Project Mainline в Android 10
Вчера вышло очередное обновление ОС для мобильных устройств от Google. Одним из главных нововведений Android 10 стал «Project Mainline». Попробую разобраться что это, для чего и как работает. Читать дальше →...
Безопасная передача данных между двумя приложениями
Всем привет, сегодня я хотел бы вам рассказать о некоторых вариантах передачи данных между двумя андройд приложениями и рассмотреть их с точки зрения безопасности. Я решил написать эту статью по двум причинам. Первая, я начал часто сталкиваться с непониманием разработчиков механизмов работы...
Безопасность со вкусом Google
Отгремел Google I/O 2019 и пришла пора переписывать проекты на новую архитектуру изучать новинки. Так как я интересуюсь безопасностью мобильных приложений, то в первую очередь обратил внимание на новую библиотеку в семействе JetPack — security-crypto. Библиотека помогает правильно организовывать...
[recovery mode] Двойные стандарты google на примере Play market (возможен криминал)
Прочитав пост Окей Гугл. Ты добро или зло?, решил поделиться своими наблюдениями. Привет, я хочу не пожаловаться на то, какой Гугл не хороший, забанил мой аккаунт в который раз, а привести пример двойных стандартов, который я заметил. Так как Гугл это тоталитарная компания, то множество...
Обнаружена новая глобальная уязвимость в Android
Исследовательская компания Nightwatch Cybersecurity обнаружила новую глобальную уязвимость в Android под кодовым именем CVE-2018-9489. Читать дальше →...
Злоумышленники могут получить полный удаленный доступ к Android-устройству через порт публичной USB-зарядки
С приходом в нашу жизнь USB-устройств и USB-портов одним из главных требований к безопасности стало внимательное отношение к точкам подключения, которые способны проводить передачу данных между девайсами. Собственно, по этой причине в ОС Android с самых ранних версий (с 2.0 так точно) существует...
Отключение проверок состояния среды исполнения в Android-приложении
В прошлой статье я делал обзор на OWASP Mobile TOP 10 и тогда у меня не было годного кейса для демонстрации необходимости защиты исходного кода. Интересный кейс для демонстрации появился только недавно и кому интересно посмотреть на наш опыт обхода проверок состояния среды, давайте под кат. Читать...
Проверили с помощью PVS-Studio исходные коды Android, или никто не идеален
Разработка больших сложных проектов невозможна без использования методологий программирования и инструментальных средств, помогающих контролировать качество кода. В первую очередь, это грамотный стандарт кодирования, обзоры кода, юнит-тесты, статические и динамические анализаторы кода. Всё это...
Android accessibility — волк в овечьей шкуре? Лекция Яндекса
Месяц назад на очередной Droid Party старший разработчик Данила Фетисов подробно разобрал принцип действия службы, которая отвечает за accessibility-функции Android. Вы узнаете о том, как использовать её для улучшения доступности своих проектов, а также об опасной уязвимости под названием...
Применение методологии OWASP Mobile TOP 10 для тестирования Android приложений
Согласно BetaNews, из 30 лучших приложений с более чем 500 000 установок 94% содержат по меньшей мере три уязвимости среднего риска, а 77% содержат хотя бы две уязвимости с высоким уровнем риска. Из 30 приложений 17% были уязвимы для атак MITM, подвергая все данные перехвату злоумышленниками. Кроме...
Красные стрелы доп-реальности
Мои читатели уже знают, что ручной пеленгатор и дополненная реальность созданы друг для друга. Простой фон из видео позволяет существенно упростить работу оператора. Тем не менее, находятся люди, которые испытывают трудности при поиске источников радио-излучения амплитудным пеленгатором с простым...
Проблемы безопасности Android-приложений: классификация и анализ
Изображение: etnyk, CC BY-NC-ND 2.0 Использование смартфонов в повседневной жизни не ограничивается голосовыми звонками и СМС. Возможность загружать и выполнять программы, а также мобильный доступ в Интернет привели к появлению громадного числа мобильных приложений. Функциональность современного...
Уязвимость карты Подорожник: бесплатные поездки в наземном транспорте Санкт-Петербурга
Почти год назад на Хабрахабре появилась статья "Исследование защищенности карты Тройка", в которой было подробно описано устройство проездных билетов и векторы атаки на систему оплаты общественного транспорта в Москве. Ещё тогда, вдохновившись прочитанным, мне захотелось попробовать применить...
[Из песочницы] Фича, а не баг. Или как Rambler позволяют подменять отправителя письма
Добрый день. Меня зовут Алексей. Я занимаюсь написанием ботов и реверсом Android приложений с поиском в них уязвимостей. Мне попало в руки приложение Рамблер/почта для Android. Цель была автоматизировать отправку почты средствами API мобильного приложения. Был запущен эмулятор MEmu и Charles,...
[Из песочницы] Ещё немного про телефоны Xiaomi и борьбу с ними
Честно признаться, у меня не было планов писать и публиковать эту статью, но, после того, как за два месяца увидел в ближнем кругу коллег 5 штук свежеприобретённых телефонов от Xiaomi, и недавнюю статью на Geektimes, рекламирующую управление умным домом от Xiaomi, ко мне пришла совесть и, сцуко,...
В приложении AirDroid была найдена критическая уязвимость, которая позволяет проводить MitM-атаки
Специалисты по информационной безопасности из компании Zimperium провели анализ популярного приложения AirDroid и обнаружили, что в нем присутствует критическая уязвимость. Об этом сообщается в их официальном блоге. AirDroid — популярное приложение удаленного управления Android-устройствами через...
Исследователи создали эксплоит для получения root-доступа к Android-смартфонам с помощью уязвимости Rowhammer
Международная группа исследователей из Австрии, Нидерландов и США, информационной безопасности разработала атаку, позволяющую получить root-доступ к большому количеству Android-устройств, пишет издание Ars Tehnica. Для этого эксплуатируется техника Rowhammer, позволяющая осуществлять манипуляции с...
[Из песочницы] Грабли VK SDK для Android
Привет Хабр! Недавно понадобилось интегрировать соц. сеть в проекте для Android. Выбор пал на ВК и, соотвественно, их офиц.библиотеку VKCOM/vk-android-sdk. Использовал ее раньше и ещё тогда не был от неё в восторге из-за малого количества примеров. Сейчас смотрю в исходный код, а он всё также...