Один в поле не воин. Полезные интеграции для инструментов анализа мобильных приложений
Привет, Хабр! Как вы уже наверняка помните, меня зовут Юрий Шабалин и я занимаюсь разработкой динамического анализатора мобильных приложений Стингрей. Сегодня мне хотелось бы затронуть тему интеграций с системами распространения (дистрибуции) мобильных приложений. В статье рассмотрим, что...
Специальный выпуск Apple Pro Weekly News – Apple WWDC22
Презентация Apple WWDC22: всё про iOS 16, watchOS 9, macOS 13, iPadOS 16 и новые MacBook, а также о многом другом. Это специальный выпуск Apple Weekly News, вспомним всё что показали и расскажем, если не успели посмотреть, погнали! Перейти к новостям...
Нелегкий путь к динамическому анализу мобильных приложений
Привет, Хабр! Каждую свою статью я начинаю с упоминания о том, что наша команда разрабатывает платформу анализа защищенности мобильных приложений. Почему? Размещая свои посты, информацию, которая мне кажется полезной, различные находки и трюки, мне хочется делиться с единомышленниками, помогать...
Найти всё, что скрыто. Поиск чувствительной информации в мобильных приложениях
Привет, Хабр! Многим из вас я уже знаком по предыдущим статьям. Меня зовут Юрий Шабалин. Мы вместе с командой разрабатываем платформу анализа защищенности мобильных приложений. Сегодня я расскажу о том, на что обратить внимание при поиске и анализе чувствительной информации в приложении, как ее...
Знай свои секреты. Поиск и автоматическая проверка секретов сторонних сервисов
Привет Хабр! По традиции, представлюсь, меня зовут Юрий Шабалин, и вместе с командой Стингрей мы разрабатываем платформу анализа защищенности мобильных приложений. Сегодня я хотел бы рассказать о хранении секретов в мобильных приложениях. А именно о том, что происходит с аутентификационными данными...
Дайджест недели от Apple Pro Weekly News (25.04 – 1.05.22)
Запуск магазина для самостоятельного ремонта, новые слухи про iPhone 14, свежие бета-версии операционных систем, квартальный отчёт Apple и планы по удалению приложений не получающих обновления – это и многое другое в новом дайджесте событий из мира Apple, нам есть что рассказать! Перейти к новостям...
И снова про App Transport Security: что это и зачем
Привет, Хабр! Меня зовут Юрий Шабалин, и, как я пишу в начале каждой своей статьи, мы разрабатываем платформу анализа защищенности мобильных приложений iOS и Android. В этой статье мне бы хотелось затронуть тему безопасной конфигурации сетевого взаимодействия, а также немного расширить предыдущую...
Дайджест недели от Apple Pro Weekly News (11.04 – 17.04.22)
В этом дайджесте вы узнаете новые интересные слухи, концепты и подробности событий вокруг компании Apple. Сегодня нам есть что вам рассказать, потому приступим... Перейти к новостям...
[Перевод] Apple все еще следит за вами. Без вашего согласия
В текущей версии macOS Monterey, при каждом обновлении системы на системе, содержащей чип M1, такой же как и все новые блестящие/быстрые маки с ARM ("Apple Silicon"), процесс обновления обращается в Apple, чтобы получить специальную подпись загрузки, известную на жаргоне Apple как "билет" (он же...
Наиболее распространенные уязвимости в мобильных приложениях
Всем привет, меня зовут Юрий Шабалин, я один из основателей компании "Стингрей Технолоджиз" (входит в группу компаний Swordfish Security), мы разрабатываем платформу анализа защищенности мобильных приложений iOS и Android. Этой статьей я бы хотел открыть серию материалов, посвященных мобильной...
Критикую bug bounty программу Apple и наглядно показываю почему не стоит туда репортить баги
Небольшая история о том, как я зарепортил баги в Apple BugBounty Program Эта история началась 18 января 2022 года. У компании Apple есть платная API для разработчиков Apple Developer Program С помощью этого API можно получать информацию об артистах, альбомах, треках, видео, плейлистах, чартах,...
[Перевод] Как графический формат прошлого века привёл к zero-click exploit в iOS
Тема информационной безопасности в сфере интересов команды М.Видео и Эльдорадо, поэтому делимся с вами очередным интересным переводным тематическим материалом. В начале 2022 года Citizen Lab удалось выявить zero-click-эксплойт на основе NSO iMessage, использовавшийся для атаки на активиста из...
[Перевод] Уязвимость Safari 15 может легко раскрыть вашу личность любому веб-сайту
FingerprintJS не использует эту уязвимость в своих продуктах и не предоставляет сервисы межсайтового отслеживания. Мы боремся с мошенничеством и поддерживаем тенденцию полного устранения межсайтового отслеживания. Мы верим, что уязвимости, подобные этой, должны открыто обсуждаться, чтобы помочь...
Как Apple кинула студентов из России или очередная критика программы Apple Security Bounty
Привет, Хабр! Apple славятся заботой о своих пользователях в вопросах безопасности и удобства пользования. Они щедро вознаграждает исследователей безопасности, которые помогают исправить уязвимости в их продуктах. На международной арене у них одни из самых высоких вознаграждений. Однако все чаще их...
Полный гайд по платформе iOS
Включает в себя огромное количество информации, начиная от обзора платформы, инструментов и до различных приемов и последовательности действий для анализа приложений! В конце каждого раздела большое количество ссылок на статьи, инструменты и документацию, которые могут помочь разобраться дальше....
Как настроить Airwatch на iOS без документации и седых волос
Привет! На связи Сергей Романков, я старший разработчик в СИБУР Диджитал. По долгу службы я занимаюсь, в том числе, интеграцией Airwatch от Vmware в мобильные устройства. Если вкратце – это платформа для удалённого управления корпоративной информацией на девайсах. С ней мы удалённо устанавливаем...
Готовим iOS-устройство к пентесту
К Digital Security часто обращаются за аудитом iOS-приложений, поэтому мы решили сделать цикл статей про наш подход в этой области. И в первой из них расскажем о выборе и подготовке устройства для проведения тестирования приложений. Какие вопросы рассмотрим: Выбор устройства: эмулятор VS симулятор...
Статья, в которой я раскрываю три 0-day уязвимости в iOS и критикую bug bounty программу Apple
Все уязвимости имеют класс Information Disclosure, а именно получение чувствительной информации приложениями из App Store без запроса разрешений у пользователя, либо обход sandbox и получение такой информации, к которой у приложений в принципе не должно быть доступа. Я загрузил на GitHub код...