Могу посоветовать:
— «IDA Pro Book, 2nd Edition» https://www.nostarch.com/idapro2.htm
— «The Beginner's Guide to IDAPython» hooked-on-mnemonics.blogspot.ru/2015/04/the-beginners-guide-to-idapython.html
— «Gray Hat Python» https://www.nostarch.com/ghpython.htm
— Читать код чужих плагинов
Могу сказать что с 100 серии появилась встроенная поддержка NFC в Intel ME — http://www.intel.com/content/dam/www/public/us/en/documents/datasheets/100-series-chipset-datasheet-vol-1.pdf 40 страница
For an application to be able to turn off the service, the application needs to be running elevated (as Admin). Once a process is running with such high security privileges, turning off the service is merely one of the myriad of things it can do.
У сторонних антивирусных решений с механизмом самозащиты ситуация иная — прав Admin не достаточно.
Некоторые подходы требуют (4 техники), некоторые нет (2 техники).
Смысл заключается в том, что даже атакующему с админскими правами придется обходить механизм самозащиты антивируса.
Если будут предложены еще какие-нибудь общие техники, то мы их с радостью включим в обзор. Понятное дело что есть множество техник, которые заточены под определенный антивирус и работают и сейчас, но такое сравнивать и анализировать не имеет смысла.
MSE не позиционирует себя как антивирус с механизмом самозащиты в отличие от тех, что представлены в исследовании, поэтому его и нет в данном исследовании.
Здравствуйте.
Версии антивирусных решений, тестовое окружение, используемые техники описаны. Вы можете взять и перепроверить все результаты нашей работы, мы не возражаем. Антивирусные компании, которые также сомневались в правдивости данных результатов, получили детальную информацию, работают над исправлениями, и претензий нет.
Я — автор исследования: «Мобильный банкинг — кража по воздуху».
Сравнивать два данных исследования некорректно:
1) В данном исследовании рассматриваются все типы уязвимостей, а в моем исследовании целенаправленно анализируется только один тип уязвимостей, реализация которых позволяет осуществить атаку MiTM. Наличие проблем безопасности этого класса почти наверняка позволяет злоумышленнику удаленно (без физического доступа к устройству) осуществить кражу денег со счета и/или получить информацию о финансовых данных.
2) В данном исследовании непонятна выборка анализируемых приложений (2?,5?,10?,...), а в моем абсолютно все из магазинов Google Play и App Store на момент исследования с наличием платежного функционала.
Как вы наверняка понимаете, факт наличия уязвимости не гарантирует успешность проведения атаки и тем более компрометацию счета.
Кроме владения телефоном, нужно ещё знать логин и пароль от системы. Данный вектор атаки абсолютно не технический — здесь чисто социальная инженерия. Мы ей тоже занимаемся. Но при анализе безопасности МБ, как правило заказчики не включают данную модель нарушителя (сговор с сотрудником салона) в перечень работ.
Повлиять может. Для этого они, например, запрашивают следующие разрешения:
— GET_TASKS
— KILL_BACKGROUND_PROCESSES
— DELETE_PACKAGES
То что делают и чем пользуются мобильные антивирусы для Android достаточно просто посмотреть, открыв их AndroidManifest.xml файл.
Для ContentProvider значение android:exported по умолчанию равно «true» если SDK <= 16 и «false» если SDK >= 17.
Если android:targetSdkVersion не объявлен, то берется значение android:minSdkVersion.
Если android:minSdkVersion не объявлен, то по умолчанию оно будет восприниматься системой как «1».
Таким образом android:exported будет «true» для ContentProvider.
— «IDA Pro Book, 2nd Edition» https://www.nostarch.com/idapro2.htm
— «The Beginner's Guide to IDAPython» hooked-on-mnemonics.blogspot.ru/2015/04/the-beginners-guide-to-idapython.html
— «Gray Hat Python» https://www.nostarch.com/ghpython.htm
— Читать код чужих плагинов
И еще раз из исследования:
У сторонних антивирусных решений с механизмом самозащиты ситуация иная — прав Admin не достаточно.
Смысл заключается в том, что даже атакующему с админскими правами придется обходить механизм самозащиты антивируса.
Версии антивирусных решений, тестовое окружение, используемые техники описаны. Вы можете взять и перепроверить все результаты нашей работы, мы не возражаем. Антивирусные компании, которые также сомневались в правдивости данных результатов, получили детальную информацию, работают над исправлениями, и претензий нет.
Сравнивать два данных исследования некорректно:
1) В данном исследовании рассматриваются все типы уязвимостей, а в моем исследовании целенаправленно анализируется только один тип уязвимостей, реализация которых позволяет осуществить атаку MiTM. Наличие проблем безопасности этого класса почти наверняка позволяет злоумышленнику удаленно (без физического доступа к устройству) осуществить кражу денег со счета и/или получить информацию о финансовых данных.
2) В данном исследовании непонятна выборка анализируемых приложений (2?,5?,10?,...), а в моем абсолютно все из магазинов Google Play и App Store на момент исследования с наличием платежного функционала.
Как вы наверняка понимаете, факт наличия уязвимости не гарантирует успешность проведения атаки и тем более компрометацию счета.
Верный и полезный комментарий.
Спасибо!
В статье несколько раз сказано о работе внутри sandbox. Хотя, например, можно обратиться и к тем же mach портам.
В статье как раз и рассматриваются сценарии когда Apple практически не принимает участия при распространении приложений.
Если что про использование private API в приложениях для магазина App Store я и речи в статье не веду.
— GET_TASKS
— KILL_BACKGROUND_PROCESSES
— DELETE_PACKAGES
То что делают и чем пользуются мобильные антивирусы для Android достаточно просто посмотреть, открыв их AndroidManifest.xml файл.
Для ContentProvider значение android:exported по умолчанию равно «true» если SDK <= 16 и «false» если SDK >= 17.
Если android:targetSdkVersion не объявлен, то берется значение android:minSdkVersion.
Если android:minSdkVersion не объявлен, то по умолчанию оно будет восприниматься системой как «1».
Таким образом android:exported будет «true» для ContentProvider.