Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

В Google Play нашли тысячи поддельных приложений, ворующих данные

Информационная безопасностьIT-компании


Исследователи из Сиднейского университета проанализировали более миллиона приложений Google Play и обнаружили около двух тысяч поддельных. Известные игры, такие как Temple Run, Free Flow и Hill Climb Racing, оказались самыми популярными объектами для подделки.

Исследование заняло два года. Оно показало, что некоторые подделки могут быть опасны: приложения-фейки запрашивают разрешения на доступ к личным данным либо могут содержать вредоносные программы.
Читать дальше →
Всего голосов 10: ↑9 и ↓1 +8
Просмотры3.8K
Комментарии 1

Пользователи UC Browser и UC Browser Mini могли быть уязвимы к атаке посредника

Информационная безопасностьРазработка под AndroidБраузеры
image

Пользователи мобильных браузеров UC Browser и UC Browser Mini могли стать жертвами атаки «человек посередине». Браузеры уличили в том, что они загружают файлы Android Package Kit (APK) со сторонних серверов через незащищенные каналы.

Всего UC Browser и UC Browser Mini скачали более 600 млн раз.

Выяснилось, что приложения загружают дополнительные APK из сторонних источников, загрузка осуществляется через незащищенные каналы, а APK загружается во внешнее хранилище (/storage/emulated/0).
Читать дальше →
Всего голосов 11: ↑10 и ↓1 +9
Просмотры1.6K
Комментарии 2

Защищаем мобильное приложение с помощью «КриптоПро»: пошаговая инструкция

Агентство AGIMAИнформационная безопасностьРазработка мобильных приложений
Из песочницы
Статья описывает работу с одним из крупнейших российских поставщиков средств криптографической защиты информации и электронной цифровой подписи — компанией «КриптоПро», занимающей лидирующие позиции в России. Рассмотрено импортирование фреймворка для iOS и подводные камни при импортировании, его использование для создания и проверки электронных цифровых подписей, а также авторизации с использованием приватного ключа.

Читать дальше →
Всего голосов 20: ↑12 и ↓8 +4
Просмотры11.3K
Комментарии 15

Практический видеокурс Школы информационной безопасности

ЯндексИнформационная безопасностьПромышленное программирование
Tutorial
Нет смысла лишний раз напоминать, почему при разработке сервисов важно уделять внимание безопасности. Поговорим о том, как строить системы защиты, поддерживать их в актуальном состоянии и развивать с увеличением числа угроз. Довольно много практических знаний по этой теме можно получить из интернета. Теория, в свою очередь, неплохо освещается в нескольких российских вузах. Есть и множество полезной литературы. Но хорошего специалиста по безопасности отличает не просто знание инструментов и теории, а способность применять теорию в реальных ситуациях.

В апреле этого года мы впервые провели бесплатную Школу информационной безопасности. Лекции в школе подготовили и прочитали сотрудники службы ИБ Яндекса — те специалисты, которые непосредственно отвечают за защиту наших продуктов. Мы получили более 700 заявок, 35 человек успешно закончили школу, 9 из них получили офферы в Яндекс (7 — на позицию стажёра, 2 — на штатную позицию).

Сегодня мы публикуем видеокурс со всеми лекциями Школы. Вы можете почерпнуть те же знания, что и студенты — разве что интерактива поменьше и не нужно делать домашнее задание. Для просмотра стоит знать хотя бы один язык программирования (JS, Python, C++, Java), на начальном уровне разбираться в принципах построения и работы веб-приложений, понимать принципы работы операционных систем и сетевой инфраструктуры, а также основные типы атак и виды уязвимостей.


Надеемся, этот курс прокачает вас в роли специалиста по ИБ, а также поможет защитить ваши сервисы от утечек данных и атак злоумышленников.
Читать дальше →
Всего голосов 23: ↑23 и ↓0 +23
Просмотры24.8K
Комментарии 3

Безопасность мобильного OAuth 2.0

Mail.ru GroupИнформационная безопасностьРазработка мобильных приложений


Всем привет! Я Никита Ступин, специалист по информационной безопасности Почты Mail.Ru. Не так давно я провел исследование уязвимостей мобильного OAuth 2.0. Для создания безопасной схемы мобильного OAuth 2.0 мало реализовать стандарт в чистом виде и проверять redirect_uri. Необходимо учитывать специфику мобильных приложений и применять дополнительные механизмы защиты.

