Как стать автором
Обновить

В Google Play нашли тысячи поддельных приложений, ворующих данные

Информационная безопасность *IT-компании


Исследователи из Сиднейского университета проанализировали более миллиона приложений Google Play и обнаружили около двух тысяч поддельных. Известные игры, такие как Temple Run, Free Flow и Hill Climb Racing, оказались самыми популярными объектами для подделки.

Исследование заняло два года. Оно показало, что некоторые подделки могут быть опасны: приложения-фейки запрашивают разрешения на доступ к личным данным либо могут содержать вредоносные программы.
Читать дальше →
Всего голосов 10: ↑9 и ↓1 +8
Просмотры 4K
Комментарии 1

Пользователи UC Browser и UC Browser Mini могли быть уязвимы к атаке посредника

Информационная безопасность *Разработка под Android *Браузеры
image

Пользователи мобильных браузеров UC Browser и UC Browser Mini могли стать жертвами атаки «человек посередине». Браузеры уличили в том, что они загружают файлы Android Package Kit (APK) со сторонних серверов через незащищенные каналы.

Всего UC Browser и UC Browser Mini скачали более 600 млн раз.

Выяснилось, что приложения загружают дополнительные APK из сторонних источников, загрузка осуществляется через незащищенные каналы, а APK загружается во внешнее хранилище (/storage/emulated/0).
Читать дальше →
Всего голосов 11: ↑10 и ↓1 +9
Просмотры 1.8K
Комментарии 2

Неделя мобильной безопасности (14 — 20 мая)

Блог компании Swordfish Security Разработка мобильных приложений *Тестирование мобильных приложений *

Привет, Хабр!

И снова представляю вам самые главные новости из мира безопасности мобильных приложений (с 14 по 20 мая). Несмотря на прошедшую вторую волну праздников, новостей и материалов хватает, - давайте посмотрим, что интересного произошло.

Читать далее
Рейтинг 0
Просмотры 468
Комментарии 2

Неделя мобильной безопасности (21 — 27 мая)

Блог компании Swordfish Security Информационная безопасность *Разработка под iOS *Разработка мобильных приложений *Разработка под Android *

И снова представляю вам главные новости из мира безопасности мобильных приложений (с 21 по 27 мая). Было много интересных материалов - давайте посмотрим на самые топовые события.

Читать далее
Всего голосов 1: ↑1 и ↓0 +1
Просмотры 486
Комментарии 2

Больше мобильной безопасности на OFFZONE 2022

Блог компании Swordfish Security Информационная безопасность *Разработка мобильных приложений *Тестирование мобильных приложений *

Друзья, всех, кто интересуется практическими аспектами обеспечения информационной безопасности, приглашаем принять участие в конференции Offzone 2022! Мероприятие в этом году пройдет в Москве 25-26 августа и соберет разработчиков, безопасников, исследователей, инженеров, тестировщиков, преподавателей и студентов из нескольких стран мира!

Важно, что на этот раз особое внимание будет уделено теме безопасности мобильных приложений, которая вызывает все больше вопросов и привлекает все больше энтузиастов. Рады сообщить, что Tg-канал Mobile Appsec World компании Стингрей Технолоджис был приглашен стать одним из коммьюнити партнеров конференции Offzone 2022. И у нас не только будет отдельный тематический стенд, но и специальные активности и конкурсы с крутыми призами. Обещаем много насыщенного и полезного контента по теме мобильной безопасности!

Следите за нашими анонсами в июне, июле и августе и примите участие в розыгрышах. Так у вас появится шанс получить инвайт на Offzone 2022. А что там будет? Как всегда, организаторы обещают немало качественного технического контента по ИБ, мастер-классы, конкурсы, розыгрыши и неформальные тусовки. Подключайтесь

Читать далее
Рейтинг 0
Просмотры 276
Комментарии 0

Месяц мобильной безопасности. Июль

Блог компании Swordfish Security Информационная безопасность *Разработка мобильных приложений *Реверс-инжиниринг *Тестирование мобильных приложений *

Привет, Хабр!

