Краткий отчет о попытке эксплуатации уязвимости на пост выше

Все таки шикарные люди у нас! Спасибо большое @luigivampa92, что попробовал засплойтить и не поленился об этом написать :)

немного не получилось довести до конца и автор рассказывает почему это так и что нужно, чтобы все-таки это сделать. Ну и немного подробностей непосредственно эксплойта, на чем основан и что делает.

Круто, спасибо!

В общем, краткий отчёт по попытке прогнать эксплоит CVE-2022-38181 на девайсе с Mali GPU - ничего не заработало, что и не мудрено, достаточно заглянуть код чтобы понять почему)

К сожалению, как часто и бывает в подобного рода эксплоитах, вся эксплуатация и постэксплуатация основана на точных значениях смещений к расположению в памяти ядра определённых функций и данных, которые в этом коде высчитаны только для pixel 6 и только для определённых билдов. Плюс ко всему, расчёты сделаны только для ядра под 64 битную архитектуру, а в моём устройстве довольно старая башка на armeabi-v7a.

В целом после получения возможности писать в память дальше работает уже классический подход - переписывается состояние selinux и выключаются ограничения на некоторые изначально заблокированные системные вызовы, потом для процесса переписываются значения кредов в нули, потом тригерится создание дочернего процесса, который в свою очередь наследует "типа родительский" uid=0. И дальше им уже можно пользоваться как шеллом.

Тем не менее, выглядит всё очень интересно и круто. Я вообще ни разу не спец в написании бинарных эксплоитов, технике поиска нужных смещений и т.д. но уверен что если заморочиться с этим и приготовить эксплоит именно под мою конкретную сборку системы, то всё поидее должно отработать

Kernel Debug View

Оказывается, ядро ​​iOS и macOS умеет создавать отладочные сообщения и логировать, какие функции вызываются в ядре.

Как можно это провернуть и сопоставлять trace с фактически вызываемыми функциями, показано в отличном видео!

А на самом деле, если зайти в этот плейлист, то можно найти там шикарные короткие видео-заметки по реверсу iOS-приложений.

Более того, если посмотреть на канал автора целиком, то там есть ооочень много крутого контента!

Как минимум:
- воркшоп по анализу iOS-приложений в трех частях
- запись 41 выступления
- лаба по реверсу

И много других полезных штук, так что хороших и плодотворных выходных!

#iOS #reverse #frida #youtube

Подборки утилит по анализу приложений

Есть такие ребята под названием Enciphers, которые занимаются пентестами, но еще и публикуют новости, статьи, инфографику и прочие занятные вещи по безопасности. Там не только мобилки, но и облака, веб и много чего еще.

И у них есть отдельный раздел по безопасности мобильных приложений, вот парочка подборок из их списка:
- Awesome Android Application Security
- Awesome iOS Application Security
- An analysis of the modern mobile applications for data security

Я бы, конечно, не сказал, что они прям awesome, но почитать-посмотреть можно, может что-то новое для себя увидите!

Хорошей субботы всем :)

#ios #android #awesome

Викторина по безопасности

Всем хороших выходных, нашел недавно занятное приложение;
- iOS
- Android

представляющее из себя сборник квизов (вопрос с вариантами ответа) с категориями из самых разных областей безопасности. Про мобилки там тоже есть :)

Конечно, далеко не новая идея, но в целом оно достаточно приятное и может скрасить несколько десятков минут в дороге или сами знаете где 😄

Enjoy!

#quiz #app

Советы при анализе Android-приложений

Не могу не обратить ваше внимание и не поделиться шикарной и отличной рубрикой Полезных советов от соседнего канала Android Guards!

Таких вот hint and tips очень не хватает, так как большинство мануалов по анализу приложений ограничивается стандартными самыми вещами.

Ниже я перешлю два первых совета, изучайте и экспериментируйте!

Всем хорошей недели и отдельное спасибо @OxFi5t за отличный контент!

