Android Guards

В видео показаны некоторые фундаментальные архитектурные проблемы нашумевшего приложения Bitchat, которые в определенных сценариях могут быть конвертированы в проблемы безопасности. Автор видео по итогу приходит к разработке скрипта для отправки спама в общие чаты приложения. Но основная польза от этого видео, на мой взгляд - неплохо показан подход к анализу такого класса приложений, т.к. используемые техники легко натягиваются на анализ приложений-компаньонов для IoT например. Ну и те кто никог...

Когда я читаю подобные разборы RCE уязвимостей в Android приложениях, меня не покидает чувство, что это специально заложенный бэкдор. Потому что объяснить по другому цепочку "счатливых совпадений"(Believe me, it’s a gift from God!) я просто не могу =) Ведь не могут же разработчики TikTok настолько плевать на безопасность приложения. А их апсеки? В сухом остатке имеем прикольный чейн: deep-link -> вызов js интерфейса -> обращение к "внутреннему" deep-link-у (шта?!) -> запуск тестовой activity -> ...

Как и обещал ранее, выкладываю приложение, которое мы подготовили к конкурсу для PHD. Обращаю ваше внимание на то, что отчеты по нему приниматься не будут. Это все для развлечения тех, кто все еще хочет пореверсить эту апу, но по какой-то причине не успел в рамках конкурса. Ну и чтобы сделать этот процесс еще интереснее, я не буду выкладывать файл лицензии, который выдавался участникам конкурса. У них не было бесконечного количества времени в отличие от вас ;) Подкину еще одну идею: можете посту...

Сегодня было сдано очень мало отчетов, поэтому хочу немного прояснить смысл конкурса и помочь вам начать копать в правильном направлении. В приложении бесполезно (почти) искать всякие стандартные уязвимости, к которым большинство привыкло. Основной фокус - реверс. В том числе бинарный. Кроме этого нужно немного быть в курсе различных механизмов работы Android и библиотек для разработки приложений. Поэтому, если вы совсем новичок в исследовании мобильных приложений, то может быть немного сложно. ...

Некоторые из вас знают, что помимо мобилок я еще увлекаюсь исследованиями всякого железа. Буквально прямо сейчас я ковыряю одну интересную штуку, о которой надеюсь смогу рассказать позже (ищите спойлеры на фото). Чтобы помочь мне в моих исследованиях, ребята из Positive Labs прислали мне просто фантастический набор для проведения glitch атак на микроконтроллеры. Зачем это вообще надо? Нуууу, не все контроллеры любят раскрывать свои секреты и отдавать прошивку, а glitch атаки помогают объяснить н...

Вот и закончился Positive Hack Days. Я пообщался с несколькими интересными людьми, которые приходили за брелками на стенд. Хоть вас было не так много, но в итоге я раздал все брелки, и паре человек даже не хватило. Не думал, что на них будет такой большой…

Вот и закончился Positive Hack Days. Я пообщался с несколькими интересными людьми, которые приходили за брелками на стенд. Хоть вас было не так много, но в итоге я раздал все брелки, и паре человек даже не хватило. Не думал, что на них будет такой большой спрос 🙃 Для тех, кому очень хочется но "не дошел/не приехал/постеснялся подойти" я выложу STL модель, и вы сможете сделать такой брелок себе самостоятельно. Скажу несколько слов по приложению, которое было на конкурсе: к сожалению участников б...

Очень важный текст Не все поймут, не все оценят. Но если он заставит задуматься хотя бы несколько человек это уже будет победа.

У меня обновился смартфон. Вроде бы рядовое событие. Но есть нюанс 🍌. Впрочем обо всем по порядку. Для анализа приложений я использую Pixel 4a на котором из коробки, на момент покупки, был Android 11. Поскольку девайс нужен только для работы, то мне очень важно иметь на нем полностью понятное мне окружение, которое включает в себя также определенную версию ОС. Из этих соображений, у меня естественно выключены любые автообновления, а все которые предлагались "сами по себе" - были героически откл...

Не устанавливай 17-ю фриду пока не прочитаешь этот пост 😅 Ну а если без шуток, то в посте разбираю как починить биндинги питона и хуки на JS. Надеюсь эта информация кому-то сэкономит время.