[Перевод] Основы безопасности: Keychain и Хеширование
Один из наиболее важных аспектов разработки программного обеспечения, который также считается одним из самых загадочных и страшных (поэтому избегается, как чума) — это безопасность приложений. Пользователи ожидают, что их приложения будут корректно работать, хранить их личную информацию и защищать...
Основные практики обеспечения безопасности iOS-приложений
При разработке любого мобильного приложения, обрабатывающего пользовательские данные, важно уделить внимание безопасности. Особенно остро этот вопрос стоит для приложений, где фигурируют ФИО, номера телефонов, паспортов и другая личная информация. Наша компания разрабатывала и продолжает развивать...
Обзор мобильных антифрод-систем
Согласно исследованию AppLift «Fighting Mobile Fraud in the Programmatic era», доля фейкового мобильного трафика составляет около 34% от общего объема трафика, если выражать в деньгах — это более $4,5 млрд потерь. Рекламодатели ищут способы оценить качество трафика по KPI, пытаются фильтровать IP и...
ТОП-5 докладов с конференции по мобильной разработке Mobius 2015
В прошлом году в Питере мы провели Mobius 2015 – конференцию для опытных разработчиков под мобильные платформы. Конференция собрала порядка 300 разработчиков, из которых более 200 пишут под Android, более 150 – под iOS, и порядка сотни – под остальные платформы (как вам такая арифметика?). Ключевой...
Android и iOS приложения пересылают данные пользователей третьей стороне намного чаще, чем принято считать
Проведя анализ 110 приложений (как Android, так и iOS), команда экспертов сделала вывод, что передача персональных данных пользователей этих приложений третьим лицам происходит достаточно часто. При этом у пользователя, зачастую, просто нет выбора. Как оказалось, подавляющее большинство проверенных...
Установка неподписанных программ на устройства с iOS 9 без Jailbreak
Дорого дня, уважаемые хабражители! Сегодня я расскажу вам о том, как можно установить неподписанное (или плохо подписанное) приложение на устройство с iOS 9. Да, без Jailbreak. Да, бесплатно. Нужен лишь компьютер с OS X и Apple ID. Как такое возможно? Читаем под катом. Осторожно! Много картинок!...
Как обойти экран блокировки в iOS не зная пароль
С удивлением обнаружил, что Хабр обошла новость о том, что любой желающий может обойти экран блокировки iPhone и получить доступ к приватным данным, например, фотографиям и телефонной книге. При условии, что на смартфоне включена Siri. Для тех, кто не хочет смотреть видео или у кого не получилось...
220 000 учетных записей iCloud скомпрометированы с помощью бэкдора для прошедших джейлбрейк iOS-устройств
Китайское издание WooYun сообщило о компрометации 220 000 учетных записей iCloud. При этом злоумышленникам не пришлось обходить механизмы защиты iOS — доступ к учетным записям iCloud осуществлялся с помощью зловредного твика для устройств, прошедших процедуру джейлбрейка. Читать дальше →...
XARA-уязвимости в OS X и iOS
Сегодня в свет вышел отчет группы специалистов по информационной безопасности, посвященный исследованию атак, основанных на способах коммуникации между собой различных приложений на OS X и iOS. Для тех, кому лень читать все 26 страниц оригинальной статьи, я решил подготовить ее небольшой обзор. Для...
Ошибка в коде AFNetworking позволяет перехватывать HTTPS трафик пользователей
В одном из самых популярных фреймворков для работы с сетью в iOS и OS X системах была найдена критическая уявимость. Под прицелом специалистов из Minded Security оказался AFNetworking, а именно версия 2.5.1. Читать дальше →...
Червивые яблочки [БЕЗ JailBreak]
Историями про вредоносное ПО для ОС Android никого уже сегодня не удивить, разве только про rootkit-технологии или про новые концепты, заточенные под новое runtime-окружение ART. C вредоносным ПО для iOS противоположная ситуация: о нем если кто и слышал, то, как правило, только в контексте...
Нужна ли книга по защите мобильных приложений?
Привет, хабронаселение! Совсем недавно издательство Wiley выпустило новую книгу The Mobile Application Hacker's Handbook. Слоган книги — взгляни на мобильное приложение глазами хакера, только так можно найти уязвимости. Курс доллара не радует и дорогие переводные книги будут становиться все...
Конференция Mobius 2015 по iOS/Android разработке: анонс докладов
Всем привет! В последние две недели я что-то слегка забегался и перестал следить за докладами, опубликованными на сайте Mobius 2015. Сегодня зашел и офигел: пока я мотался по командировкам, наш программный директор Андрей real_ales Дмитриев замутили нереально крутую программу! Лично мне кажется,...
[Из песочницы] Проверка уязвимости Masque в iOS
Недавно опубликована статья, относящаяся к т. н. «Masque» уязвимости в iOS. Выдержка из статьи: «Уязвимость позволяет установить вредоносное приложение поверх уже существующего, причем это новое приложение получит доступ ко всем файлам предыдущего. Это при условии того, что устанавливаемое...
[recovery mode] Apple не следит, а помогает пользователям, с помощью скрытых сервисов на мобильных устройствах
Недавно Джонатан Здзиарски (Jonathan Zdziarski), на конференции Hackers On Planet Earth в Нью-Йорке, опубликовал доклад, в котором рассказал о нескольких скрытых, не документированных фоновых процессах, запущенных на всех iOS-устройствах. Эксперт предположил, что эти функции нужны Apple для того,...
Приложение «Yo», попавшее в топ-10 приложений App Store в США, взломано студентами колледжа
Только вчера на Хабре публиковалась новость о простеньком приложении «Yo», которое внезапно стало популярным. Это приложение попало в топ-10 приложений App Store в США, плюс получило 1 млн долларов США инвестиций. Приложение отметил даже Элон Маск, назвавший его лучшим мессенджером (это сообщение...
[recovery mode] Вышла iOS 7.1.1
Размер 15,8 Мб. — Улучшено распознавание отпечатков пальцев Touch ID; — Исправлена ошибка, которая могла влиять на чуткость клавиатуры; — Исправлена ошибка, возникавшая во время использования клавиатур Bluetooth при включенном VoiceOver. Также исправлен ряд ошибок безопасности, касающихся: —...
Далее