#hints #tips #android

Запускаю новую рубрику - Android Hacker Tips. Она будет выходить раз в неделю и содержать полезные советы, которые, теоретически, должны помогать в работе исследователям мобильных приложений. Эти советы будут выходить каждый понедельник под хештегом #aht. Чтобы не делать это сообщение бесполезным, прикрепляю к нему самый первый совет.
——————————————
При изучении сложных конструкций в декомпилированном коде или даже оригинальном исходном коде, полезно в динамике понимать как работает тот или иной алгоритм или его часть. Чтобы не переписывать это на какой-нибудь python или не создавать новый проект в Android Studio/Intellij IDEA - можно воспользоваться scratch-файлами. Кроме того, что они упрощают написание PoC-ов, они также являются кросс-проектными, а значит можно написать несколько базовых скретчей и они сразу будут доступны во всех новых исследуемых приложених. При условии, что вы используете Android Studio/Intellij IDEA конечно.

Нужно всегда обращать внимание на блок <query> в манифесте приложении. Там можно найти имена пакетов, с которыми исследуемое приложение как-то взаимодействует. Это взаимодействие может быть очень тесным и доверительным. А отсутствие проверки подписи при таком взаимодействии может дать поистине безграничные возможности. При исследовании этих взаимодействий также помогает поиск по ключевым словам queryIntentActivities, getPackageInfo, resolveActivity и getInstalledPackages.
#aht

Objective-C Class Dump через Python

Если в процессе анализа приложений вы любите использовать различные Python-скрипты и разрабатываете собственные утилиты для упрощения рутинной работы, есть достаточно интересная утилита под названием iCDump. Она достаточная свежая, первый коммит датирован 4 января, так что возможно какое-то время еще будет развиваться 😄

С её помощью возможно получить метаданные Objective-C структур:
import icdump
metadata = icdump.objc.parse("./RNCryptor.bin")

print(metadata.to_decl())

И получить примерно такой вывод:
@interface RNCryptor.RNCryptor.Encryptor{
NSObject * encryptor;
}
@end
@interface RNCryptor.RNCryptor.Decryptor{
NSObject * decryptors;
NSObject * buffer;
NSObject * decryptor;
NSObject * password;
}
@end
...

На данный момент поддержка только для MacOS и Linux.
Так же пока доступна только работа с ObjC, но автор надеется в ближайшее время добавить и Swift.

Используйте, делитесь впечатлениями и отзывами =)

#ios #classdump #objc

Атаки на клиентов с использованием WebView

Вообще статья называется "A View Into Web(View) Attacks in Android" и открывая ее, я ожидал увидеть информацию об атаках на WebView в приложениях и прочие интересные штуки, но оказалось это немного про другое.

В статье расписано, как некоторые зловреды использовали WebView, чтобы обмануть пользователя и украсть данные от банковских аккаунтов.

Все достаточно просто, пользователь загружает зловредное приложение и при его открытии внутри WebView загружается легитимный банковский сайт, но со зловредным JS-кодом, который отправляет данные пользователя на сервер злоумышленника. Подход очень простой и имеет ряд существенных преимуществ, не нужно самому имитировать интерфейс приложения, не нужны дополнительные разрешения у системы спрашивать.

Вообще, достаточно интересное чтиво, с примерами реальных зловредов и разбора их кода. Самое то почитать в пятницу 😄

#android #WebView #fishing

Обход детекта Frida на Android

Всем привет!
Для любителей видео-демонстраций, уроков и лекций, нашел видео-гайд по одному из способов обхода детекта Frida на Android.

Видео основано на анализе приложения R2Pay, которое как раз содержит детект на наличие root и frida-server на устройстве. При этом реализовано это все в нативе, так что полезно будет и тем, кто хотел посмотреть, как хукать нативные вызовы в .so файлах в Android.

Для тех, кто хочет почитать, есть подробный разбор аналогичного таска в текстовом представлении.

Изучаем, радуемся и проходим CTF =)

#CTF #Frida #Antifrida

Samsung под прицелом

Последнее время почему-то достаточно много вещей находят именно в Самсунгах или их предустановленных приложениях.

Как пример, недавняя новость о том, что на всех устройствах Samsung можно получить системный shell. Эксплойт доступен даже с исходниками и пошаговым описанием, что необходимо сделать.

И вторая статья про две CVE в магазине приложений Galaxy App Store, которые позволяют устанавливать приложения без ведома пользователя и выполнить произвольный JS-код (а по факту открыть почти любую страницу).

