Привет, Хабр!
Вновь продолжаем серию дайджестов по мобильной безопасности. Вот и прошел очередной. месяц этого жаркого лета. Посмотрим, что интересного появилось в июле, поделимся полезными ссылками на статьи и материалы.
Это серия статей от Александра Смирнова про Android Auto.
Я никогда даже не задумывался, как это всё работает под капотом, как реализована интеграция и какие протоколы используются при подключении телефона к машине. А ведь это целый новый дивный мир!
Хотел бы представить вашему внимаю две крайне интересные статьи:
Android Auto on Real Android - материал про Android Auto, его эмуляцию, взаимодействие по USB и многие другие интересные вещи про работу с ним
TLS 1.2 brief insight - статья, описывающая принцип работы tls - очень качественно и подробно. Еще здесь говорится про способ дампа ключей, использующихся при установке соединения, а так же репозиторий для расшифровки этого трафика и логирования ключей
Советую прочитать все эти материалы, они действительно очень крутые и полезные.
Бесплатные курсы по безопасности Web-приложений
А вот подарочек для тех, кому хочется изучить что-то интересное. Наткнулся на несколько бесплатных курсов по Web-безопасности, держите:
У меня иногда спрашивают, с чего начать реверсить, что почитать на эту тему. Так вот, теперь у меня есть ответы на эти вопросы.
Загляните в этот достаточно большой гайд, а точнее сборник разных материалов по реверсу на различных архитектурах с использованием инструментального стека: radare2, gdb, frida, x64dbg и других. Заметки/статьи покрывают реверс С кода на х86 под Windows и Unix, ну и небольшой кусочек по анализу малвари.
Настоятельно рекомендую этот дайджест всем, кто уже погружен в тематику или только хочет это сделать. Здесь всё наглядно, подробно, с комментариями и примерами. Еще можно заглянуть в блог автора - там очень качественные материалы.
Совсем скоро, в августе, состоится BlackHat USA 2022, но уже сейчас можно посмотреть сетку докладов и узнать, что же будет интересного по нашей части. Первой в глаза мне бросилась именно эта тема - эмулятор iOS.
Доклад TruEMU: An Extensible, Open-Source, Whole-System iOS Emulator обещает нам описание того, как команде исследователей удалось создать полноценный эмулятор для iOS на базе qemu и как они его использовали для фаззинга стека ядра USB. По словам авторов, по сравнению с несколькими доступными альтернативами, TrueEMU обеспечивает полную эмуляцию ядра iOS, включая эмуляцию SecureROM и стека ядра USB. В рамках доклада также обещают показать, как полностью загружать современные образы iOS, включая iOS 14 и последнюю версию iOS 15, и как правильно запускать различные компоненты пользовательского пространства, такие как launchd, restore и т. д.
Исходники я поискал, но пока что не нашел, возможно, их опубликуют после доклада. Тогда можно будет посмотреть и попробовать поиграть с очередным эмулятором iOS. Очень надеюсь, что он будет намного лучше и стабильнее, чем тот вариант, про который я писал ранее.
Так что с нетерпением ждем доклада и видео. Может, это будет прорыв и мы получим бесплатный Correlium?
Трек по мобилкам на BlackHat USA
В дополнение к предыдущей новости предлагаю вашему вниманию ссылку на все доклады в сетке, посвященные мобильной безопасности. Надеюсь, каждый найдет для себя что-то интересное.
Продолжаем тему реверса - инструмент radius2
Многие OpenSource продукты (почему-то они мне чаще всего встречаются в реверсе) имеют постфикс. То есть взяли какой-то инструмент, переписали его на новый язык (переделали/улучшили), но запомнили, откуда была взята оригинальная идея, поэтому оставили старое название и добавили новую цифру. Вот вам пример: radare2.
Инструмент radius2 тоже имеет постфикс. Это фреймворк для символьного выполнения и taint-анализа, использующий Radare2 и его промежуточное представление ESIL. По сути, это старая версия ESILSove с некоторыми архитектурными улучшениями. Фреймворк использует boolector SMT-solver, а не z3. В среднем он выполняется примерно в 1000 раз быстрее, чем ESILSove.
Думаю, почитать об этом инструменте и попробовать его будет полезно тем, кто погружается или уже погружен в мир реверса. Дополнительно в репозитории лежит неплохой файлик с описанием того, что эта штука умеет.
