Сам себе пентестер: как за пару дней проверить безопасность мобильного приложения
Бывают ситуации, когда разработчику нужно самостоятельно проверить приложение на уязвимости. Например, при работе над собственным проектом.
Мы подготовили инструкцию для разработчиков, как провести базовый аудит безопасности, если больше некому:
https://tprg.ru/RF5B
#тестирование #ios #android #безопасность
Бывают ситуации, когда разработчику нужно самостоятельно проверить приложение на уязвимости. Например, при работе над собственным проектом.
Мы подготовили инструкцию для разработчиков, как провести базовый аудит безопасности, если больше некому:
https://tprg.ru/RF5B
#тестирование #ios #android #безопасность
Взлом и внедрение своего кода в чужое iOS-приложение
Многие приложения для монетизации содержат платные функции. Однако с популярностью приложения растёт и риск взлома приложения, и все функции сделают бесплатными.
Какие методы взлома существуют и как от них защититься? Узнаем из доклада:
https://youtu.be/wPMoC_fWQ3A
Текстовая версия: https://tprg.ru/dT20
#ios #безопасность
Многие приложения для монетизации содержат платные функции. Однако с популярностью приложения растёт и риск взлома приложения, и все функции сделают бесплатными.
Какие методы взлома существуют и как от них защититься? Узнаем из доклада:
https://youtu.be/wPMoC_fWQ3A
Текстовая версия: https://tprg.ru/dT20
#ios #безопасность
YouTube
Мурад Татаев — Взлом и внедрение своего кода в чужое приложение
Ближайшая конференция: Mobius 2025 Spring, 9–10 апреля, Москва + онлайн. Подробности и билеты: https://jrg.su/ojGU3B
— —
. . .
. Вы узнаете, как взламываются iOS-приложения, а именно:
— какие инструменты используются;
— как производится обход проверок (например…
— —
. . .
. Вы узнаете, как взламываются iOS-приложения, а именно:
— какие инструменты используются;
— как производится обход проверок (например…
Как защитить Android-приложение от реверс-инжиниринга
Нельзя полностью защитить приложение от хакерских атак. Однако существуют инструменты, которые помогут существенно затруднить захват пользовательских данных со стороны клиента.
Подробнее об инструментах против реверс-инжиниринга:
https://proandroiddev.com/how-to-prevent-hackers-from-reverse-engineering-your-android-apps-2981661ab1c2
#android #безопасность
Нельзя полностью защитить приложение от хакерских атак. Однако существуют инструменты, которые помогут существенно затруднить захват пользовательских данных со стороны клиента.
Подробнее об инструментах против реверс-инжиниринга:
https://proandroiddev.com/how-to-prevent-hackers-from-reverse-engineering-your-android-apps-2981661ab1c2
#android #безопасность
👍4
Jailbreak checker
Что самое важное в мире технологий? Правильно, безопасность на первом месте! Сегодня мы узнаем, как с помощью простых инструментов определить Jailbreak на устройстве и проинформировать пользователя о рисках.
В этой статье продуктовый разработчик из QIWI поделится опытом работы над задачей по снижению рисков при использовании приложения на устройствах с Jailbreak.
#ios #swift #безопасность
Что самое важное в мире технологий? Правильно, безопасность на первом месте! Сегодня мы узнаем, как с помощью простых инструментов определить Jailbreak на устройстве и проинформировать пользователя о рисках.
В этой статье продуктовый разработчик из QIWI поделится опытом работы над задачей по снижению рисков при использовании приложения на устройствах с Jailbreak.
#ios #swift #безопасность
🤩1
Android-приложения под угрозой: исследователи обнаружили уязвимости, затрагивающие ≈20% Java-библиотек
17 января 2024 компания Oversecured выпустила в своем блоге детальный отчет по новому типу атаки на цепочку поставок, которая затрагивает огромное количество зависимостей в Java-репозиториях, таких как Maven Central, Jcenter, Jitpack и многих других.
Эта атака затрагивает более 18% всех Java-библиотек, которые актуальны и для Android. Совершить эту атаку безумно просто. Суть её основана на логике работы сборщиков Java/Android-проектов и разрозненности репозиториев, которые хранят эти библиотеки.
Если хотите обезопасить свои приложения, вот статья, в которой разбираются, как работает уязвимость, что с ней делать и как это может отразится на вашем Android-приложении:
https://habr.com/ru/companies/swordfish_security/articles/790544/
#android #безопасность
17 января 2024 компания Oversecured выпустила в своем блоге детальный отчет по новому типу атаки на цепочку поставок, которая затрагивает огромное количество зависимостей в Java-репозиториях, таких как Maven Central, Jcenter, Jitpack и многих других.
Эта атака затрагивает более 18% всех Java-библиотек, которые актуальны и для Android. Совершить эту атаку безумно просто. Суть её основана на логике работы сборщиков Java/Android-проектов и разрозненности репозиториев, которые хранят эти библиотеки.