Первая уязвимость заключается в некорректной обработке Intent, отправить который может любое приложение и "попросить" Galaxy App Store установить и открыть любое приложение, которое в нем есть.

Вторая бага это классическая уязвимость обхода проверки URL, который приходит в WebView из deeplink, а именно проверка его при помощи метода contains(). Почему-то именно его я очень часто встречаю при анализе приложений (особенно в последнее время).

Владельцы Самсунгов, будьте бдительны и обновляйте свои приложения как можно быстрее (немного позже будет еще более понятно почему). 😄

#samsung #cve #vulnerability

Обновление нашего продукта Стигнрей!

Ох, мы наконец-то это сделали и выпустили долгожданный и многострадальный релиз 🥳

На этот раз он получился не менее насыщенный, чем прошлые наши обновления и привнес в себя очень много интересных и полезных вещей.

Если кратко, то мы снова почти полностью переписали одну из частей нашего продукта и наш UI теперь работает безумно быстро, он стал более продуманным и красивым (а еще там появилась темная тема)! 😎

Еще мы научились запускать Appium-скрипты для автоматизации тестирования и это дает намного большую гибкость по работе с приложением во время автоматизированного анализа и возможность переиспользовать наработки QA в тестировании. И наконец, у нас появились полноценные автотесты для iOS-приложений, с записью видео с экрана устройства и полным повторением действий пользователя во время сканирования!

Что касается нашего любимого IAST-анализа, то в Android мы существенно его доработали, улучшили и сделали задел на будущие активные проверки. Результатом этого стало выявление еще большего количества интересных и сложных уязвимостей. А также, мы портировали этот механизм на iOS и планируем в дальнейшем его максимально развивать.

На самом деле, изменений больших и маленьких огромное количество, всего не перечислишь, и за это я хотел сказать огромное спасибо всей команде, которая вкладывается в каждую новую фичу, в каждую строчку кода всей душой! Спасибо парни, вы лучшие! 🥇

Ну и если кому интересно чуть более детально посмотреть, что мы сделали, то небольшое видео с обновлениями доступно на YouTube, а более-менее полный список обновлений на сайте.

Ура!

#stingray #ios #android #release

Дамп и расшифровка трафика без использования Proxy

Все мы так или иначе сталкивались с необходимостью посмотреть трафик приложения и поисследовать его. Но всегда мешают всякие нехорошие безопасники, которые заставляют делать разработчиков SSL Pinning в приложении. И наиболее частый вопрос - как открутить пиннинг в приложении.

Как правило, это использование frida или аналогов, чтобы подмениить и отключить проверку сертификата в приложении. Но сделать это удается далеко не всегда и не со всеми приложениями.

Есть альтернативный вариант данному методу - это логировать SSL-ключи, которые используются для шифрования внутри канала связи, снимать дамп трафика и потом его расшифровывать этими ключами.

Спасибо огромное @vadim_a_yegorov за универсальный скрипт для Android и iOS (12/13/14/15), который помогает снимать и сохранять ключи!

Вот тут можно найти полный Frida-код этого прекрасного скрипта.

Спасибо, это очень круто!

#sslpinning #ssl #keys #dump

Коллеги разработчики, нужна ваша помощь!

Всем снова привет, друзья, я решил обратиться за помощью в комьюнити.

Мне стало интересно, на какие уязвимости проверяют загружаемые приложения магазины вроде Google Play, Huawei AppGallery и Samsung Galaxy Store?

И проверяют ли вообще?

Аккаунт разработчика мне пока что нигде не подтвердили, так что прошу помощи у тех, кто загружал приложения в эти и другие магазины, приходили ли вам уведомления, что ваше приложение уязвимо?

Пока что из интересного я нашел, что Google, оказывается, пытается проверить много чего (но, как показывает практика, без особого успеха). И может заблокировать приложение, если оно не удовлетворяет их политикам.

А вот для того, чтобы приложение из Huawei AppGallery было доступно в КНР, нужно прикрепить отчет о проверке безопасности их специального ведомства.