В этой статье я хочу поделиться с вами знаниями об атаках на мобильный OAuth 2.0, о методах защиты и безопасной реализации этого протокола. Все необходимые компоненты защиты, о которых я расскажу ниже, реализованы в последней версии SDK для мобильных клиентов Почты Mail.Ru.
Читать дальше →
Всего голосов 30: ↑30 и ↓0 +30
Просмотры18.4K
Комментарии 25

Что случилось, когда мы взломали выставку?

Информационная безопасность
Перевод
QRCODE через мобильное приложение для сканирования бейджей участников выставки проектов по информационной безопасности.
Читать дальше →
Всего голосов 59: ↑58 и ↓1 +57
Просмотры15.6K
Комментарии 9

Как купить иллюзию безопасности в виде детских смарт-часов

Информационная безопасность

Данная история о том, как я хотел сделать жизнь моего ребёнка немного безопасней с помощью новых технологий и что из этого вышло. Хотя по заголовку я думаю, вы и так догадались, о чём пойдёт речь.


Приближалось 1 сентября и я, как отец будущего первоклассника, задался вопросом, как сделать так, чтобы первые дни моего чада в школе прошли как можно более спокойно как для него, так и для нас с женой.


Я думаю, что не найдётся человека, который не слышал о таком новом гаджете, как детские смарт-часы. Рынок просто заполонили многочисленные варианты устройств, как правило произведённых в Китае. Цены и функциональность этих устройств варьируются, но лучшие из них включают в себя такой широкий набор функций, как телефон, GPS трекер, мессенджер, фотокамеру, шагомер, ну и конечно же часы. По заявлению производителей — этот гаджет создан специально для детей и включает в себя средства безопасности ребенка. Так думал и я, поэтому стал выбирать в интернете подходящий вариант. Как итог я купил часы FixiTime 3 от компании Elari.


функциональность этих часов была впечатляющая:


  • GPS/LBS/Wi-Fi-трекинг
  • 2 камеры, доступ к камере часов с подключенного смартфона
  • поддержка входящих и исходящих голосовых вызовов, в том числе скрытых
  • голосовой чат
  • шагомер
  • ну и Фиксики внутри, как без них же


Весь этот богатый набор возможностей часов убеждает родителей, что они получают если не полный, то достаточно существенный контроль над своим чадом. Но, с другой стороны, устройства с такой функциональностью должны надежно защищать данные своих пользователей. Тем более, что такими пользователями являются дети. Страшно представить, что может произойти, если злоумышленник получит доступ к устройству ребенка и сможет следить за ним.

Читать дальше →
Всего голосов 191: ↑190 и ↓1 +189
Просмотры88.2K
Комментарии 407

ADB vs Spy Cam & Mic

Информационная безопасностьРегулярные выраженияРазработка под AndroidСмартфоны
Как проверить, ведет ли какое-нибудь приложение на Android-смартфоне фото- или видеорепортаж, хотя ему это ни разу ни к чему? Нижепредлагаемый вариант совсем не идеален, но не требует «рута» или кастомной прошивки.

P.S. Я добавил в статью описание мониторинга доступа приложений к микрофону.

Что требуется установить:
  • ADB (Android Debug Bridge) (например, в составе Android SDK Platform Tools — загрузить можно здесь);
  • драйвер для телефона (при необходимости, например, Google USB Driver можно загрузить здесь).

