И снова представляю вам главные новости из мира безопасности мобильных приложений (с 21 по 27 мая). Было много интересных материалов - давайте посмотрим на самые топовые события.
Новости
MeetUp, посвящённый переделке MASVS и MSTG
Ранее уже были новости о том, что сейчас идет активная переработка контента в основных документах OWASP по мобилкам(MSTG и MASVS), чтобы сделать эти потоки более связанными друг с другом (и с реальностью), а так же добавить немного автоматизации.
А сейчас - один из важных анонсов ближайших месяцев! Уже этим летом, 18 августа в 18:30 PM (GMT-4) пройдет MeetUp, посвященный текущему статусу переработки, на котором покажут, как идут дела, расскажут про целевое видение и дальнейшие планы.
К сожалению, по Москве это 1:30 ночи 19-го числа. Не думаю, что все готовы будут не спать всю ночь, поэтому планирую записать его и потом выложить. Наверняка будет интересно.
Ну и чтобы не забыть, можно поставить напоминалку или зарегаться у них на сайте и добавить событие в календарь.
Интервью эксперта о безопасности мобильных приложений
Как вы, наверное, знаете, недавно прошел форум по безопасности Positive Hack Days, на котором некоторые доклады и материалы были посвящены безопасности мобильных приложений.
Один из них - интервью, посвященное значимости работы над безопасностью мобильных приложений и в целом про текущую ситуацию с магазинами приложений, основными угрозами и т.д. Получилось достаточно интересно.
Уязвимое мобильное приложение AllSafe глазами аналитика
А вот доклад от аналитиков Appscreener (статический анализатор) про уязвимое приложение, где также были разобраны некоторые баги, рассказано, как их искать и эксплуатировать:
Sql Injection
Arbitrary code execution
Insecure Content Provider
А вот и сам код приложения. Что приятно, автор на каждый «флаг» дает ссылки на статьи/репорты о реально найденных подобных багах.
Статья от OverSecured - Android security checklist: theft of arbitrary files
Вышла новая статья от OverSecured, на этот раз про типичные уязвимости при работе с файлами.
В материале разобраны основные недостатки приложений, которые позволяют получить доступ к внутренним файлам приложения, нередко хранящие в себе много интересной информации в открытом виде.
Ну и одна из предыдущих статей про уязвимости в WebView дополнилась еще одним пунктом, на который точно стоит обратить внимание. Как обычно, материал содержит детальные описания, примеры кода, реальные срабатывания и даже несколько PoC для эксплуатации.
Нелегкий путь к динамическому анализу мобильных приложений
Решил немного поделиться тем, что произошло с нашим продуктом за последние несколько месяцев.
А именно, с какими проблемами мы столкнулись, как их решали и чего добились. Вышло, на мой взгляд, достаточно интересно. Технической информации там немного, но я просто не мог не поделиться своими переживаниями и эмоциями от того, что нам удалось сделать.
Надеюсь, что вам тоже будет интересно почитать.
A Kernel Hacker Meets Fuchsia OS
А помните, сколько было разговоров о том, что Fuchsia OS заменит Android и начнется новая эра? И где теперь эта Fuchsia OS? Оказывается, она все еще активно разрабатывается и похоже не собирается умирать. Так что готовьтесь к тому, когда Fuchsia OS придет в ваш дом, - читайте этот серьезный материал. Из статьи вы узнаете:
Что из себя представляет Fuchsia OS и как выглядит ее модель безопасности
Как собрать ОС из исходников и написать приложение для нее
Как выглядит ядро ОС и как его подебажить с помощью GDB и QEMU
Как разрабатывать эксплойты для ядра Fuchsia OS (Zirocon)
В продолжение предыдущей новости - ещё одно видео с PHDays 2022, также про эту операционную систему. Эти два материала помогут составить полное представление об архитектуре и безопасности этой ОС.
Интересно, она все-таки увидит свет на реальных серийных устройствах?
Реверс-инжиниринг безопасной ОС (TEE) на примере AMD TEE из PSP
Не совсем про мобильные истории, но все же доклад о защищенной ОС, которая также применяется в мобильных устройствах повсеместно.
Автор рассказывает о процессе реверс-инжиниринга безопасных операционных систем на примере AMD TEE. От общей информации о безопасных ОС, их применении и концепции и об AMD PSP до обсуждения восстановления основных структур ОС AMD TEE.
Заключение
По традиции, напоминаю, что много интересных материалов по теме публикуется в Telegram-канале про мобильную безопасность Mobile Appsec World. Также они добавляются в репозитории, где всегда можно найти интересующие темы по безопасности:
Хотите что-то добавить? Жду вас в личных сообщениях, комментариях под постами, а может быть даже и в Pull Request.
Всем спасибо!