Новые критические уязвимости в Android: В чем проблема, и как защититься
Исследователи информационной безопасности обнаружили ряд серьезных уязвимостей в одном из компонентов ядра мобильной ОС Android под названием Stagefright (библиотека для работы с файлами мультимедиа, например PDF). Первым о проблемах в компоненте Stagefright заявил исследователь из компании...
Главные уязвимости онлайн-банков: авторизация, аутентификация и Android
Уязвимости высокого уровня риска в исходном коде, а также серьезные недостатки механизмов аутентификации и авторизации во многих системах дистанционного банковского обслуживания позволяют проводить несанкционированные транзакции или даже получить полный контроль над системой со стороны внешнего...
[Из песочницы] Обход CloudFlare ScrapeShield в Java (Android)
В некоторый момент времени мне пришлось решить проблему, описанную в заголовке. Долго размышлял, писать ли очевидное, в итоге решил, что кому-то это может пригодиться. Причина достаточно тривиальна — являясь автором Android-клиента к весьма нишевому сайту, я в то же время не вхожу ни в число его...
[Из песочницы] Знакомство с Santoku Linux
Уже больше года как увлекся тематикой информационной безопасности мобильных устройств. В частности, особый акцент делал на Андроид. Активно изучая эту ОСь, а также программируя на ней. Данная ОС является самой распространенной среди мобильных устройств. Соответственно и зловредов, которые будут...
Шифрование в NQ Vault оказалось обычным XOR-ом, и это не самое плохое
NQ Vault — довольно популярное (30 млн. пользователей) Android приложение (есть версия и для iOS), позволяющее зашифровать выбранные SMS, фотографии и видео на устройстве. Просмотреть зашифрованный контент можно через приложение, введя пароль. Приложение получило хорошие отзывы и обзоры в ведущих...
Как я боролся с adware в Google Play и проиграл
За последние сутки сотни новостных сайтов (клац и тыц) перепечатывают одну интересную новость, рассказывающую про обнаружение очередных зловредных приложений в Google Play. На этот раз adware показывало назойливую рекламу каждый раз при разблокировке устройства и было установлено на миллиарды...
Как взломать двухфакторную аутентификацию Яндекса
Наконец-то Яндекс запилил двухфакторную аутентификацию. Я не ждал подвоха, но, похоже, зря. Как работает двухфакторная аутентификация Яндекса? В браузере отображается QR-код, юзер сканирует его специальным приложением, браузер сразу это чувствует и авторизует пользователя. QR-код расшифровывается в...
Простое решение для использования ЭЦП — развитие
В своей предыдущей статье «Простое решение для использования ЭЦП» я описал идею для реализации приложения для использования ЭЦП. С того времени довольно многое изменилось. Самое главное — мы решили перейти к модели без использования промежуточных прокси-серверов и более активно использовать...
Простое решение для использования ЭЦП
Несколько лет назад мы начали проект «Открытые голосования», призванный создать систему для удобного проведения надежных и проверяемых голосований. К сожалению, дело ограничилось только теоретическими разработками, а в плане конкретных реализаций мы так и не продвинулись вперед. Не так давно я...
[Из песочницы] Модификация исходного кода android-приложения с использованием apk-файла
Так уж получилось, что приложение для чтения комиксов и манги, которое я использую на своем android-смартфоне, после обновления стало показывать рекламу в конце каждой главы комикса. Данное приложение пару лет назад было доступно на Google Play (платная версия которого и была мной куплена), но было...
Как сохранить в тайне записную книжку с паролями?
Современная жизнь нас вынуждает запоминать конфиденциальную информацию: логины, пароли, пин-коды. Далеко не все могут положиться на собственную память. Поэтому мы вынуждены выбирать либо несложные, хорошо запоминающиеся варианты паролей, либо записывать предложенный очередным интернет-ресурсом...
[Из песочницы] Перехват вызовов функций нативных библиотек в Android приложениях
Для чего это нужно Я часто сталкивался с необходимостью отлаживать Android приложения, использующие нативный код. Иногда мне было нужно перехватить вызовы к bionic (libc), иногда к .so-шкам, к которым исходного кода у меня не было. Иногда приходилось включать в свои приложения чужие .so, к которым...
Далее