Вновь продолжаем серию дайджестов по мобильной безопасности. Вот и прошел очередной. месяц этого жаркого лета. Посмотрим, что интересного появилось в июле, поделимся полезными ссылками на статьи и материалы.

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 931
Комментарии 0

Как защищать мобильные приложения в текущих условиях: обсудим на вебинаре

Блог компании Swordfish Security Разработка мобильных приложений *Тестирование мобильных приложений *

Привет, Хабр!

Это снова я, Юрий Шабалин — генеральный директор и один из основателей Стингрей Технолоджиз. Наша команда занимается анализом защищенности мобильных приложений: ищет уязвимости и помогает их устранять. 

Надеюсь, вы уже соскучились по хорошим новостям. Так вот, у нас тут новый движ: 30 августа в 14:00 проведем вебинар, где я расскажу про безопасность мобильных приложений в текущих условиях. Приглашаю всех вас, подключайтесь! Обещаю дать как можно больше полезной информации и даже попробую добиться оваций (почему бы и нет).

Читать далее
Рейтинг 0
Просмотры 208
Комментарии 0

Защищаем мобильное приложение с помощью «КриптоПро»: пошаговая инструкция

Блог компании AGIMA Информационная безопасность *Разработка мобильных приложений *
Из песочницы
Статья описывает работу с одним из крупнейших российских поставщиков средств криптографической защиты информации и электронной цифровой подписи — компанией «КриптоПро», занимающей лидирующие позиции в России. Рассмотрено импортирование фреймворка для iOS и подводные камни при импортировании, его использование для создания и проверки электронных цифровых подписей, а также авторизации с использованием приватного ключа.

Читать дальше →
Всего голосов 20: ↑12 и ↓8 +4
Просмотры 13K
Комментарии 15

Практический видеокурс Школы информационной безопасности

Блог компании Яндекс Информационная безопасность *Промышленное программирование *
Tutorial
Нет смысла лишний раз напоминать, почему при разработке сервисов важно уделять внимание безопасности. Поговорим о том, как строить системы защиты, поддерживать их в актуальном состоянии и развивать с увеличением числа угроз. Довольно много практических знаний по этой теме можно получить из интернета. Теория, в свою очередь, неплохо освещается в нескольких российских вузах. Есть и множество полезной литературы. Но хорошего специалиста по безопасности отличает не просто знание инструментов и теории, а способность применять теорию в реальных ситуациях.

В апреле этого года мы впервые провели бесплатную Школу информационной безопасности. Лекции в школе подготовили и прочитали сотрудники службы ИБ Яндекса — те специалисты, которые непосредственно отвечают за защиту наших продуктов. Мы получили более 700 заявок, 35 человек успешно закончили школу, 9 из них получили офферы в Яндекс (7 — на позицию стажёра, 2 — на штатную позицию).

Сегодня мы публикуем видеокурс со всеми лекциями Школы. Вы можете почерпнуть те же знания, что и студенты — разве что интерактива поменьше и не нужно делать домашнее задание. Для просмотра стоит знать хотя бы один язык программирования (JS, Python, C++, Java), на начальном уровне разбираться в принципах построения и работы веб-приложений, понимать принципы работы операционных систем и сетевой инфраструктуры, а также основные типы атак и виды уязвимостей.


Надеемся, этот курс прокачает вас в роли специалиста по ИБ, а также поможет защитить ваши сервисы от утечек данных и атак злоумышленников.
Всего голосов 23: ↑23 и ↓0 +23
Просмотры 30K
Комментарии 3

Безопасность мобильного OAuth 2.0

Блог компании VK Информационная безопасность *Разработка мобильных приложений *


Всем привет! Я Никита Ступин, специалист по информационной безопасности Почты Mail.Ru. Не так давно я провел исследование уязвимостей мобильного OAuth 2.0. Для создания безопасной схемы мобильного OAuth 2.0 мало реализовать стандарт в чистом виде и проверять redirect_uri. Необходимо учитывать специфику мобильных приложений и применять дополнительные механизмы защиты.