Если хотите обезопасить свои приложения, вот статья, в которой разбираются, как работает уязвимость, что с ней делать и как это может отразится на вашем Android-приложении:
https://habr.com/ru/companies/swordfish_security/articles/790544/
#android #безопасность
😁13🤔6👌1😨1
Состоялся релиз опенсорсного 2FA-аутентификатора для Android — Aegis Authenticator v3.0
Aegis Authenticator v3.0 — это бесплатное и безопасное приложение с открытым исходным кодом на Android для настройки, подключения и работы двухфакторной аутентификации (2FA) в различных сервисах.
Цель проекта — создать открытый безопасный аутентификатор для онлайн-сервисов с фичами, которых нет в других приложениях для аутентификации: надёжное шифрование AES-256-GCM, резервное копирование, HOTP и TOTP.
Aegis совместим с Google Authenticator и поддерживает импорт из других приложений-аутентификаторов, включая 2FAS Authenticator, Authenticator Plus, Authy, andOTP, FreeOTP, FreeOTP+, Google Authenticator, Microsoft Authenticator, Plain text, Steam, TOTP Authenticator и WinAuth.
Исходный код проекта размещён на GitHub под лицензией GNU General Public License v3.0.
@mobi_dev #android #безопасность
Aegis Authenticator v3.0 — это бесплатное и безопасное приложение с открытым исходным кодом на Android для настройки, подключения и работы двухфакторной аутентификации (2FA) в различных сервисах.
Цель проекта — создать открытый безопасный аутентификатор для онлайн-сервисов с фичами, которых нет в других приложениях для аутентификации: надёжное шифрование AES-256-GCM, резервное копирование, HOTP и TOTP.
Aegis совместим с Google Authenticator и поддерживает импорт из других приложений-аутентификаторов, включая 2FAS Authenticator, Authenticator Plus, Authy, andOTP, FreeOTP, FreeOTP+, Google Authenticator, Microsoft Authenticator, Plain text, Steam, TOTP Authenticator и WinAuth.
Исходный код проекта размещён на GitHub под лицензией GNU General Public License v3.0.
@mobi_dev #android #безопасность
👍7🤔3🥱1
В App Store опубликовано фейковое приложение «Сбера» под названием «Сбер: Онлайн Банк»
В App Store появилось фейковое приложение, маскирующееся под решение от «Сбера» под названием «Сбер: Онлайн Банк». Разработчиком приложения указана компания Cao Tan Thang Steel company LTD.
На деле же это мошенническое ПО. А после установки приложение предлагает оформить подписку для доступа к личному кабинету «Сбера». После оплаты ничего такого не происходит, а деньги списываются.
Что интересно: ранее опубликованные «Сбером» в App Store мобильные приложения для iOS в Apple оперативно удалялись в течение суток. Это приложение держится уже несколько дней, хотя полностью выполнено в стилистике оригинального приложения, а название даже не пытается маскировать принадлежность к банку.
Что ж, спасибо Apple за безопасный App Store!
UPD: Приложение уже недоступно.
#безопасность #ios
В App Store появилось фейковое приложение, маскирующееся под решение от «Сбера» под названием «Сбер: Онлайн Банк». Разработчиком приложения указана компания Cao Tan Thang Steel company LTD.
На деле же это мошенническое ПО. А после установки приложение предлагает оформить подписку для доступа к личному кабинету «Сбера». После оплаты ничего такого не происходит, а деньги списываются.
Что интересно: ранее опубликованные «Сбером» в App Store мобильные приложения для iOS в Apple оперативно удалялись в течение суток. Это приложение держится уже несколько дней, хотя полностью выполнено в стилистике оригинального приложения, а название даже не пытается маскировать принадлежность к банку.
Что ж, спасибо Apple за безопасный App Store!
UPD: Приложение уже недоступно.
#безопасность #ios
😁25😨8😍3❤1👍1
Как можно отследить пользователя iOS и Android через пуш-уведомления
Недавно стало известно о новом виде слежки за пользователями смартфонов: через пуш-уведомления в iOS и Android. Газета Washington Post написала, что эту тактику начало использовать ФБР.
Согласно расследованию, для идентификации пользователей нужно запрость у компаний Apple и Google данные пуш-уведомлений, так называемые «пуш-токены» (push token). Эти данные можно запрашивать без предъявления ордера.
С помощью пуш-токенов можно идентифицировать конкретный смартфон, а потом запросить у компании данные о его владельце.
Подробнее о том, как работает такой метод слежки, в статье: https://habr.com/ru/companies/globalsign/articles/815425/
#безопасность
Недавно стало известно о новом виде слежки за пользователями смартфонов: через пуш-уведомления в iOS и Android. Газета Washington Post написала, что эту тактику начало использовать ФБР.
Согласно расследованию, для идентификации пользователей нужно запрость у компаний Apple и Google данные пуш-уведомлений, так называемые «пуш-токены» (push token). Эти данные можно запрашивать без предъявления ордера.
