Мы привыкли доверять приложениям, которые установили на свои гаджеты. Порой обоснованно, порой не очень. Если посмотреть документацию на API авторизации какого-нибудь крупного российского банка или соцсети, то можно увидеть Oauth 2.0, OIDC, authorization code flow и т.д. К сожалению, в большинстве случаев это либо не соответствует действительности вообще, либо частично. Как будто за всеми этим упускается один важный момент, и сегодня мы поговорим об этом более подробно.
Рубрика «безопасность мобильных приложений»
Безопасная авторизация в современных мобильных приложениях: миф или реальность?
2025-01-02 в 7:16, admin, рубрики: mobile development, oauth2, OIDC, rfc, безопасность, безопасность мобильных приложенийПишем своё приложение для установки PIN на другие приложения
2024-08-08 в 10:16, admin, рубрики: accessibilityservice, deviceadminreceiver, pin, безопасность, безопасность мобильных приложенийПредыстория
Ещё с детства мой отец приучил меня пользоваться антивирусами. Соблюдая традиции, я купил себе подписку на антивирус для Андроида. Оказалось, в приложении есть крайне интересная фича — установка ПИН-кода для других приложений на устройстве. Интересной она была для меня тем, что я, как мобильный разработчик, не имел ни малейшего понятия, как подобное можно сделать. И вот теперь, после непродолжительных раскопок и проделанной работы, я делюсь своим опытом.
План
Приложение должно уметь:
-
Распознавать, когда показывать экран с ПИН-кодом;
«Вам повезло!» или как Яндекс устранял баг
2022-09-10 в 10:00, admin, рубрики: безопасность мобильных приложений, информационная безопасность, Тестирование мобильных приложенийПредисловие
Hello, team! Возможно, столь завуалированное название статьи Вас заинтересовало, и вы решили прочитать ее во что бы то ни стало, дабы понять суть. Но на деле все куда проще, а остроты данной ситуации подбавляют лишь комические реплики службы поддержки Яндекс (далее - ЯД), которая красиво "отшила" мой баг-репорт.
Когда я оставил заявку на bugbounty, я и не надеялся получить быстрый ответ. Я заранее загуглил отзывы некоторых пентестеров, которые были крайне недовольны системой поощрения программы ЯД. Но, к моему удивлению, баг закрыли через пару дней, а затем я пустился во все тяжкиеЧитать полностью »
Rust — теперь и на платформе Android
2021-04-10 в 9:37, admin, рубрики: android, c++, java, Rust, безопасность мобильных приложений, Блог компании Издательский дом «Питер», Компиляторы, Программирование, Разработка под androidКорректность кода на платформе Android является наиважнейшим аспектом в контексте безопасности, стабильности и качества каждого релиза Android. По-прежнему сложнее всего вытравливаются ошибки, связанные с безопасностью памяти и попадающиеся в коде на С и C++. Google вкладывает огромные усилия и ресурсы в обнаружение, устранение багов такого рода, а также в уменьшение вреда от них, старается, чтобы багов в релизы Android проникало как можно меньше. Тем не менее, несмотря на все эти меры, ошибки, связанные с безопасностью памяти, остаются основным источником проблем со стабильностью. На их долю неизменно приходится ~Читать полностью »
Пользователи UC Browser и UC Browser Mini могли быть уязвимы к атаке посредника
2019-10-19 в 8:08, admin, рубрики: Google Play, Uc Browser, безопасность мобильных приложений, браузеры, информационная безопасность, Разработка под android, хакерыПользователи мобильных браузеров UC Browser и UC Browser Mini могли стать жертвами атаки «человек посередине». Браузеры уличили в том, что они загружают файлы Android Package Kit (APK) со сторонних серверов через незащищенные каналы.
Всего UC Browser и UC Browser Mini скачали более 600 млн раз.
Выяснилось, что приложения загружают дополнительные APK из сторонних источников, загрузка осуществляется через незащищенные каналы, а APK загружается во внешнее хранилище (/storage/emulated/0). Читать полностью »
OWASP ТОП-10 уязвимостей IoT-устройств
2019-10-03 в 8:01, admin, рубрики: IoT, безопасность, безопасность мобильных приложений, Блог компании Инфосистемы Джет, Интернет вещей, информационная безопасностьК концу 2018 года количество подключенных IoT-устройств превысило 22 миллиарда. Из 7,6 миллиардов человек на Земле у 4 миллиардов есть доступ к интернету. Получается, что на каждого человека приходится по 5,5 устройств интернета вещей.
В среднем между временем подключения устройства IoT к сети и временем первой атаки проходит около 5 минут. Причем большая часть атак на «умные» устройства происходит автоматизированно.
Разумеется, такая печальная статистика не могла оставить равнодушными специалистов в области кибербезопасности. Международная некоммерческая организация OWASP (Open Web Application Security Project) озаботилась безопасностью интернета вещей еще в 2014 году, выпустив первую версию «OWASP Top 10 IoT». Обновленная версия «ТОП-10 уязвимостей устройств интернета вещей» с актуализированными угрозами вышла в 2018 году. Этот проект призван помочь производителям, разработчикам и потребителям понять проблемы безопасности IoT и принимать более взвешенные решения в области ИБ при создании экосистем интернета вещей.
