Mobile AppSec World

Замечательные времена удаленных эксплойтов Кто-то помнит те чудные и прекрасные времена с постоянным Jailbreak, когда не нужно было беспокоиться о перезагрузках, о тех отличных Jailbreak через посещение сайта! Отличное было время! И спустя много лет вышла статья, которая очень подробно раскрывает все технические детали и поясняет, как это было реализовано.. Очень круто и очень интересно! Вот бы такое для iOS17... #ios #jailbreak

Каналы по безопасности Всем привет! Я немного слоупок, поэтому возможность шарить папки с чатами оказалась внезапно очень удобной)) А тут и коллеги сформировали неплохую подборку из разных каналов по ИБ В папке собраны телеграм-каналы, где можно найти актуальные новости, аналитику и практические советы по защите от киберугроз. Уверен, эта подборка будет полезна тем, кто неравнодушен к вопросам кибербезопасности как в интернете, так и за его пределами. Добавляйте к себе папку и делить с друзьями и коллегами В общем, добавляйте и читайте)

Flutter и биометрия, как сделать лучше? Всем привет! Не так давно я рассказывал вебинар и доклад на OFFZone про безопасность мобилок и упоминал там про Flutter. Упоминал я его в негативном ключе, так как очень часто при реализации аутентификации допускаются стандартные ошибки. В первую очередь это касается биометрии и подсчета неправильных попыток для ввода пин кода: 1. Отсутствие реакции на изменение биометрических данных (когда меняем/добавляем отпечаток/FaceId, по новому можно зайти в приложение) 2. Бесконечный перебор пинкода (из-за того, что счетчик это переменная внутри Flutter, которая хранится в памяти) 3. Использование Event-bound подхода, когда есть возможность на скомпрометированном устройстве подменить ответ системы и всегда возвращать true на запрос о совпадении биометрии. Для перебора пинкода все понятно, нужно просто вынести счетчик куда-то в постоянное хранилище, а не держать его в памяти, чтобы он не обнулялся с каждым перезапуском приложения. До недавнего времени по двум другим проблемам я не знал решения, так как практически все Flutter-приложения с биометрией имели подобную проблему. Но, сегодня мне подсказали один замечательный плагин, который позволяет отслеживать изменение биометрии на устройстве и очень круто! Я теперь всем его буду рекомендовать) То есть, это библиотечка для Flutter, которая позволяет приложению отслеживать и реагировать на изменение биометрических данных на устройстве. И при их изменении можно будет попросить пользователя снова пройти аутентификацию по паролю(например) и в случае успеха перерегистрировать биометрию! Класс! Однако, по проблеме обхода есть еще вопросы.. Может кто-то знает хорошую библиотеку для Flutter, которая бы делала биометрию корректно и безопасно?) Поделитесь, пожалуйста) #flutter #biometric #bypass

Ох, вот это новости :) OCR в вирусах, для меня что-то новое, на самом деле, не встречал такого раньше.