В этой статье я хочу поделиться с вами знаниями об атаках на мобильный OAuth 2.0, о методах защиты и безопасной реализации этого протокола. Все необходимые компоненты защиты, о которых я расскажу ниже, реализованы в последней версии SDK для мобильных клиентов Почты Mail.Ru.
Читать дальше →
Всего голосов 30: ↑30 и ↓0 +30
Просмотры 22K
Комментарии 25

Что случилось, когда мы взломали выставку?

Информационная безопасность *
Перевод
QRCODE через мобильное приложение для сканирования бейджей участников выставки проектов по информационной безопасности.
Читать дальше →
Всего голосов 59: ↑58 и ↓1 +57
Просмотры 16K
Комментарии 9

Как купить иллюзию безопасности в виде детских смарт-часов

Информационная безопасность *

Данная история о том, как я хотел сделать жизнь моего ребёнка немного безопасней с помощью новых технологий и что из этого вышло. Хотя по заголовку я думаю, вы и так догадались, о чём пойдёт речь.


Приближалось 1 сентября и я, как отец будущего первоклассника, задался вопросом, как сделать так, чтобы первые дни моего чада в школе прошли как можно более спокойно как для него, так и для нас с женой.


Я думаю, что не найдётся человека, который не слышал о таком новом гаджете, как детские смарт-часы. Рынок просто заполонили многочисленные варианты устройств, как правило произведённых в Китае. Цены и функциональность этих устройств варьируются, но лучшие из них включают в себя такой широкий набор функций, как телефон, GPS трекер, мессенджер, фотокамеру, шагомер, ну и конечно же часы. По заявлению производителей — этот гаджет создан специально для детей и включает в себя средства безопасности ребенка. Так думал и я, поэтому стал выбирать в интернете подходящий вариант. Как итог я купил часы FixiTime 3 от компании Elari.


функциональность этих часов была впечатляющая:


  • GPS/LBS/Wi-Fi-трекинг
  • 2 камеры, доступ к камере часов с подключенного смартфона
  • поддержка входящих и исходящих голосовых вызовов, в том числе скрытых
  • голосовой чат
  • шагомер
  • ну и Фиксики внутри, как без них же


Весь этот богатый набор возможностей часов убеждает родителей, что они получают если не полный, то достаточно существенный контроль над своим чадом. Но, с другой стороны, устройства с такой функциональностью должны надежно защищать данные своих пользователей. Тем более, что такими пользователями являются дети. Страшно представить, что может произойти, если злоумышленник получит доступ к устройству ребенка и сможет следить за ним.

Читать дальше →
Всего голосов 191: ↑190 и ↓1 +189
Просмотры 90K
Комментарии 407

ADB vs Spy Cam & Mic

Информационная безопасность *Регулярные выражения *Разработка под Android *Смартфоны
Как проверить, ведет ли какое-нибудь приложение на Android-смартфоне фото- или видеорепортаж, хотя ему это ни разу ни к чему? Нижепредлагаемый вариант совсем не идеален, но не требует «рута» или кастомной прошивки.

P.S. Я добавил в статью описание мониторинга доступа приложений к микрофону.

Что требуется установить:
  • ADB (Android Debug Bridge) (например, в составе Android SDK Platform Tools — загрузить можно здесь);
  • драйвер для телефона (при необходимости, например, Google USB Driver можно загрузить здесь).

Включаем на телефоне режим отладки через USB и подключаем смартфон к USB-порту компьютера, причем следует выбрать режим USB-подключения, отличный от «Только зарядка».
Скрытый текст
В «Диспетчере устройств» смартфон отображается, например, так:
в режиме «Фото» или «Файлы»

в режиме «USB-диск»

А вот так — в выводе команды lsusb:


Открываем командную строку в каталоге, в который установились «тулзы».
Проверяем, что подключение успешно (отображается серийный номер подключенного смартфона):
adb devices
(для Windows)

Для Linux команда бы выглядела так:
./adb devices

Если компьютер не авторизован для использования с этим смартфоном (под Android 4.2.2 и новее), то рядом с серийным номером появится предупредительное сообщение "unauthorized".
Для авторизации необходимо подтвердить на смартфоне разрешение отладки через USB.
Скрытый текст
Под Linux может появляться сообщение "no permissions" — в моем случае удалось решить проблему переключением смартфона в режим «Медиаустройство (MTP)».

