Привет, Хабр!
И снова представляю вам, как и обещал в статье про подборку материалов по мобильной безопасности, самые главные новости из мира безопасности мобильных приложений (с 30 апреля по 6 мая). Несмотря на праздники, новостей и материалов было достаточно много, - давайте посмотрим, что интересного произошло.
Новости
Насколько хорошо разработчики приложений понимают, как построить безопасную экосистему? Чтобы не теоретизировать, автор решил посмотреть на существующие экосистемы и рассказать об одной интересной уязвимости, которая характерна именно для экосистем приложений.
Здесь представлено очень интересное исследование неизвестной ранее проблемы, связанной с особенностью взаимодействия приложений между собой в рамках Android-платформы. Ещё один классный способ обмануть систему.
Особенно приятно, что этот материал - от нашего соотечественника и на русском языке.
Рефакторинг MASVS - секция CODE
Я уже рассказывал про планы провести глобальный "ребрендинг" и переработку основных документов от OWASP для мобильных приложений. Секция про криптографию уже переделана, а сейчас настала очередь раздела V7 - Code.
Надо сказать, что переделывают его неплохо, по крайней мере все спорные требования, которые было иногда трудно понять, либо совсем убрали, либо перенесли в правильные разделы. К примеру, требование "MSTG-CODE-7 Error handling logic in security controls denies access by default." наконец-то переехало в секцию архитектуры, где ему самое место.
А "A mechanism for enforcing updates of the mobile app exists." либо вообще уберут, либо оно также отправится в архитектуру.
Поскольку этот документ, как и в целом проект OWASP, - общественное мероприятие, обсудить и прокомментировать можно на github (и там же - актуальный дифф).
Если вам есть, что сказать по теме, - добро пожаловать в комьюнити OWASP :)
Немного об особенностях eSIM в Android
Не совсем о безопасности, но также интересно и познавательно о том, что такое eSIM, какие технологии используются и какие есть ограничения. А именно, что для eSIM до недавнего времени нельзя было держать два активных профиля. То есть одна виртуальная сим-карта - один оператор. В том числе, поэтому многие производители устройств оставляли как минимум один слот для классической сим-карты.
Но Google решил пойти чуть дальше и в 2020 году запатентовал решение для программной возможности активной работы двух профилей на одном eSIM-чипе. И это прям очень круто, ведь теперь без физической сим-карты можно спокойно использовать несколько операторов, которые предоставляют eSIM.
Нововведение должно заработать в Android 13.
Увлекательная статья про печать фейковых чеков
Легко написанная статья про уязвимости в аппаратах, которые печатают чеки. Оказывается, на некоторых из них стоит полноценный Android.
Автор описывает, как работают такие устройства, как он проводил исследование и какие результаты получил. Не уверен, что поможет кому-то в работе, но мне почему-то очень понравилось. Думаю, что для расширения кругозора должна отлично подойти.
Библиотека для iOS-приложений для определение Jailbreak, дебагер и много чего еще
Весьма интересный проект "iOS Security Suite", написанный на Swift, который поможет вам определить:
Наличие Jailbreak
Подключенный дебаггер
Запуск в эмуляторе (наверное все-таки в симуляторе)
Наличие различных инструментов для отладки приложений
Ну и выглядит достаточно интересно всякие вещи в стадии Experimental:
Определение хуков в рантайме
Определение целостности файла из Bundle
Определение Breakpoint
Посмотрел на код библиотеки. Все здорово, и она действительно реализует все OWASP-требования и даже чуть больше. Но есть одна оговорка: названия ну слишком вызывающие, например, для определения Jailbreak - IOSSecuritySuite.amIJailbroken(). Такое имя будет слишком просто найти. Так что я бы посоветовал взять исходники себе и немного пошаманить, чтобы названия были не такие говорящие.
А вообще очень неплохой проект для того, чтобы сходу получить пачку детектов. Только не поступайте, как я в свое время, и не включайте детект и предупреждение/блокировку пользователей сразу, а соберите побольше статистики и посмотрите, какие проверки когда срабатывают. Я в свое время неплохо так получил за то, что мы реализовали проверку, которая фалзила, и отключили половину пользователей 😂
Пока готовил пост, вспомнил, что давно-давно уже писал про этот фреймворк. Но он развивается, появляется новая функциоальность, так что советую посмотреть (ну и статью по обходу проверок для этой библиотеки тоже).
Отличный канал по iOS-разработке
Я нечасто делюсь различными каналами, но в данном случае, не могу устоять. Автор пишет много и интересно про различные нюансы iOS-разработки и особенности работы приложений. Иногда проскакивает материал и по нашей тематике, например, про утечки памяти (тут или тут).
Вообще для меня разработка на iOS всегда была намного сложнее Android, но это и логично, ведь в одном случае - более менее понятная Java, возможность собирать приложения в любой операционке, открытый API. А в другом - только Mac, и о внутренностях иногда приходится либо догадываться, либо искать доклады, где люди реверсят различные механизмы iOS.