Исследователи McAfee обнаружили новый тип мобильного ПО SpyAgent для Android, реализующую технологию оптического распознавания символов OCR для кражи фраз мнемонических ключей из изображений на устройстве. Мнемонический ключ — это, по сути, фраза из 12-24 слов, которая обеспечивает восстановление доступа к криптокошельку в качестве резервного ключа. Такие секретные фразы являются крайне востребованной целью для злоумышленников, поскольку получение к ним доступа позволит им завладеть как кошельком, так и средствами на нем. Поскольку такой ключ трудно запомнить, его часто скриншотят и хранят в изображениях на мобильном устройстве, нежели чем отдельно выписанную фразу на бумажке в безопасном месте. Замеченная McAfee вредоносная кампания затронула как минимум 280 APK, распространяемых за пределами Google Play с помощью SMS или вредоносных сообщений в социальных сетях. Некоторые из заряженных приложений для Android выдают себя за государственные сервисы, сайты знакомств и порноресурсы. Основной таргет пришелся на Южную Корею, но McAfee заметила планвное расширение географии атака в сторону Великобритании. При этом выявлены также и признаки того, что версия для iOS находится на стадии разработки. После заражения нового устройства SpyAgent начинает отправлять на свой C2 следующую конфиденциальную информацию: список контактов (для дальнейшего распространения), входящие SMS с OTP, пригодные для OCR изображения, а также общую информацию об устройстве. SpyAgent также способна получать команды с C2 для изменения настроек звука или отправки SMS-сообщений, которые, вероятно, используются для рассылки фишинговых текстов с целью распространения вредоносного ПО. Как удалось выяснить McAfee, операторы SpyAgent особо не соблюдали надлежащие меры безопасности при настройке своих серверов, что позволило исследователям получить к ним доступ. Изучив панель администратора, а также украшенные файлы и данные, McAfee смогли идентифицировать ряд жертв вредоносного ПО, одной из которых оказалось устройство Apple iPhone c iOS 15.8.2 с системным языком, установленным на упрощенный китайский («zh»). При этом если изначально вредоносное ПО взаимодействовало со своим C2 посредством простых HTTP-запросов, то последняя версия использует соединения WebSocket. Украденные изображения обрабатываются и сканируются с помощью OCR на стороне сервера, а затем соответствующим образом организуются на панели администратора, что обеспечивает оперативность использования в атаках. Следует отметить, что технология OCR не нова в киберподполье, в июле 2023 Trend Micro находила два семейства вредоносных ПО для Android под названием CherryBlos и FakeTrade, распространявшихся через Google Play. Так что можно смело констатировать, что такая тактика начинает набирать популярность.

Современные подходы неуязвимости 🗓 10 сентября, 11:00 мск Не пропустите вебинар, на котором мы обсудим, как сделать свою компанию неуязвимой. 🎯 Ключевая задача — сделать атаку на организацию «невыгодной» для злоумышленников. То есть выстроить систему безопасности так, чтобы временные и материальные затраты хакера стали сильно выше, чем предполагаемая монетизация от успешной атаки. Как выбрать оптимальные инструменты для выстраивания защиты, будем разбираться с командой Alpha Systems, которые расскажут о новом подходе по управлению уязвимости. Во время вебинара ответим на следующие вопросы: 1. Как организовать учет ИТ-активов и не стать «5 колесом» для ИТ-департамента? 2. Как подойти к процессам по поиску и управлению уязвимостями, выстроить и оптимизировать их? 3. В чем кроятся корневые причины эксплуатации уязвимостей, и как им противодействовать? 4. Как обеспечить скорость и эффективность обработки инцидентов, выстроить этапность и приоритезацию? 5. Как выстроить работу команды, чтобы никто не сошел с ума и не закопался в рутине? 🗣 Спикеры: — Игорь Смирнов, CEO Alpha Systems — Рустам Агаев, CTO Alpha Systems Участие бесплатное по предварительной регистрации.

А вот и пост от партнёров КОД ИБ. Я бы послушал чисто из-за названия :)

Безопасность в GameDev или исследуем Unity Всем привет! Как-то так сложилось, что до Unity я никак не могу добраться, а ведь это отдельный очень классный и крутой мир! Очень многие игры построены именно на этом движке и уметь их анализировать и модифицировать это отдельный скил. Не встречал до этого нормальных статей, но вот одна из немногих, которая не только показывает принципы анализа подобных приложений, но и делает это на конкретном примере конкретной игры с вполне четкой целью. Именно такие вещи, с теорией, практикой и реальными примерами лучше всего мне заходят. Так что не только играйте в игры, но и ломайте изучайте их! #unity #gamedev

͏Тем временем, в киберподполье подкатили новинки в категории iOS RCE. KeeperZed предлагает приобрести iOS 0-day RCE эксплойт, который не требует взаимодействия с пользователем (ZeroClick) и обеспечивает полный контроль над устройствами под управлением iOS 17.xx и iOS 18.xx

Ммммм, пятничные сплойты) Были б еще в открытом доступе :)