить? DOS мобильного приложения при обработке неверного интента... Учитывая, что мы постоянно это выявляем автоматически, пойду посмотрю, что там на площадках у нас с такого рода багами. Кстати, а за такое платят на ББ вооще?

​Кому все-таки нужны наши данные Тут ребята из СайберНьюс (не путать с нашей любимой Cyber Media) провели достаточно интересный эксперимент – они установили на тестовый смартфон 100 самых популярных бесплатных мобильных приложений из Google Play Store. Эти приложения они запустили, дали им все запрашиваемые разрешения и зарегистрировали в них аккаунты. Сделано это всё было для того, чтобы проследить и вычислить, кто пользуется нашими сокровенными данными, куда они отправляются и кто за нами может следить. Собственно, эксперимент удался, так как всего за 3 дня было зафиксировано более 6 000 запросов на различные сервера со смартфона. Из интересного – достаточно большое количество запросов было на сервера в Китае, России (не без участия Яндекса, хоть его приложений и не было установлено) и Вьетнаме, хотя сам телефон находился вообще в Европе. Рекордсменами по изъятию данных, по классике, стали мастодонты США – Google, Microsoft и Facebook (да-да, тот самый, который признан экстремистским и запрещенным на территории РФ). При этом, за время исследования (а это всего 3 дня) было пропущено порядка 500 Мб данных по сети, с учетом того, что после установки и настройки приложений телефон никто не трогал. А еще, часть разрешений, который приложения запрашивали при запуске, так и не были использованы, что выглядит достаточно подозрительно. Если кому-то интересно и вы не любите английский, то вот тут можно почитать про эксперимент на русском языке – ссылка. В общем, продолжаем и дальше жить в этом враждебном мире, где все охотятся на наши с вами данными. #Кибергигиена Твой Пакет Безопасности

Что ваш телефон знает о вас Это они еще Xiaomi на стоковой прошивке, наверное не трогали, там вообще, говорят жесть :) Ну а сам эксперимент лишь подтверждает, что не всему можно верить (особенно политике Google по обработке данных пользователей, которые они так трясут с разработчиков, но которые по факту никто не проверяет). И сколько данных сливают приложения, можно только догадываться (ну а скорее всего всё, до чего можно дотянуться, данных мало не бывает). Ну и очень хорошо вспоминается сам Google :) В тот момент, когда Apple ввёл обязательную политику регистрации и описания данных, которые собирает приложение, великая корпорация добра несколько месяцев не обновляла свои приложения (интересно почему)🤔 Так что будьте аккуратны, никогда не знаешь, кто и какие данные может получить с наших устройств ;)

Интересный подкаст про Android! Ох, поздновато, но может кто успеет :) В любом случае, ждем запись)

Анонс №4. Безопасность Android Пришла пора поговорить на такую волнующую всех тему как безопасность Android и наконец-то понять, откуда берётся выдача рекламы, некогда случайно озвученная вполголоса рядом с включённым устройством. В гостях как дома: Александр Вир. Независимый исследователь. Автор проекта @rutheniumos – ОС, нацеленной не только на безопасность, но также приватность и защиту данных пользователя, созданной на базе AOSP и лучших наработок в области безопасности Android и ориентированной на российский рынок. И по совместительству автор канала @theaftertimes. Алексей Теплов. Действующий инструктор в телекоме в англоязычной среде (Juniper), в нашей среде бывший (додевопсный) сетевой инженер, а нынче энтузиаст в сфере защиты от утечек со смартфонов и ноутбуков. Местами продвинутый пользователь Android и QubesOS, консультирует по ИБ и обучает заинтересованных лиц, нынче это преимущественно военные связисты (начсвязи). О чём: • История появления Андроида: как все начиналось в 200x и во что все превратилось в 202x? • AOSP и архитектура современных андроидов/сборок • Что не так с фабричными Андроидами в плане безопасности для обычного (рандомного) пользователя? • Нужен ли рут и опасно ли наличие рута? • Что такое дегуглофикация и почему она необходима инженеру? • Bloatware, adware, трекеры/сборщики данных, etc – почему это зло, где его корни и как с ним бороться? • Проект RutheniumOS – что, зачем и для чего? За что боремся, каковы высокие цели, в какой точке находимся, чего не хватает? • Как сделать свой форк AOSP и нужно ли/сложно ли этому научиться? (может, академию открыть?! база (инженерная настройка) + адвансед (мейнтейнерство)) • Прочее интересное и полезное Когда: 12.06.2024 11:00 Обязательно задаём свои вопросы в чате подкаста с тегом #вопрос4, за лучшие из них будут разыграны призы! Трансляция будет здесь

Пентестер, аппсекер, аналитик и заказчик заходят в бар… Когда и где? — 20 июня 2024, в 17.00 в одном из баров Москвы, точную локацию пришлет ТГ-бот после регистрации. Никакого хардкора, пиара и продуктов. От комьюнити для комьюнити. За кружкой пенного и закусками поговорим про: ● Смарт-криты или опасный Web3 ● Goлангский штурвал ● Unexpected end of token security (или категория Crypto не на CTF) Хочешь тоже выступить со своей темой? Пожалуйста! Присылай тему и описание в бота — отберем пару интересных докладов 😎 Регистрация: через ТГ-бота @PentestMeetupBot. Там же вся полезная информация. Количество мест ограничено, успевай забронировать 📱

Кстати, неплохая тема с регой через бота, надо взять на вооружение. Ну а так, коллеги из комьюнити проводят митап в баре, присоединяйтесь ;)