С помощью пуш-токенов можно идентифицировать конкретный смартфон, а потом запросить у компании данные о его владельце.
Подробнее о том, как работает такой метод слежки, в статье: https://habr.com/ru/companies/globalsign/articles/815425/
#безопасность
👍6
Около 3 млн iOS- и macOS-приложений могли быть атакованы через 10-летнюю «дыру»
В течение десятилетия в системе CocoaPods, которая используется для управления проектами на Swift и Objective-C, существовали уязвимости, которые позволяли хакерам вставлять вредоносный код в тысячи приложений для macOS и iOS.
Исследователи из EVA Information Security выявили три ключевые уязвимости:
1. CVE-2024-38367: Уязвимость, связанная с манипуляцией URL в механизме проверки электронной почты, позволяла хакерам перенаправлять ссылки на свои серверы.
2. CVE-2024-38368: Возможность захвата управления над «осиротевшими» кодовыми пакетами, которые продолжают использоваться в приложениях, но оставлены их разработчиками.
3. CVE-2024-38366: Уязвимость, позволяющая выполнить код на сервере CocoaPods через инъекцию команд в процессе проверки адресов электронной почты.
Подробнее о примерах уязвимости и мерах безопасности: https://tproger.ru/news/okolo-3-mln-ios--i-macos-prilozhenij-mogli-byt-atakovany-cherez-10-letnyuyu--dyru-
#безопасность #ios #apple
В течение десятилетия в системе CocoaPods, которая используется для управления проектами на Swift и Objective-C, существовали уязвимости, которые позволяли хакерам вставлять вредоносный код в тысячи приложений для macOS и iOS.
Исследователи из EVA Information Security выявили три ключевые уязвимости:
1. CVE-2024-38367: Уязвимость, связанная с манипуляцией URL в механизме проверки электронной почты, позволяла хакерам перенаправлять ссылки на свои серверы.
2. CVE-2024-38368: Возможность захвата управления над «осиротевшими» кодовыми пакетами, которые продолжают использоваться в приложениях, но оставлены их разработчиками.
3. CVE-2024-38366: Уязвимость, позволяющая выполнить код на сервере CocoaPods через инъекцию команд в процессе проверки адресов электронной почты.
Подробнее о примерах уязвимости и мерах безопасности: https://tproger.ru/news/okolo-3-mln-ios--i-macos-prilozhenij-mogli-byt-atakovany-cherez-10-letnyuyu--dyru-
#безопасность #ios #apple
❤7
Forwarded from Веб-страница
Проверка утечек личных данных от Google: «Dark Web Reports» станет бесплатным
После закрытия VPN-сервиса Google One, функция «Dark Web Reports» станет доступна всем владельцам Google-аккаунтов. Это произойдет в конце июля. Ранее функция была доступна лишь пользователям с подпиской Google One.
«Dark Web Reports» позволяет Google отслеживать дарквеб и уведомлять вас, если ваши личные данные были найдены в утечках и взломах. Вот как этим воспользоваться: https://tproger.ru/news/--proverka-utechek-lichnyh-dannyh-ot-google---dark-web-reports--stanet-besplatnym
#google #безопасность
После закрытия VPN-сервиса Google One, функция «Dark Web Reports» станет доступна всем владельцам Google-аккаунтов. Это произойдет в конце июля. Ранее функция была доступна лишь пользователям с подпиской Google One.
«Dark Web Reports» позволяет Google отслеживать дарквеб и уведомлять вас, если ваши личные данные были найдены в утечках и взломах. Вот как этим воспользоваться: https://tproger.ru/news/--proverka-utechek-lichnyh-dannyh-ot-google---dark-web-reports--stanet-besplatnym
#google #безопасность
👍6
«Как я взломал штрих-коды продавца билетов TicketMaster»
Наверняка вы встречали такие сервисы покупки билетов, где после завершения покупки он собщает, что вы не сможете распечатать билеты на мероприятие. Зато у вас будет обновляемый штрих-код.
По заявлению создателей таких сервисов, это должно снизить количество ошибок, случаев мошенничества и перепродаж билетов. Но на деле, эта функциональность часто мешает и обычным пользователям.
Автор статьи решил проверить все заявления TicketMaster и взломал штрих-коды сервиса: https://habr.com/ru/articles/828124/
#безопасность
Наверняка вы встречали такие сервисы покупки билетов, где после завершения покупки он собщает, что вы не сможете распечатать билеты на мероприятие. Зато у вас будет обновляемый штрих-код.
По заявлению создателей таких сервисов, это должно снизить количество ошибок, случаев мошенничества и перепродаж билетов. Но на деле, эта функциональность часто мешает и обычным пользователям.
Автор статьи решил проверить все заявления TicketMaster и взломал штрих-коды сервиса: https://habr.com/ru/articles/828124/
#безопасность
👍5❤1👎1🔥1