Шифруем CoreML

ML модель, как и многие другие формы интеллектуальный собственности, можно украсть и использовать для своих целей без ведома авторов. В случае с CoreML большинство моделей зашиты внутри приложения. Достаточно взять Jailbreak девайс, прочитать содержимое бандла и вытащить модель. Подобрать инпут...

Все блоги / Про интернет

Как вернуть в iPhone СберБанк, СберБизнес, Аэрофлот и прочие пропавшие из App Store приложения

В этой статье я опишу способ возврата на iPhone приложений, которые исчезли из App Store и не смогли автоматически установиться на новый смартфон на базе iOS при переезде или восстановлении из резервной копии. Я использую приложение Сбербанка, поэтому при переселении образа на новый iPhone я, как и...

Все блоги / Нетбуки и Планшеты

За гранью App Store, или Что нового открывает MDM и Supervised для B2B в iOS

Привет! Меня зовут Денис Кудинов, я iOS-Development team lead в «Лаборатории Касперского». В этой статье расскажу об Mobile Device Management, а также о supervised- и BYOD-режимах — как работает технология и что с ее помощью можно сделать такого, что недоступно обычным приложениям из App Store....

Все блоги / Про интернет

Обход средств защиты в iOS-приложениях

В прошлой статье мы рассмотрели базовые уязвимости и способы их обнаружения. Но что делать, если в приложении используются дополнительные средства защиты (например, Jailbreak Detection или SSL-pinning), которые не позволяют нам изучить его? В этой статье расскажем, как и с помощью каких...

Все блоги / Про интернет

Анализ iOS-приложений

Продолжаем цикл статей про аудит iOS-приложений. В этой статье расскажем непосредственно о самом анализе и как пользоваться инструментами из прошлой статьи. Мы хотим показать начинающим исследователям безопасности мобильных приложений, где искать баги, как они могут выглядеть и от чего можно...

Все блоги / Про интернет

Один в поле не воин. Полезные интеграции для инструментов анализа мобильных приложений

Привет, Хабр! Как вы уже наверняка помните, меня зовут Юрий Шабалин и я занимаюсь разработкой динамического анализатора мобильных приложений Стингрей. Сегодня мне хотелось бы затронуть тему интеграций с системами распространения (дистрибуции) мобильных приложений. В статье рассмотрим, что...

Все блоги / Про интернет

Специальный выпуск Apple Pro Weekly News – Apple WWDC22

Презентация Apple WWDC22: всё про iOS 16, watchOS 9, macOS 13, iPadOS 16 и новые MacBook, а также о многом другом. Это специальный выпуск Apple Weekly News, вспомним всё что показали и расскажем, если не успели посмотреть, погнали! Перейти к новостям...

Все блоги / Нетбуки и Планшеты

Нелегкий путь к динамическому анализу мобильных приложений

Привет, Хабр! Каждую свою статью я начинаю с упоминания о том, что наша команда разрабатывает платформу анализа защищенности мобильных приложений. Почему? Размещая свои посты, информацию, которая мне кажется полезной, различные находки и трюки, мне хочется делиться с единомышленниками, помогать...

Все блоги / Про интернет

Найти всё, что скрыто. Поиск чувствительной информации в мобильных приложениях

Привет, Хабр! Многим из вас я уже знаком по предыдущим статьям. Меня зовут Юрий Шабалин. Мы вместе с командой разрабатываем платформу анализа защищенности мобильных приложений. Сегодня я расскажу о том, на что обратить внимание при поиске и анализе чувствительной информации в приложении, как ее...

Все блоги / Про интернет

Знай свои секреты. Поиск и автоматическая проверка секретов сторонних сервисов

Привет Хабр! По традиции, представлюсь, меня зовут Юрий Шабалин, и вместе с командой Стингрей мы разрабатываем платформу анализа защищенности мобильных приложений. Сегодня я хотел бы рассказать о хранении секретов в мобильных приложениях. А именно о том, что происходит с аутентификационными данными...

Все блоги / Про интернет

Дайджест недели от Apple Pro Weekly News (25.04 – 1.05.22)

Запуск магазина для самостоятельного ремонта, новые слухи про iPhone 14, свежие бета-версии операционных систем, квартальный отчёт Apple и планы по удалению приложений не получающих обновления – это и многое другое в новом дайджесте событий из мира Apple, нам есть что рассказать! Перейти к новостям...

Все блоги / Нетбуки и Планшеты

И снова про App Transport Security: что это и зачем

Привет, Хабр! Меня зовут Юрий Шабалин, и, как я пишу в начале каждой своей статьи, мы разрабатываем платформу анализа защищенности мобильных приложений iOS и Android. В этой статье мне бы хотелось затронуть тему безопасной конфигурации сетевого взаимодействия, а также немного расширить предыдущую...

Все блоги / Про интернет

Дайджест недели от Apple Pro Weekly News (11.04 – 17.04.22)

В этом дайджесте вы узнаете новые интересные слухи, концепты и подробности событий вокруг компании Apple. Сегодня нам есть что вам рассказать, потому приступим... Перейти к новостям...

Все блоги / Нетбуки и Планшеты

[Перевод] Apple все еще следит за вами. Без вашего согласия

В текущей версии macOS Monterey, при каждом обновлении системы на системе, содержащей чип M1, такой же как и все новые блестящие/быстрые маки с ARM ("Apple Silicon"), процесс обновления обращается в Apple, чтобы получить специальную подпись загрузки, известную на жаргоне Apple как "билет" (он же...

Все блоги / Про интернет

Наиболее распространенные уязвимости в мобильных приложениях

Всем привет, меня зовут Юрий Шабалин, я один из основателей компании "Стингрей Технолоджиз" (входит в группу компаний Swordfish Security), мы разрабатываем платформу анализа защищенности мобильных приложений iOS и Android. Этой статьей я бы хотел открыть серию материалов, посвященных мобильной...

Все блоги / Про интернет

Критикую bug bounty программу Apple и наглядно показываю почему не стоит туда репортить баги

Небольшая история о том, как я зарепортил баги в Apple BugBounty Program Эта история началась 18 января 2022 года. У компании Apple есть платная API для разработчиков Apple Developer Program С помощью этого API можно получать информацию об артистах, альбомах, треках, видео, плейлистах, чартах,...

Все блоги / Про интернет

[Перевод] Как графический формат прошлого века привёл к zero-click exploit в iOS

Тема информационной безопасности в сфере интересов команды М.Видео и Эльдорадо, поэтому делимся с вами очередным интересным переводным тематическим материалом. В начале 2022 года Citizen Lab удалось выявить zero-click-эксплойт на основе NSO iMessage, использовавшийся для атаки на активиста из...

Все блоги / Про интернет

[Перевод] Уязвимость Safari 15 может легко раскрыть вашу личность любому веб-сайту

FingerprintJS не использует эту уязвимость в своих продуктах и не предоставляет сервисы межсайтового отслеживания. Мы боремся с мошенничеством и поддерживаем тенденцию полного устранения межсайтового отслеживания. Мы верим, что уязвимости, подобные этой, должны открыто обсуждаться, чтобы помочь...

Все блоги / Про интернет

Назад