Включаем на телефоне режим отладки через USB и подключаем смартфон к USB-порту компьютера, причем следует выбрать режим USB-подключения, отличный от «Только зарядка».
Скрытый текст
В «Диспетчере устройств» смартфон отображается, например, так:
в режиме «Фото» или «Файлы»

в режиме «USB-диск»

А вот так — в выводе команды lsusb:


Открываем командную строку в каталоге, в который установились «тулзы».
Проверяем, что подключение успешно (отображается серийный номер подключенного смартфона):
adb devices
(для Windows)

Для Linux команда бы выглядела так:
./adb devices

Если компьютер не авторизован для использования с этим смартфоном (под Android 4.2.2 и новее), то рядом с серийным номером появится предупредительное сообщение "unauthorized".
Для авторизации необходимо подтвердить на смартфоне разрешение отладки через USB.
Скрытый текст
Под Linux может появляться сообщение "no permissions" — в моем случае удалось решить проблему переключением смартфона в режим «Медиаустройство (MTP)».

Запускаем оболочку на устройстве (получаем приглашение "$"):
adb shell



Затем вводим следующие «магические» символы:
while true; do ps `while ! (dumpsys media.camera | grep -E "PID") do  done | grep -o "[^PID: ][0-9]*$"` | grep -o "[^S ]*$" ; date; sleep 1; done

Читать дальше →
Всего голосов 25: ↑25 и ↓0 +25
Просмотры16.1K
Комментарии 34

6 способов спрятать данные в Android-приложении

Информационная безопасностьРазработка под Android

Привет, дорогой читатель, уже достаточно давно я изучаю мобильные приложения. Большинство приложений не пытаются как-то скрыть от меня свой «секретный» функционал. А я в это время радуюсь, ведь мне не приходится изучать чей-то обфусцированный код.


image


В этой статье я хотел бы поделиться своим видением обфускации, а также рассказать про интересный метод сокрытия бизнес-логики в приложениях с NDK, который нашел относительно недавно. Так что если вас интересуют живые примеры обфусцированного кода в Android — прошу под кат.

Читать дальше →
Всего голосов 21: ↑21 и ↓0 +21
Просмотры18.9K
Комментарии 15

Изучаем MITRE ATT&CK. Mobile Matrices: Device Access. Часть 1

Информационная безопасность
Tutorial

Первоначальный доступ к мобильному устройству (Initial Access)


Ссылки на все части:
Часть 1. Первоначальный доступ к мобильному устройству (Initial Access)
Часть 2. Закрепление (Persistence) и Эскалация привилегий (Privilege Escalation)
Часть 3. Получение учетных данных (Credential Access)
Часть 4. Обход защиты (Defense Evasion)
Часть 5. Обзор (Discovery) и Боковое перемещение (Lateral Movement)

Я начинаю очередной цикл публикаций (см. предыдущие), посвященных изучению тактик и техник осуществления хакерских атак, включенных в базу знаний MITRE ATT&CK. В разделе будут описаны техники, применяемые злоумышленниками на каждом этапе цепочки атаки на мобильные устройства.

Под катом — основные векторы компрометации мобильных устройств, направленные на получение злоумышленником «присутствия» в атакуемой системе.
Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры4.1K
Комментарии 0

Изучаем MITRE ATT&CK. Mobile Matrices: Device Access. Часть 2

Информационная безопасность
Tutorial

Закрепление (Persistence) и Эскалация привилегий (Privilege Escalation)


Ссылки на все части:
Часть 1. Первоначальный доступ к мобильному устройству (Initial Access)
Часть 2. Закрепление (Persistence) и Эскалация привилегий (Privilege Escalation)
Часть 3. Получение учетных данных (Credential Access)
Часть 4. Обход защиты (Defense Evasion)
Часть 5. Обзор (Discovery) и Боковое перемещение (Lateral Movement)

Техники закрепления описывают способы получения прав доступа, изменения конфигурации мобильного устройства и иные действия, в результате которых злоумышленник обеспечивает постоянство своего присутствия в системе. Зачастую противник вынужден поддерживать доступ к мобильному устройству несмотря на приостановки работы ОС в результате перезагрузки или сброса системы к заводским настройкам.