Приятного чтения и использования!
Переход на 64-битную архитектуру в Android
Как мы знаем, ещё в далеком 2017 Apple полностью отказалась от поддержки 32-битных приложений и этой архитектуры как таковой. Google же, в свою очередь, нет-нет да и посматривал на своего оппонента. И вот долгожданные новости: в ближайшее время компания планирует отказаться от поддержки x86.
Уже сейчас в новых линейках процессоров из 8 ядер, подходящих для выполнения 32-битных операций, будут доступны только 3. А к следующему году планируется полностью исключить запуск таких операций.
Android давно к этому готовился и вот вам Android 12 - первая версия операционной системы, которая поддерживает выполнение только 64-битных приложений. Небольшая выдержка из статьи:
«The latest revision to the CDD explicitly requires device makers to build 32-bit Android for low RAM devices. The goal is to reduce the types of Android builds to two — Android 32-bit only and Android 64-bit only — to reduce fragmentation until 32-bit support can be fully deprecated years from now».
Подробнее читайте в статье. Этот ресурс мне нравится больше всего тем, что здесь огромное количество ссылок в материалах - можно походить по ним и почитать интересную информацию.
Переподпись IPA-файлов для iOS без срока действия!
Не так давно был обнаружен интересный баг в iOS, из-за которого система CoreTrust доверяет любому корневому сертификату. Спустя некоторое время появились PoC для эксплуатации этой уязвимости. А теперь вышел специальный инструмент, который полностью автоматизирует переподпись приложения для эксплуатации этого бага.
Используя утилиту из репозитория, можно переподписать любое приложение, и оно не будет требовать обновления доверию профиля каждые 6 дней.
Но зачем так сложно - спросите вы. Ведь на jailed-устройствах есть замечательный AppSync Unified, который как раз убирает проверку подписи и позволяет запускать неподписанные приложения. А вся соль в том, что перепакованное таким образом приложение будет работать всегда, даже если джейл слетел или вы его убрали. То есть джейлим устройство, переподписываем и устанавливаем приложение, убираем джейл - все работает так же, как и раньше!
В некоторых случаях это действует и с джейлом от unc0ver, для которого нужно запустить специальное приложение (хоть и не всегда). В теории, если скрипт дотюнят до того, чтобы он всегда гарантировано запускал unc0ver, это снимет очень много проблем и боли. То есть, если джейл слетит, не нужно будет бежать с устройством к компьютеру и заниматься переустановкой.
На Reddit есть большой тред, посвященный этому репозиторию и возникающим проблемам.
Большая энциклопедия Android-malware
Не так давно кто-то спрашивал про сэмплы зловредов под Android. Тогда я скинул репозиторий, который содержит определенное их количество и периодически обновляется.
Но вот более интересный вариант под названием Androscope, здесь есть поиск по вредоносам, а точнее по их функционалу. То есть с его помощью можно найти все сэмплы, которые записывают видео с экрана или используют наложение, отреверсить их и понять, как они это имплементируют.
Очень интересный проект, для аналитиков самое то!
А вот небольшая статья по его функционалу.
Слайды с доклада по рефакторингу MASVS и MSTG
В начале июня прошел OWASP Virual AppSec 2022, на котором в том числе был доклад про текущий статус переработки двух основных документов по мобилам от OWASP.
Ну что сказать, ребята молодцы. Как и обещали, потихоньку вместе с сообществом лопатят наши основные документы, которые мы так часто используем.
Самое интересное, что хочется отметить:
Документы теперь будут связаны между собой намного сильнее
В MSTG должны появиться атомарные проверки на каждое требование (то есть будет понятнее что и как проверять)
В каждом разделе требования будут существенного переработаны
Появятся способы автоматизации, а отчетики будут в PDF
Так что все идет к тому, что в этом году мы таки увидим долгожданный релиз и новую «более лучшую версию»!
Фишинговая компания в Facebook
В целом новости про фишинговые рассылки и подобные компании внутри соцсетей - достаточно распространенная вещь, поскольку способов проворачивать такое очень много, а некоторые из них еще и продаются на курсах.