Читать полностью »
Изучаем MITRE ATT&CK. Mobile Matrices: Device Access. Часть 2
2019-06-04 в 13:39, admin, рубрики: Abuse Device Administrator Access, Android Runtime, android security, att&ck, BOOT_COMPLITED, Exploit OS, iOS security, KNOX, mobile attack, Mobile Matrices, Modify OS Kernel, SafetyNet, Samsung, TEE, Trusted Execution Environment, анализ мобильных приложений, атаки на мобильные устройства, безопасность Android, безопасность ios, безопасность мобильных приложений, доступ администратора устройства, информационная безопасность, модификация ядра, уязвимости, эксплойтыЗакрепление (Persistence) и Эскалация привилегий (Privilege Escalation)
Ссылки на все части:
Часть 1. Первоначальный доступ к мобильному устройству (Initial Access)
Техники закрепления описывают способы получения прав доступа, изменения конфигурации мобильного устройства и иные действия, в результате которых злоумышленник обеспечивает постоянство своего присутствия в системе. Зачастую противник вынужден поддерживать доступ к мобильному устройству несмотря на приостановки работы ОС в результате перезагрузки или сброса системы к заводским настройкам.
Закрепившись в системе, противник получает возможность «входа» на мобильное устройства, но вероятно, с очень лимитированными правами. Однако, воспользовавшись слабостями защиты, противник может получить более высокие привилегии, необходимые для достижения цели атаки.
Читать полностью »
6 способов спрятать данные в Android-приложении
2019-01-21 в 9:43, admin, рубрики: android, безопасность мобильных приложений, информационная безопасность, люблю писать код, обфускаторы, обфускация, Разработка под androidПривет, дорогой читатель, уже достаточно давно я изучаю мобильные приложения. Большинство приложений не пытаются как-то скрыть от меня свой «секретный» функционал. А я в это время радуюсь, ведь мне не приходится изучать чей-то обфусцированный код.
В этой статье я хотел бы поделиться своим видением обфускации, а также рассказать про интересный метод сокрытия бизнес-логики в приложениях с NDK, который нашел относительно недавно. Так что если вас интересуют живые примеры обфусцированного кода в Android — прошу под кат.
Безопасность мобильного OAuth 2.0
2018-11-26 в 7:54, admin, рубрики: oauth, oauth 2.0, безопасность, безопасность мобильных приложений, Блог компании Mail.Ru Group, информационная безопасность, разработка мобильных приложений, уязвимостиВсем привет! Я Никита Ступин, специалист по информационной безопасности Почты Mail.Ru. Не так давно я провел исследование уязвимостей мобильного OAuth 2.0. Для создания безопасной схемы мобильного OAuth 2.0 мало реализовать стандарт в чистом виде и проверять redirect_uri. Необходимо учитывать специфику мобильных приложений и применять дополнительные механизмы защиты.
В этой статье я хочу поделиться с вами знаниями об атаках на мобильный OAuth 2.0, о методах защиты и безопасной реализации этого протокола. Все необходимые компоненты защиты, о которых я расскажу ниже, реализованы в последней версии SDK для мобильных клиентов Почты Mail.Ru.
Читать полностью »
Как купить иллюзию безопасности в виде детских смарт-часов
2018-08-01 в 4:47, admin, рубрики: elari, wherecom, безопасность информации, безопасность мобильных приложений, дети, информационная безопасность, смарт-часы, уязвимостьДанная история о том, как я хотел сделать жизнь моего ребёнка немного безопасней с помощью новых технологий и что из этого вышло. Хотя по заголовку я думаю, вы и так догадались, о чём пойдёт речь.
Приближалось 1 сентября и я, как отец будущего первоклассника, задался вопросом, как сделать так, чтобы первые дни моего чада в школе прошли как можно более спокойно как для него, так и для нас с женой.
Я думаю, что не найдётся человека, который не слышал о таком новом гаджете, как детские смарт-часы. Рынок просто заполонили многочисленные варианты устройств, как правило произведённых в Китае. Цены и функционал этих устройств варьируется, но лучшие из них включают в себя такой широкий набор функций, как телефон, GPS трекер, мессенджер, фотокамеру, шагомер, ну и конечно же часы. По заявлению производителей — этот гаджет создан специально для детей и включает в себя средства безопасности ребенка. Так думал и я, поэтому стал выбирать в интернете подходящий вариант. Как итог я купил часы FixiTime 3 от компании Elari.
Функционал этих часов был впечатляющим:
- GPS/LBS/Wi-Fi-трекинг
- 2 камеры, доступ к камере часов с подключенного смартфона
- поддержка входящих и исходящих голосовых вызовов, в том числе скрытых
- голосовой чат
- шагомер
- ну и Фиксики внутри, как без них же
Весь этот богатый набор возможностей часов убеждает родителей, что они получают если не полный, то достаточно существенный контроль над своим чадом. Но, с другой стороны, устройства с таким функционалом должны надежно защищать данные своих пользователей. Тем более, что такими пользователями являются дети. Страшно представить, что может произойти, если злоумышленник получит доступ к устройству ребенка и сможет следить за ним.