Безопасная передача данных между двумя приложениями

Всем привет, сегодня я хотел бы вам рассказать о некоторых вариантах передачи данных между двумя андройд приложениями и рассмотреть их с точки зрения безопасности. Я решил написать эту статью по двум причинам. Первая, я начал часто сталкиваться с непониманием разработчиков механизмов работы...

Все блоги / Про интернет

Безопасность со вкусом Google

Отгремел Google I/O 2019 и пришла пора переписывать проекты на новую архитектуру изучать новинки. Так как я интересуюсь безопасностью мобильных приложений, то в первую очередь обратил внимание на новую библиотеку в семействе JetPack — security-crypto. Библиотека помогает правильно организовывать...

Все блоги / Про интернет

[recovery mode] Двойные стандарты google на примере Play market (возможен криминал)

Прочитав пост Окей Гугл. Ты добро или зло?, решил поделиться своими наблюдениями. Привет, я хочу не пожаловаться на то, какой Гугл не хороший, забанил мой аккаунт в который раз, а привести пример двойных стандартов, который я заметил. Так как Гугл это тоталитарная компания, то множество...

Все блоги / Про интернет

Обнаружена новая глобальная уязвимость в Android

Исследовательская компания Nightwatch Cybersecurity обнаружила новую глобальную уязвимость в Android под кодовым именем CVE-2018-9489. Читать дальше →...

Все блоги / Про интернет

Злоумышленники могут получить полный удаленный доступ к Android-устройству через порт публичной USB-зарядки

С приходом в нашу жизнь USB-устройств и USB-портов одним из главных требований к безопасности стало внимательное отношение к точкам подключения, которые способны проводить передачу данных между девайсами. Собственно, по этой причине в ОС Android с самых ранних версий (с 2.0 так точно) существует...

Все блоги / Про интернет

Отключение проверок состояния среды исполнения в Android-приложении

В прошлой статье я делал обзор на OWASP Mobile TOP 10 и тогда у меня не было годного кейса для демонстрации необходимости защиты исходного кода. Интересный кейс для демонстрации появился только недавно и кому интересно посмотреть на наш опыт обхода проверок состояния среды, давайте под кат. Читать...

Все блоги / Про интернет

Проверили с помощью PVS-Studio исходные коды Android, или никто не идеален

 Разработка больших сложных проектов невозможна без использования методологий программирования и инструментальных средств, помогающих контролировать качество кода. В первую очередь, это грамотный стандарт кодирования, обзоры кода, юнит-тесты, статические и динамические анализаторы кода. Всё это...

Все блоги / Про интернет

Android accessibility — волк в овечьей шкуре? Лекция Яндекса

Месяц назад на очередной Droid Party старший разработчик Данила Фетисов подробно разобрал принцип действия службы, которая отвечает за accessibility-функции Android. Вы узнаете о том, как использовать её для улучшения доступности своих проектов, а также об опасной уязвимости под названием...

Все блоги / Про интернет

Применение методологии OWASP Mobile TOP 10 для тестирования Android приложений

Согласно BetaNews, из 30 лучших приложений с более чем 500 000 установок 94% содержат по меньшей мере три уязвимости среднего риска, а 77% содержат хотя бы две уязвимости с высоким уровнем риска. Из 30 приложений 17% были уязвимы для атак MITM, подвергая все данные перехвату злоумышленниками. Кроме...

Все блоги / Про интернет

Красные стрелы доп-реальности

Мои читатели уже знают, что ручной пеленгатор и дополненная реальность созданы друг для друга. Простой фон из видео позволяет существенно упростить работу оператора. Тем не менее, находятся люди, которые испытывают трудности при поиске источников радио-излучения амплитудным пеленгатором с простым...

Все блоги / Про интернет

Проблемы безопасности Android-приложений: классификация и анализ

Изображение: etnyk, CC BY-NC-ND 2.0 Использование смартфонов в повседневной жизни не ограничивается голосовыми звонками и СМС. Возможность загружать и выполнять программы, а также мобильный доступ в Интернет привели к появлению громадного числа мобильных приложений. Функциональность современного...

Все блоги / Про интернет

Уязвимость карты Подорожник: бесплатные поездки в наземном транспорте Санкт-Петербурга

Почти год назад на Хабрахабре появилась статья "Исследование защищенности карты Тройка", в которой было подробно описано устройство проездных билетов и векторы атаки на систему оплаты общественного транспорта в Москве. Ещё тогда, вдохновившись прочитанным, мне захотелось попробовать применить...

Все блоги / Про интернет

[Из песочницы] Фича, а не баг. Или как Rambler позволяют подменять отправителя письма

Добрый день. Меня зовут Алексей. Я занимаюсь написанием ботов и реверсом Android приложений с поиском в них уязвимостей. Мне попало в руки приложение Рамблер/почта для Android. Цель была автоматизировать отправку почты средствами API мобильного приложения. Был запущен эмулятор MEmu и Charles,...

Все блоги / Про интернет

[Из песочницы] Ещё немного про телефоны Xiaomi и борьбу с ними

Честно признаться, у меня не было планов писать и публиковать эту статью, но, после того, как за два месяца увидел в ближнем кругу коллег 5 штук свежеприобретённых телефонов от Xiaomi, и недавнюю статью на Geektimes, рекламирующую управление умным домом от Xiaomi, ко мне пришла совесть и, сцуко,...

Все блоги / Про интернет

В приложении AirDroid была найдена критическая уязвимость, которая позволяет проводить MitM-атаки

Специалисты по информационной безопасности из компании Zimperium провели анализ популярного приложения AirDroid и обнаружили, что в нем присутствует критическая уязвимость. Об этом сообщается в их официальном блоге. AirDroid — популярное приложение удаленного управления Android-устройствами через...

Все блоги / Про интернет

Исследователи создали эксплоит для получения root-доступа к Android-смартфонам с помощью уязвимости Rowhammer

Международная группа исследователей из Австрии, Нидерландов и США, информационной безопасности разработала атаку, позволяющую получить root-доступ к большому количеству Android-устройств, пишет издание Ars Tehnica. Для этого эксплуатируется техника Rowhammer, позволяющая осуществлять манипуляции с...

Все блоги / Про интернет

[Из песочницы] Грабли VK SDK для Android

Привет Хабр! Недавно понадобилось интегрировать соц. сеть в проекте для Android. Выбор пал на ВК и, соотвественно, их офиц.библиотеку VKCOM/vk-android-sdk. Использовал ее раньше и ещё тогда не был от неё в восторге из-за малого количества примеров. Сейчас смотрю в исходный код, а он всё также...

Все блоги / Про интернет

Лёгкая интеграция tor в android приложение на примере клиента для рутрекера

Мне давно было интересно, можно ли легко добавить проксирование через тор в Android приложение. Вроде бы довольно очевидная задача, плюс тор браузеры уже под эту платформу давно есть… Но есть много задач, которые сложнее, чем кажутся. Для нетерпеливых сразу скажу — да, можно, и получается довольно...

Все блоги / Про интернет