В данном конкретном случае пользователь жмет на ссылку от своего друга в FB Messenger, попадает на страницу псевдологина в Facebook, вводит или не вводит креды, и его редиректят на страницу с рекламой. Все просто: ты либо получил аккаунт пользователя, либо заработал на рекламе (а может и то, и другое). Если верить отчету, то за время работы этой компании злоумышленники только на рекламе могли заработать порядка 59 млн $.
Вот что интересно: мошенники часто используют сервисы для сокращения ссылок и большой череды редиректов со страницы на страницу таким образом, чтобы система соцсети не могла запретить отследить использование зловредного домена и заблокировать его - это уже стало стандартом качества для фишинга. Блокировка легитимных сервисов повлечет за собой потерю работоспособности многих обычных сервисов.
Согласно исследованию, огромное количество пользователей вбивают свои данные на эти страницы, что для меня до сих пор удивительно. Столько информации есть вокруг и различных историй о том, что не надо вводить свои кровные данные в непонятные формочки. Но всё равно с завидной регулярность пользователи сами отдают свои логины и пароли в руки злоумышленников. Вопрос: почему и зачем?
Есть у меня идея по фишингу для версий Android < 11 - это использование Task Hijacking для подмены приложения. Пользователю приходит валидный диплинк, он его открывает, запускается "правильное приложение", где мы обычно вводим свои данные, и после открывается целевое приложение. Абсолютно прозрачно для пользователя и не вызывает вопросов. Но вот вбивать свои логины и пароли на левый сайт и потом смотреть рекламу - для меня как-то странно.
Вот этот факт, конечно, очень интересен: на протяжении почти года эта компания живет в автоматическом режиме и собирает деньги с рекламы и данные пользователей.
А вы когда-то попадались на фишинг?
Как написать собственный эмулятор
Огненная статья по написанию самого худшего эмулятора Android в мире (да, она именно так и называется).
Статья очень информативная и интересная, покрывает широкий спектр различных тем. Ведь чтобы написать эмулятор, нужно абсолютно точно понимать, как работает операционная система, которую мы собираемся эмулировать. В данном случае в статье раскрываются темы:
Базовая архитектура операционной системы Android
Что такое системные вызовы
Как обрабатываются системные вызовы в AArch64
Как работает сопоставление памяти
Как операционная система загружает ELF в память и запускает его
Как эмулировать поведение операционной системы для загрузки ELF в память и его запуска
Советую всем неравнодушным к Android!
Обновление Mitre - добавлена матрица угроз по мобилкам
Не так давно произошло очередное обновление матрицы MITRE ATT&CK и главным для нас нововведением стала матрица по мобилкам. Причем включает она в себя как атаки на устройство, так и атаки на приложения. Очень интересные данные, на которые можно теперь ссылаться при составлении модели угроз и в целом, чтобы посмотреть, каким актуальным проблемам подвержены мобильные приложения и устройства.
Для тех, кто не в курсе, что это такое и почему это очень ценная информация, рекомендую прочитать пост и перевод этой модели от компании Positive Technolodgies от конца прошлого года. Ну а тем, кому лень, приведу небольшую выдержку из материала.
Если коротко, матрица MITRE ATT&CK - это база знаний, разработанная и поддерживаемая корпорацией MITRE на основе анализа реальных APT-атак. Представляет собой список тактик. Для каждой из них указаны возможные техники, которые помогают злоумышленникам в достижении цели на текущем этапе атаки.
Впервые презентовали матрицу в 2013 году как способ описания и составления паттернов поведения злоумышленников на основе реальных наблюдений. С тех пор ATT&CK значительно эволюционировала благодаря вкладу сообщества по кибербезопасности: эксперты со всего мира регулярно отправляют в MITRE данные о новых, ранее неизвестных приемах.
Можно сказать, что по большому счету матрица - это историческая справка о том, какие техники и методы пользовались популярностью у киберпреступников ранее, а также свежий взгляд на модель киберугроз через призму техник, которые хакеры активно применяют сейчас.
Компания Guardsquare, производитель DexGuard, выпустила занятную статью про внутренности Flutter и подходу к его анализу.
Так как эта первая статья из обещанного цикла, она не очень сильно раскрывает все нюансы и способы реверса приложений. Но как обзорный материал с примерами, отсылками на другие работы и некоторыми подсказками для упрощения работы - самое то!
Во второй статье уже намного больше примеров, объяснений и внутренней кухни Flutter, много отсылок на различные инструменты для анализа, скрипты и репозитории (в том числе написанные самими исследователями). Весь тулинг для демо выложен в открытый доступ. Так что можно не просто прочитать, а попробовать повторить все шаги, описанные в статье.