В общем ребят, если вы когда-то с таким сталкивались или видели где-то чеклисты, на что проверяют приложения, поделитесь, пожалуйста, это очень интересно.

Я после составлю сравнение разных магазинов, если соберу достаточно информации.

Спасибо!

Полностью поддерживаю этот совет) именно так мы нашли около 10 серверных ключей от FCM на выборке из 700 приложений)

Ну я писал об этом в прошлом году, тоже может быть полезно)

После декомпиляции приложения нужно поискать секреты в коде. Для этого можно использовать trufflehog или любую другую подобную утилиту. Пример запуска trufflehog: trufflehog filesystem --directory=`pwd` --only-verified
Но иногда, отсутствие флага only-verified дает интересные результаты. Поэтому обязательно попробуйте. А как быть с найденными секретами дальше, подскажет keyhacks
#aht

Анализ защищенного мессенджера Threema

Всем любителям криптографии и атакам на различные шифры и протоколы должно быть крайне интересно почитать про исследование защищенного мессенджера Threema.

Исследователи провели очень крутую работу и изложили все как в достаточно простом виде на сайте, так и оформили практически в научную статью (с формулами, описанием использованных алгоритмов и т.д., очень рекомендую, если есть время).

Из интересного - это рассмотрение различных моделей злоумышленника с различным уровнем доступа, чего обычно не встретишь в подобных статьях. Грамотное и правильное описание, какие атаки доступны в каких случаях и при каком доступе/информации у злоумышленника, респект 😄

Все подробности вы прочитаете в статье, но 3 вывода я оставлю тут, как правильное напоминание потомкам:

1. Использование современных безопасных библиотек для криптографических примитивов само по себе не приводит к безопасному дизайну протокола
2. Будьте внимательны к "межпротокольным" взаимодействиям
3. Проактивная, а не реактивная безопасность

Всем хороших выходных!

#friday #crypto #messenger

Как анализировать системные приложения на стоковых образах Android

Весьма полезная статья для тех исследователей, что любят покопаться в системных приложениях.

Автор подробно рассказывает о шагах, которые необходимо предпринять, чтобы без каких-либо проблем и ограничений инструментировать системные приложения при помощи Frida.

Это по большей части относится к различным приложениям без пользовательского интерфейса, которые запускаются на уровне системы при загрузке. То есть, включение Frida-gadget в целевое приложение, которое подгрузит его при запуске системы и старте системных компонентов.

Весьма интересный подход, который может существенно упростить анализ подобных приложений (а еще и подсказать способ аналогичного патчинга приложений и использование их с фридой на нерутованных девайсах).

#frida #android #systemapps

Анализ Android Malware - тип Stalkerware.

Интересный тип зловреда, который я до этого не слышал - Stalkerware. По большому счету это классический стилер, который тырит максимальное количество информации с устройства.

В статье описан анализ приложения, нацеленного на Итальянских пользователей (ну либо его разработчики из Италии) и умеет несколько классических вещей (кража фото/видео, сообщений, записи звонков и экрана, смс, локации и прочего). Запрашивает огромное количество разрешений и становится администратором устройства. Не самое незаметное поведение, согласитесь 😄

Из интересного - каждый раз при загрузке с сайта, в приложении генерируется уникальный и случайный package_name и подпись. Этим они стараются избежать детекта различными антивирусными движками.

Не самое увлекательное чтиво, конечно, но иногда бывает интересно посмотреть, чем на жизнь зарабатывают люди, ведь стоимость - 22 евро в месяц для подобного софта.

#spy #stalkerware #android

SSL Unpinning или снова о том же самом

Совсем недавно обсуждали способ дампа ssl-ключей и дальнейшей расшифровке записанного дампа трафика, как альтернатива проксированию запросов с подменой сертификата.

Но иногда такой способ не работает или не сильно удобен, тогда можно воспользоваться классическим способом и попробовать все-таки снять пиннинг. Одним из таких способов является, конечно же Frida и стоит отметить вот этот скрипт, который позволяет обходить очень многие проверки и байпасить много различных фреймворков и реализаций.

Рекомендую его сохранить, так как периодически gist на гитхабе могут и пропадать 🤓

#frida #sslpinning #unpinning