Привет, Хабр!
Поскольку прошлый мини-дайджест вызвал интерес, буду продолжать радовать вас новостями мобильной безопасности за прошедшую неделю. А теперь о том, что произошло с 16 по 22 апреля.
Новости
Обход биометрической аутентификации в WhatsUp
Достаточно интересный баг нашел один из исследователей в приложении WhatsUp. В нем есть возможность настроить экран блокировки так, чтобы после определенного периода неактивности пользователя нельзя было прочитать чаты, позвонить и т.д. Суть обхода заключалась в том, что после звонка на определенный номер счетчик времени сбрасывался, и приложение считало, что пользователь ещё активен. Соответственно, блокировки не происходило.
Что сказать - стандартная ошибка логики в приложении. От нее никто не застрахован. Даже у Apple была бага, связанная с неправильным инкрементом счетчика пин-кода от устройства, что позволяло перебрать полностью все 4-х значные коды за 48 часов.
Статья достаточно небольшая и легкая, но кейс интересный.
Получение трафика с Android Emulator
Наверное, самая подробная и простая статья, которую я видел, по процессу перенаправления трафика с эмулятора в Burp Suite.
В ней рассказывается о том, как поставить и настроить эмулятор, как получить на нем нужные права, поставить Magisk, добавить нужные плагины и, наконец, добавить сертификат в системные настройки и пустить весь трафик через Burp Suite.
В статье на каждый пункт - по одному-два скриншота, так что если это ваша первая настройка среды для тестирования, то материал станет отличным подспорьем в развертывании рабочего пространства.
Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом.
Очень часто и много вопросов в разных чатах и на тренингах вызывает тема защиты канала связи, а именно SSL Pinning. Рассказать, что это такое, а также описать, к чему может привести отсутствие этого механизма, я попробовал в статье.
На самом деле, прежде чем говорить о пиннинге, нужно понимать, что вообще происходит при взаимодействии клиента и сервера, как проходит установка безопасного соединения и еще несколько базовых вещей.
Я постарался описать все это максимально просто, так, как сам их понимаю, и надеюсь, что этот материал будет полезен тем, кто хочет сделать свой продукт более безопасным и разобраться, как работает этот механизм.
Как работают обновления в Android
Очень подробная и крутая статья про то, как работают обновления внутри Android.
Много сказано про механизм TREBLE (способ разделения Android на несколько относительно независимых частей, призванный решить проблемы фрагментации Android и доставки обновлений на устройства различных производителей), про тестирование обновлений, а также в принципе про процесс, про производителей и много-много других очень интересных вещей.
Тем, кто интересуется, как устроена система внутри, что происходит «под капотом», - обязательно к прочтению. Кода в статье нет, это чистое описание различных процессов и технологий (да и автор уверяет, что многие вещи под NDA, так что публиковать их он не может).
Анализ приложения под DexGuard
Статья про анализ приложения для MDM (Mobile Device Management), которое оказалось защищено при помощи DexGuard.
Автор очень подробно рассказывает про все этапы анализа, особенности DexGuard, отличии имплементации AES классического от того, что предлагает DexGuard. Читайте, крутите, изучайте.
Главный вывод: даже если используется шифрование строк и самого файла, не забывайте, что оставлять учетные записи в конфигурационных файлах приложения не стоит в любом случае, особенно с администраторскими правами.
Шифруйте и храните свои данные правильно!
Разбор очередного калькулятора для шифрования фото.
В прошлый раз, под маской калькулятора для хранения фотографий скрывался DES с вшитым в код паролем «12345678» и более чем 10 миллионами установок. А что приготовил автор на этот раз?
В материале подробно разобраны используемые технологии и механизмы шифрования приложения «Secret Calculator Photo Vault». И даже применение Facebook Conceal API в связке с получением ключа из пин-кода пользователя на основе PBKDF2.
Хотите знать, как шифруются данные и как их расшифровывать? Тогда вам точно понравится. Вишенка на торте - репозиторий автора со скриптами для брутфорса пин-кода и расшифровкой медиа файлов.
Кстати, меня не покидает вопрос: “Почему именно калькуляторы?” или, скорее, так: “Почему в большинстве случаев именно калькуляторы призваны скрывать фото?”
Сборник WriteUp по уязвимостям приложений Facebook (Meta).
Нашел интересный репозиторий, который включает в себя все описания найденных уязвимостей в приложениях Facebook, включая WhatsUp, Instagram и прочие сервисы компании.
В одном месте можно посмотреть, что и как было найдено в различных продуктах компании Meta и сколько за это получили исследователи.
Так что, если вы нашли багу в приложениях этой компании и написали WriteUp, можно смело создавать PR!
Заключение
Завершая второй выпуск, не могу не напомнить, что много интересных материалов по теме публикуется в Telegram канале про мобильную безопасность Mobile Appsec World. Также они добавляются в репозитории, где всегда можно найти интересующие темы по безопасности:
Хотите что-то добавить? Велкам в личные сообщения, комментарии под постами, а может быть даже и в Pull Request.
Всем спасибо и хороших выходных!