Ну и я уверен, что в следующих материалах мы еще услышим о reFlutter.
Как вкатиться в мобильный инфобез в 2022-м году
Это подкаст про безопасность операционной системы Android и приложений для нее. Можно слушать на ваших любимых площадках или прямо в Telegram. Видео решил не выкладывать, так как оно не несет никакой дополнительной ценности.
Show notes:
Охота за багами: как прокачаться этичному хакеру, чтобы больше зарабатывать на поиске уязвимостей
Открытая лекция: Основы информационной безопасности для мобильных разработчиков
Frida-boot, небольшая презентация по использованию Frida
Небольшой 4-х часовой воркшоп по особенностям использования и работы с Frida.
Хороший и грамотный материал с практическими примерами и рассказом об особенностях работы «Фриды», о способах подмен функций и т.д. Примеры подходят не только для мобильных систем, но и для других языков и ОС тоже.
Очень рекомендую всем, кто хочет больше узнать о динамической инструментации приложений и понять, как она работает.
Доступен в формате видео или слайдов.
Исследование 0-day в «дикой природе»
У Google Project Zero есть интересная серия исследований, в которой команда изучает и описывает 0-day уязвимости, встречавшихся в реальной жизни, с примерами эксплуатации и описанием, как именно их применяли.
Данная статья является обзорной по состоянию за первое полугодие 2022 года. Но на ее основе можно найти несколько более интересных докладов, которые подробнее раскрывают аспекты каждой из уязвимостей.
Такая информация не всегда относится к мобильным приложениям, но почитать и послушать что-то дополнительно всегда интересно и полезно.
Как установить более старую версию приложения поверх нового и не потерять данные в Android
По умолчанию Android-система не позволяет устанавливать более старую версию поверх новой для одного приложения. В целом это правильный подход, так и должно быть, потому что внутренние базы и структуры данных уже могут быть изменены под новую версию, поэтому старая может работать некорректно.
Но иногда необходимость в такой установке всё же возникает. И тут нам поможет статья, в которой описано несколько способов, как это провернуть совершенно легально и оставить данные на месте.
Это может быть крайне полезно!
CTF под Android в Google Play со скорбордом и печеньками
Очень странно, что я не видел этих ребят раньше, мне казалось, что уже про них рассказывал… В общем, вот вам весьма интересный и развивающийся проект - hpAndro.
Он представляет из себя CTF для Android, написанный на котлин. На сайте доступен сеорборд, и есть все шансы туда попасть.
Ну и в целом всегда приятно немного поиграть, если есть время и силы. В процессе можно попробовать новые инструменты и, если есть уже прохождение, поискать другой способ получения флага.
Всем удачной игры и поиска багов!
P.S. У ребят еще есть отличный канал на YouTube, где много разных видео, начиная с прохождения их CTF, заканчивая обзором разных инструментов - очень классно!
Детальный разбор эволюции троянского приложения Flubot
Очень здоровская статья про развитие и эволюцию банковского зловреда под Android.
Основной особенностью, на мой взгляд, является то, что это современный (первая версия датирована 2020 годом), написанный самостоятельно (а не скопированный с других зловредов) проект, который эволюционирует и развивается лучше и быстрее многих коммерческих приложений.
Интересно почитать про те приемы, которые они использовали, чтобы оставаться менее заметными и их было сложнее определить.
В общем, рекомендую почитать, может, даже мы что-то у них позаимствуем :)
Небольшой экскурс в OWASP MASVS
Очередное видео с конференции про то, зачем нужен MASVS и как его применять. Ну и конечно, здесь снова много времени уделено процессу рефакторинга этих документов.
Но в случае с прошлым постом на эту тему были доступны только слайды, а тут полноценный доклад. Так что, если кому-то проще слушать и смотреть, это видео как раз для вас.
Заключение
По традиции напоминаю, что я публикую много интересных материалов по теме в Telegram-канале про мобильную безопасность Mobile Appsec World. Вся информация также добавляется в репозитории, где вы всегда сможете найти интересующие темы по безопасности:
Хотите что-то добавить? Жду вас в личных сообщениях, комментариях под постами, а может быть даже и в Pull Request.
Всем спасибо!
