Android Guards

Вот и закончился Positive Hack Days. Я пообщался с несколькими интересными людьми, которые приходили за брелками на стенд. Хоть вас было не так много, но в итоге я раздал все брелки, и паре человек даже не хватило. Не думал, что на них будет такой большой спрос 🙃 Для тех, кому очень хочется но "не дошел/не приехал/постеснялся подойти" я выложу STL модель, и вы сможете сделать такой брелок себе самостоятельно. Скажу несколько слов по приложению, которое было на конкурсе: к сожалению участников было не так много как хотелось бы. Если были какие-то сложности или вам не интересна концепция приложения с реальными уязвимостями, а хочется CTF, то напишите в комментариях. Само приложение я выложу чтобы можно было поискать заложенные баги уже вне конкурса. Райтапа пока не будет. На следующий год тоже постараемся сделать что-то интересное. А теперь - отдыхать 😐

Сегодня было сдано очень мало отчетов, поэтому хочу немного прояснить смысл конкурса и помочь вам начать копать в правильном направлении. В приложении бесполезно (почти) искать всякие стандартные уязвимости, к которым большинство привыкло. Основной фокус - реверс. В том числе бинарный. Кроме этого нужно немного быть в курсе различных механизмов работы Android и библиотек для разработки приложений. Поэтому, если вы совсем новичок в исследовании мобильных приложений, то может быть немного сложно. Но это не повод опускать руки. Для новичков там тоже есть несколько уязвимостей, нахождение которых не требует каких-то исключительных скилов. Просто внимательность и понимание модели угроз для мобилок. Ожидается, что участники глубоко погрузятся в некоторые сценарии работы приложения и найдут в них недочеты, которые, при должном упорстве, можно превратить в critical баги. Чуть позже будут опубликованы подсказки для тех, кому совсем не приходит в голову никаких мыслей. Также, прошу вас написать какие сложности возникают при анализе этого приложения. Попробую сделать какой-то ликбез по итогу чтобы этих сложностей больше не возникало. Время еще есть. Reverse must go on ;)

Также в этом году я подготовил небольшие сувениры для фанатов моего канала :) Приходите познакомиться. Кто захочет, заберет брелок с логотипом канала. Количество ограничено. Но если захотите, я потом выложу stl модельку и сможете сделать себе сами. Я на стенде Mobile Hack (там где Snatch)

Всем привет! Стартанул наш конкурс на PHD. Задача как обычно простая - находите баги, получаете баллы, забираете мерч. В этот раз вас ждет супер защищенное хранилище конфиденциальной информации. Кроме беслатных функций в нем есть платные. Еще есть триальная лицензия чтобы можно было оценить прелесть платной версии программы ;) Сможете получить безлимитную? Все подробности здесь. Всем удачи!

Я частенько говорю о том, что Samsung слишком много себе позволяют когда лезут в разные части Android и переписывают их на свой лад. Но беда в том, что лезут они не только в Android, но и в более глубинные слои. Что из этого выходит? Уязвимости конечно. Ребята из Quarkslab сделали отличный доклад по эксплуатации уязвимостей в цепочке загрузки Samsung Galaxy A225F. Точка старта - феерическая. Кастомный JPEG парсер, который ребята из Samsung вкрячили в Little Kernel. Конечно же этот парсер содержал уязвимость (или бэкдор? 🌚), которая позволяла выполнять произвольный код. Чем и воспользовались исследователи. Очень интересный, технический доклад. Рекомендую!