Закрепившись в системе, противник получает возможность «входа» на мобильное устройства, но вероятно, с очень лимитированными правами. Однако, воспользовавшись слабостями защиты, противник может получить более высокие привилегии, необходимые для достижения цели атаки.
Читать дальше →
Всего голосов 15: ↑14 и ↓1 +13
Просмотры1.6K
Комментарии 0

Изучаем MITRE ATT&CK. Mobile Matrices: Device Access. Часть 3

Информационная безопасность
Tutorial

Получение учетных данных (Credential Access)


Ссылки на все части:
Часть 1. Первоначальный доступ к мобильному устройству (Initial Access)
Часть 2. Закрепление (Persistence) и Эскалация привилегий (Privilege Escalation)
Часть 3. Получение учетных данных (Credential Access)
Часть 4. Обход защиты (Defense Evasion)
Часть 5. Обзор (Discovery) и Боковое перемещение (Lateral Movement)

Для осуществления несанкционированного доступа к ресурсам мобильного устройства противниками применяются различные методы захвата паролей, токенов, криптографических ключей и других элементов учетных данных. Получение противником легитимных учетных данных позволяет идентифицироваться и получить все разрешения скомпрометированной учетной записи в системе или сети, что затрудняет обнаружение злонамеренной активности. При наличии соответствующего доступа противник также может создавать легитимные учетные записи для их применения в атакуемой среде.
Читать дальше →
Всего голосов 6: ↑5 и ↓1 +4
Просмотры779
Комментарии 0

Изучаем MITRE ATT&CK. Mobile Matrices: Device Access. Часть 5

Информационная безопасность
Tutorial

Обзор (Discovery) и Боковое перемещение (Lateral Movement)


Ссылки на все части:

Часть 1. Первоначальный доступ к мобильному устройству (Initial Access)
Часть 2. Закрепление (Persistence) и Эскалация привилегий (Privilege Escalation)
Часть 3. Получение учетных данных (Credential Access)
Часть 4. Обход защиты (Defense Evasion)

Получив доступ к мобильному устройству противник, вероятно, попытается использовать штатные средства операционной системы, чтобы «осмотреться», понять какое преимущество получено, способствует ли оно достижению цели вторжения. Данный этап атаки называется «Обзор» (Discovery). Техники осуществления обзора направлены на получение информации о характеристиках скомпрометированного мобильного устройства, а также других доступных сетевых систем.

Оценив имеющиеся в атакуемой среде возможности, противник попытается получить доступ к удаленным системам, и, возможно, контроль над ними, предпримет попытки запуска на удаленных системах вредоносных инструментов. Описанную активность называют Боковым перемещением (Lateral Movement). Методы бокового перемещения так же включают средства сбора информации из удаленных систем без использования дополнительных инструментов, таких как утилиты RAT (Remote Access Tools).
Читать дальше →
Всего голосов 7: ↑6 и ↓1 +5
Просмотры901
Комментарии 0

OWASP ТОП-10 уязвимостей IoT-устройств

Инфосистемы ДжетИнформационная безопасностьИнтернет вещей


К концу 2018 года количество подключенных IoT-устройств превысило 22 миллиарда. Из 7,6 миллиардов человек на Земле у 4 миллиардов есть доступ к интернету. Получается, что на каждого человека приходится по 5,5 устройств интернета вещей.

В среднем между временем подключения устройства IoT к сети и временем первой атаки проходит около 5 минут. Причем большая часть атак на «умные» устройства происходит автоматизированно.

Разумеется, такая печальная статистика не могла оставить равнодушными специалистов в области кибербезопасности. Международная некоммерческая организация OWASP (Open Web Application Security Project) озаботилась безопасностью интернета вещей еще в 2014 году, выпустив первую версию «OWASP Top 10 IoT». Обновленная версия «ТОП-10 уязвимостей устройств интернета вещей» с актуализированными угрозами вышла в 2018 году. Этот проект призван помочь производителям, разработчикам и потребителям понять проблемы безопасности IoT и принимать более взвешенные решения в области ИБ при создании экосистем интернета вещей.
Читать дальше →
Всего голосов 32: ↑31 и ↓1 +30
Просмотры8.9K
Комментарии 5

Как правильно идентифицировать Android-устройства

Информационная безопасностьРазработка мобильных приложенийРазработка под AndroidАналитика мобильных приложений
Из песочницы

Всем привет! Если вам нужно  создать уникальный и стабильный идентификатор Android-устройства для использования внутри приложения, то вы наверняка заметили тот хаос, который присутствует в документации и в ответах на stackoverflow. Давайте рассмотрим, как решить эту задачу в 2020 году. О том, где взять идентификатор, стойкий к переустановкам вашего приложения, и какие могут быть сложности в будущем — в этом кратком обзоре. Поехали!