Запускаем оболочку на устройстве (получаем приглашение "$"):
adb shell



Затем вводим следующие «магические» символы:
while true; do ps `while ! (dumpsys media.camera | grep -E "PID") do  done | grep -o "[^PID: ][0-9]*$"` | grep -o "[^S ]*$" ; date; sleep 1; done

Читать дальше →
Всего голосов 25: ↑25 и ↓0 +25
Просмотры 17K
Комментарии 34

6 способов спрятать данные в Android-приложении

Информационная безопасность *Разработка под Android *

Привет, дорогой читатель, уже достаточно давно я изучаю мобильные приложения. Большинство приложений не пытаются как-то скрыть от меня свой «секретный» функционал. А я в это время радуюсь, ведь мне не приходится изучать чей-то обфусцированный код.


image


В этой статье я хотел бы поделиться своим видением обфускации, а также рассказать про интересный метод сокрытия бизнес-логики в приложениях с NDK, который нашел относительно недавно. Так что если вас интересуют живые примеры обфусцированного кода в Android — прошу под кат.

Читать дальше →
Всего голосов 21: ↑21 и ↓0 +21
Просмотры 23K
Комментарии 15

Изучаем MITRE ATT&CK. Mobile Matrices: Device Access. Часть 1

Информационная безопасность *
Tutorial

Первоначальный доступ к мобильному устройству (Initial Access)


Ссылки на все части:
Часть 1. Первоначальный доступ к мобильному устройству (Initial Access)
Часть 2. Закрепление (Persistence) и Эскалация привилегий (Privilege Escalation)
Часть 3. Получение учетных данных (Credential Access)
Часть 4. Обход защиты (Defense Evasion)
Часть 5. Обзор (Discovery) и Боковое перемещение (Lateral Movement)

Я начинаю очередной цикл публикаций (см. предыдущие), посвященных изучению тактик и техник осуществления хакерских атак, включенных в базу знаний MITRE ATT&CK. В разделе будут описаны техники, применяемые злоумышленниками на каждом этапе цепочки атаки на мобильные устройства.

Под катом — основные векторы компрометации мобильных устройств, направленные на получение злоумышленником «присутствия» в атакуемой системе.
Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 5.4K
Комментарии 0

Изучаем MITRE ATT&CK. Mobile Matrices: Device Access. Часть 2

Информационная безопасность *
Tutorial

Закрепление (Persistence) и Эскалация привилегий (Privilege Escalation)


Ссылки на все части:
Часть 1. Первоначальный доступ к мобильному устройству (Initial Access)
Часть 2. Закрепление (Persistence) и Эскалация привилегий (Privilege Escalation)
Часть 3. Получение учетных данных (Credential Access)
Часть 4. Обход защиты (Defense Evasion)
Часть 5. Обзор (Discovery) и Боковое перемещение (Lateral Movement)

Техники закрепления описывают способы получения прав доступа, изменения конфигурации мобильного устройства и иные действия, в результате которых злоумышленник обеспечивает постоянство своего присутствия в системе. Зачастую противник вынужден поддерживать доступ к мобильному устройству несмотря на приостановки работы ОС в результате перезагрузки или сброса системы к заводским настройкам.

Закрепившись в системе, противник получает возможность «входа» на мобильное устройства, но вероятно, с очень лимитированными правами. Однако, воспользовавшись слабостями защиты, противник может получить более высокие привилегии, необходимые для достижения цели атаки.
Читать дальше →
Всего голосов 15: ↑14 и ↓1 +13
Просмотры 2.3K
Комментарии 0

Изучаем MITRE ATT&CK. Mobile Matrices: Device Access. Часть 3

Информационная безопасность *
Tutorial

Получение учетных данных (Credential Access)


Ссылки на все части:
Часть 1. Первоначальный доступ к мобильному устройству (Initial Access)
Часть 2. Закрепление (Persistence) и Эскалация привилегий (Privilege Escalation)
Часть 3. Получение учетных данных (Credential Access)
Часть 4. Обход защиты (Defense Evasion)
Часть 5. Обзор (Discovery) и Боковое перемещение (Lateral Movement)