У нас почти сформировался пул тех уязвимостей, которые мы хотели бы предложить вам поискать в формате конкурса на мобильном стенде на Positive Hack Days. Поскольку одним из основных лейтмотивов фестиваля в этом году будет reverse engineering, то мы тоже не остались в стороне от этой идеи. Реверса будет много. Настоящего, все как вы любите. Без флагов. Только реальные уязвимости в различных механизмах мобильных приложений. Кроме этого, на фестивале впервые будет отдельный трек по девайсам и технологиям. В рамках этого трека можно будет заслушать доклады про основные риски бытовой электроники, ИИ-агенты в киберразведке или про то как создать игровой движок на WASM. В целом, продолжая тему девайсов, технологий и реверса, могу рассказать еще про несколько конкурсов в зоне Киберхаба: - взлом робокафе - перехват управления роборукой - задачки по социалке и машинному обучению Ну а для желающих хотя бы в эти дни не работать, будут всякие лайтовые ивенты типа детских квестов и аллея стажировок с ведущими вузами страны: МГУ, ВШЭ, МГТУ им. Баумана, ИТМО и др.

Стартанули продажи билетов на PHDays Fest 2025. Цена смешная — 1500 рублей, за которую вы получаете доступ ко всем зонам конференции, в том числе к нашему маленькому, но гордому стенду, посвященному безопасности мобилок. Как я писал ранее, мы готовим несколько конкурсов. Будет наша традиционная имитация крупного банка, конкурс на обход биометрии смартфона и, если успеем, кое-что еще для серьезных реверсеров:)

Необычный CrackMe от одного из участников нашего сообщества - @n13625124998637487500. Задача: изменить строку "Hello world!" на свою и пересобрать приложение. Изменить нужно именно путем патча apk файла. Без использования DBI фреймворков. Кто справится, думаю можно через несколько дней писать в комментариях к этому сообщению как действовали. Ну или кидайте ссылку на свой райтап. Удачи 🌚

Приближается очередной Positive Hack Days, где мы с командой опять готовим много интересного. Но "много" нам показалось мало и хочется сделать что-нибудь еще. Покидайте в комментарии к этому сообщению какую движуху вы хотели бы видеть на мобильном стенде. Может быть вам интересно прийти пособирать электронный конструктор для детей младшего школьного возраста или потапать хомяка =) В общем любые идеи в рамках разумного и в границах действующего законодательства 🌚

Вот и закончился 2024-й год. Много было сделано, но явно не все что хотелось. А значит будет перенесено техдолгом на следующий год =) Частью вещей, которые я встретил в этом году, мне даже захотелось поделиться. Настолько было всего много. Также в будущем году наш уютный чатик ждут некоторые изменения, которые надеюсь положительно скажутся на внутренней атмосфере. Впрочем время покажет. С Новым Годом! 🧑‍💻

...Either way, I learned some new things, which is nice :^) Thanks for tuning in, and see you in the next attempt. Очень часто мои попытки разбора уязвимостей в Android заканчиваются также как у автора статьи с разбором CVE-2020-0238. Даже ощущения те же. И начинается все всегда одинаково - сначала в бюллетени безопасности находится интересный с виду баг уровня High/EoP, потом совершается акт медитации над странным с виду фиксом который был сделан и в итоге становится совершенно не понятно как при таком количестве условий эксплуатации это вообще может быть High, где тут EoP, и как это вообще попалю в бюллетень. Т.е. практическая ценность тут ровно одна - чуть больше узнать про механизмы ОС. Ну и попытаться получить хоть немного удовольствия (сомнительно...). А статью обязательно прочитайте, разборы CVE из Android с нормальными PoC-ами выходят нечасто.

После долгих раздумий решил все же выложить свой старый, но не потерявший актуальности RFC на тему серверной реализации аутентификации по пин-коду. Эта тема будет интересна тем, кто хочет уйти от локальной реализации (что почти всегда плохо) и сделать серверную. Вряд-ли описанный мной подход подойдет всем, но если интересуетесь темой, то думаю найдете в нем что-то интересное для себя.

По предварительным данным, ребятки из Google таки пофиксили "не уязвимость" cвязанную с неявными диплинками, о которой я рассказывал ранее. Упоминаний естественно никаких. Да и вобщем-то зачем им это надо =) Но то, что они произнесли слово "уязвимость" уже неплохо. Для разработчиков: Обновляйтесь на версию 2.8.1+ Для хакеров: есть варианты поискать байпасс в личную копилочку ;)