Mobile AppSec World

Поиск контактов QA Всем привет! Давно не было слышно, дела захватили сильно :) Но материал копится, посты скоро будут, обещаю) А пока есть просьба, если кто-то знает компании, которые осуществляют тестирование мобильных приложений на аутсорсе и предлагают комплексные решения по тестированию мобилок (ручное тестирование, автоматическое и т.д.), напишите мне, пожалуйста! Мне есть что им предложить и я хотел бы писать не на общий ящик, а напрямую в людей :) Если вы знаете кого-то, а может и сами работаете в таких компаниях, не стесняйтесь, напишите, пожалуйста, буду крайне благодарен! Всем хорошей и плодотворной рабочей недели!

Встретимся на OFFZONE! Уже очень скоро в Москве пройдет одна из моих самых любимых конференций - OFFZONE! Очень ждем докладов про мобилки и новые атаки =)

®️ Запускаем call for papers! Пятый OFFZONE пройдет 22–23 августа в Москве, в Культурном центре ЗИЛ. В этом году у нас еще больше зон для выступлений: добавились AI.Zone и Threat.Zone. Ждем доклады на самые разные темы: open-source, применение AI/ML в кибербезопасности, уязвимости в парсерах, пентест Wi-Fi и не только. Не бойтесь предложить что-то свое :) Спикеры, которые пройдут отбор, получат: бесплатные проходки на конфу и Speaker party, наш мерч, а также другие плюшки в зависимости от зоны. Присылайте заявки на доклады до 12 июля.  Узнать больше и подать заявку

Кто жаловался, что весь движ проходит в Москве? Специально для Питера - Summer Mobile Party в Санкт-Петербурге, встречка для мобильных разработчиков без хардовых докладов, но зато с лайтнингами и новым форматом PeerLab (будут решать реальные кейсы от людей из зала в реальном времени). В прошлом году они делали такую вечеринку в Москве, теперь по вашим просьбам и там) ПРиходите и задавайте задачки по безопасности, посмотрим, смогут ли они их решить в реальном времени 😉

🛃 Летняя вечеринка для мобильных разработчиков в Питере 19 июля пройдёт Yandex Summer Mobile Party — это встреча без хардовых докладов, мы проводим её в более лёгком, но не менее интересном формате. В программе: 🟠 Лайтнинги о жизни в мобильной разработке 🟠 PeerLab от команд Яндекс Такси, Яндекс Маркета и Яндекс Еды — формат, в котором каждый может предложить свой кейс для обсуждения с топ-экспертами 🟠 Музыка, коктейли и игры 🔷 Зарегистрироваться и узнать подробности можно здесь. Мы рассмотрим заявку и пришлём приглашение 16–17 июля. 🛍 Ждём вас! Подписывайтесь: 💬 @Yandex4Mobile 📹 @YandexforMobile

Как построить процесс безопасной разработки и не сойти с ума Всем привет! Буквально через 10 минут пообщаемся с очень уважаемыми и умными людьми на тему процессов безопасной разработки! Уверен, будет интересно) Если интересно, подключайтесь!

Персональные данные и мобильные приложения, как они связаны? Всем привет! Я наконец выплыл из отпуска и возвращаюсь в рабочее русло 😄 И на повестке дня сегодня не что иное, как персональные данные и их утечки. Меня очень давно интересовал этот вопрос, можно ли считать хранение или утечку ПДн через мобилку на самом деле утечкой, чем это может грозить и вообще, что же такое мобильное приложение с точки зрения нашего законодательства? Я потратил достаточно много времени и экспертизой своих коллег чтобы разобраться в этом вопросе и вот результат - статья на Хабр. Как мне кажется получилось достаточно неплохо, по крайней мере для себя я определился и с понятиями ПДн в мобилках и с определением приложений вообще в законах. Надеюсь, вам тоже это будет интересно. Особенно, учитывая, что сейчас на рассмотрении закон о введении оборотных штрафов для компаний, допустивших утечки. Приятного чтения! #habr #ПДн

Попался мне тут свежий репорт по уязвимости в одном известном продукте 🌚 Старый добрый path traversal с перезаписью файла. Стоит сказать, что приложение написано довольно свежо и современно. Это не какая-то поделка времен Android 4.0.1. Kotlin, Single activity, Compose, архитектура(!). Все по взрослому 🙃 Но идеальных систем не бывает и ошибки случаются. Никогда об этом не забывайте, и не опускайте руки. Даже если вам кажется, что "в приложении багов нет", это означает ровно одно — вы уделили недостаточно времени анализу. Обязательно попробуйте найти что-нибудь в этом приложении. Там есть много интересных мест 😉

А что, так можно было? Блин, а за это можно CVE получить? DOS мобильного приложения при обработке неверного интента... Учитывая, что мы постоянно это выявляем автоматически, пойду посмотрю, что там на площадках у нас с такого рода багами. Кстати, а за такое платят на ББ вооще?

DoS McAfee VPN app via deeplink McAfee Security: Antivirus VPN for Android before 8.3.0 could allow an attacker to cause a denial of service through the use of a malformed deep link (CVE-2024-34406) https://www.mcafee.com/support/?articleId=000002403&page=shell&shell=article-view