Доклад об эксплуатации типичных уязвимостей в iOS
Хороший доклад от «инженера в компании Google днём и исследователя ИБ ночью” про типовые уязвимости в iOS-приложениях. Он доступен как в видео-формате, так и в тексте.
Доклад достаточно хороший, описывает разные стороны, на которые стоит смотреть в приложении, в частности:
анализ содержимого пакета приложения
анализ URL-схем (открытие произвольных URL в WebView)
SSL Pinning и его отсутствие
Анализ UIWebView
Есть, на что посмотреть, есть, что изучить, особенно начинающим в непростой, но очень интересной сфере безопасности.
Написал статью, которая касается не только безопасности и разработки мобильных приложений, а вообще в целом всего процесса разработки. А именно, несколько советов по тому, как сделать программу обучения или, по-другому, awareness в области безопасности внутри компании.
Это достаточно «простой» процесс, но дьявол кроется в деталях. Я постарался описать, с чем нам приходилось сталкиваться, какие вещи лучше всего работают и дать несколько советов тем, кто только начинает строить у себя в компании этот процесс.
Статья получилась познавательной и надеюсь те, кто занимается обучением и поддержанием интереса к безопасности у себя в компании, найдут что-то новое для себя.
Расшифровка зашифрованных фотографий из приложения ‘AVG’ Photo Vault
Нашел статью про расшифровку файлов из ещё одного приложения от антивируса AVG и подумал, что где-то я видел подобный стиль написания и объяснения шифрования. Поискав по сайту, нашел! Это блог того же человека, который фотки из калькулятора расшифровывал (писал про это в одной из предыдущих подборок).
Похоже, это у него такое хобби - искать приложения, которые что-то прячут и шифруют, а потом пытаться их взломать и получить фото без пароля.
Так что, если интересуетесь темой шифрования, расшифровки и анализа алгоритмов, вам точно стоит заглянуть в его блог!
Знай свои секреты. Поиск и автоматическая проверка секретов сторонних сервисов
Статья о том, что происходит с аутентификационными данными от сторонних сервисов, которые мы так любим использовать, о том, как их искать и автоматически проверять на валидность, какие инструменты есть для решения подобных задач, и как это всё автоматизировать.
Надеюсь, что для кого-то эта статья окажется полезной и он сможет применить некоторые подходы в своей работе.
Способы определения и способы обхода обнаружения отладки приложения.
Хорошая статья на корейском языке, которая описывает способы обнаружения того, что приложения пытаются отладить. Если вы, как и я, не знаете корейский, то вот ссылка на переведенный вариант (спасибо гугл-транслейт).
Будет полезно как для разработки, - чтобы включить эти проверки к себе в приложение, - так и для тех, кто эти проверки собирается обойти. Забирайте и используйте - метод обнаружения достаточно интересный, особенно по сравнению с классическим android.os.Debug.isDebuggerConnected(),на который проверяют все популярные фреймворки по обнаружению отладчика.
Опасная уязвимость в магазине приложений Samsung Galaxy App Store
Опасную уязвимость обнаружили в магазине приложений компании Samsung - Galaxy App Store. В статье подробно приведены технические детали, благодаря чему это стало возможным, почитать крайне полезно, так как весь флоу описывается с примерами уязвимого кода и PoC.
Если простыми словами, то суть ее заключается в возможности установить абсолютно любое приложение из магазина без участия пользователя. Принцип простой:
Злоумышленник готовит приложение с вирусом (майнер, вымогатель, удаленный доступ, реклама, что угодно) и загружает его в магазин “Galaxy App Store“ под видом легитимного. Таких случаев достаточно много, и они встречаются не только в магазине от Samsung, но и в Google Play, который, как мне кажется, более тщательно проверяет приложения перед их публикацией.
Пользователь устанавливает любое приложение, в котором заложена вредоносная функциональность (установлено приложение может быть откуда угодно, Google Play, App Gallery, Aurora Store и т.д.), или даже получает обновление уже установленного приложения.
Вредоносная функциональность понимает, что установлена на Samsung или что установлено приложение “Galaxy App Store“, и отправляет запрос на автоматическую загрузку и установку приложения.
В результате, пользовательское устройство становится заражено любым вирусом, который удалось загрузить в магазин приложений. А как мы знаем, такие приложения находятся в магазинах практически каждый месяц. Но если раньше пользователя надо было как-то заставить скачать и установить его, то теперь все происходит автоматически и без его ведома.
Заключение
По традиции, напоминаю, что много интересных материалов по теме публикуется в Telegram-канале про мобильную безопасность Mobile Appsec World. Также они добавляются в репозитории, где всегда можно найти интересующие темы по безопасности:
Хотите что-то добавить? Жду вас в личных сообщениях, комментариях под постами, а может быть даже и в Pull Request.
Всем спасибо и хороших праздников!