Для осуществления несанкционированного доступа к ресурсам мобильного устройства противниками применяются различные методы захвата паролей, токенов, криптографических ключей и других элементов учетных данных. Получение противником легитимных учетных данных позволяет идентифицироваться и получить все разрешения скомпрометированной учетной записи в системе или сети, что затрудняет обнаружение злонамеренной активности. При наличии соответствующего доступа противник также может создавать легитимные учетные записи для их применения в атакуемой среде.
Читать дальше →
Всего голосов 6: ↑5 и ↓1 +4
Просмотры 973
Комментарии 0

Изучаем MITRE ATT&CK. Mobile Matrices: Device Access. Часть 5

Информационная безопасность *
Tutorial

Обзор (Discovery) и Боковое перемещение (Lateral Movement)


Ссылки на все части:

Часть 1. Первоначальный доступ к мобильному устройству (Initial Access)
Часть 2. Закрепление (Persistence) и Эскалация привилегий (Privilege Escalation)
Часть 3. Получение учетных данных (Credential Access)
Часть 4. Обход защиты (Defense Evasion)

Получив доступ к мобильному устройству противник, вероятно, попытается использовать штатные средства операционной системы, чтобы «осмотреться», понять какое преимущество получено, способствует ли оно достижению цели вторжения. Данный этап атаки называется «Обзор» (Discovery). Техники осуществления обзора направлены на получение информации о характеристиках скомпрометированного мобильного устройства, а также других доступных сетевых систем.

Оценив имеющиеся в атакуемой среде возможности, противник попытается получить доступ к удаленным системам, и, возможно, контроль над ними, предпримет попытки запуска на удаленных системах вредоносных инструментов. Описанную активность называют Боковым перемещением (Lateral Movement). Методы бокового перемещения так же включают средства сбора информации из удаленных систем без использования дополнительных инструментов, таких как утилиты RAT (Remote Access Tools).
Читать дальше →
Всего голосов 7: ↑6 и ↓1 +5
Просмотры 1.2K
Комментарии 0

OWASP ТОП-10 уязвимостей IoT-устройств

Блог компании Инфосистемы Джет Информационная безопасность *Интернет вещей


К концу 2018 года количество подключенных IoT-устройств превысило 22 миллиарда. Из 7,6 миллиардов человек на Земле у 4 миллиардов есть доступ к интернету. Получается, что на каждого человека приходится по 5,5 устройств интернета вещей.

В среднем между временем подключения устройства IoT к сети и временем первой атаки проходит около 5 минут. Причем большая часть атак на «умные» устройства происходит автоматизированно.

Разумеется, такая печальная статистика не могла оставить равнодушными специалистов в области кибербезопасности. Международная некоммерческая организация OWASP (Open Web Application Security Project) озаботилась безопасностью интернета вещей еще в 2014 году, выпустив первую версию «OWASP Top 10 IoT». Обновленная версия «ТОП-10 уязвимостей устройств интернета вещей» с актуализированными угрозами вышла в 2018 году. Этот проект призван помочь производителям, разработчикам и потребителям понять проблемы безопасности IoT и принимать более взвешенные решения в области ИБ при создании экосистем интернета вещей.
Читать дальше →
Всего голосов 32: ↑31 и ↓1 +30
Просмотры 11K
Комментарии 5

Как правильно идентифицировать Android-устройства

Информационная безопасность *Разработка мобильных приложений *Разработка под Android *Аналитика мобильных приложений *
Из песочницы

Всем привет! Если вам нужно  создать уникальный и стабильный идентификатор Android-устройства для использования внутри приложения, то вы наверняка заметили тот хаос, который присутствует в документации и в ответах на stackoverflow. Давайте рассмотрим, как решить эту задачу в 2020 году. О том, где взять идентификатор, стойкий к переустановкам вашего приложения, и какие могут быть сложности в будущем — в этом кратком обзоре. Поехали!

Читать далее
Всего голосов 16: ↑15 и ↓1 +14
Просмотры 19K
Комментарии 11
1