Читать далее
Всего голосов 16: ↑15 и ↓1 +14
Просмотры9.8K
Комментарии 11

Безопасная разработка: SAST, DAST, IAST и RASP

AlexHostИнформационная безопасностьПрограммированиеРазработка мобильных приложений


По статистике 90% инцидентов безопасности возникают в результате использования злоумышленниками известных программных ошибок. Естественно, что устранение уязвимостей на этапе разработки ПО значительно снижает риски информационной безопасности.


Для этого в помощь разработчикам был создан целый ряд технологий, позволяющих выявлять недостатки безопасности на ранних этапах, избавляясь от них до релиза продукта. К таким технологиям можно отнести:


  • SAST
  • DAST
  • IAST
  • RASP

SAST и DAST


SAST (Static Application Security Testing) — тестирование «белого ящика», существует уже более десяти лет. Позволяет разработчикам находить уязвимости безопасности в исходном коде приложения на ранних этапах жизненного цикла разработки ПО. SAST также обеспечивает соответствие руководствам и стандартам кодирования без фактического выполнения базового кода.


DAST (Dynamic Application Security Testing) — тестирование «черного ящика», может обнаруживать уязвимости и слабые места в работающем приложении, обычно веб-приложениях. Это достигается за счет использования методов внедрения ошибок в приложении, таких как передача вредоносных данных в программное обеспечение, для выявления распространенных уязвимостей безопасности, например, SQL-инъекций и межсайтовых сценариев.


DAST также может пролить свет на проблемы времени выполнения, такие как:


  • проблемы аутентификации и конфигурации сервера
  • недостатки, видимые только при входе известного пользователя

Обнаружить это с помощью статистического анализа нельзя.

Читать дальше →
Всего голосов 3: ↑1 и ↓2 -1
Просмотры4.5K
Комментарии 1

Безопасность iOS-приложений: гайд для новичков

WrikeИнформационная безопасностьРазработка под iOSРазработка мобильных приложенийТестирование мобильных приложений
Tutorial

Привет! Меня зовут Гриша, я работаю application security инженером в компании Wrike и отвечаю за безопасность наших мобильных приложений. В этой статье я расскажу про основы безопасности iOS-приложений. Текст будет полезен, если вы только начинаете интересоваться безопасностью мобильных приложений под iOS и хотите разобраться, как все устроено изнутри.

Читать далее
Всего голосов 21: ↑21 и ↓0 +21
Просмотры7K
Комментарии 3

Rust — теперь и на платформе Android

Издательский дом «Питер»ПрограммированиеJavaРазработка под AndroidRust
Перевод

Корректность кода на платформе Android является наиважнейшим аспектом в контексте безопасности, стабильности и качества каждого релиза Android. По-прежнему сложнее всего вытравливаются ошибки, связанные с безопасностью памяти и попадающиеся в коде на С и C++. Google вкладывает огромные усилия и ресурсы в обнаружение, устранение багов такого рода, а также в уменьшение вреда от них, старается, чтобы багов в релизы Android проникало как можно меньше. Тем не менее, несмотря на все эти меры, ошибки, связанные с безопасностью памяти, остаются основным источником проблем со стабильностью. На их долю неизменно приходится ~70% наиболее серьезных уязвимостей Android.

Наряду с текущими и планируемыми мероприятиями по улучшению выявления багов, связанных с памятью, Google также наращивает усилия по их предотвращению. Языки, обеспечивающие безопасность памяти – наиболее эффективные и выгодные средства для решения этой задачи. Теперь в рамках проекта Android Open Source Project (AOSP) наряду с языками Java и Kotlin, отличающимися безопасностью памяти, поддерживается и язык Rust, предназначенный для разработки операционной системы как таковой.

Читать далее
Всего голосов 33: ↑26 и ↓7 +19
Просмотры11.1K
Комментарии 10