Тема, к которой нужно периодически возвращаться. Список наиболее часто встречающихся уязвимостей iOS приложений, причем конкретики больше, чем в OWASP.
https://github.com/felixgr/secure-ios-app-dev/blob/master/README.md
#security
https://github.com/felixgr/secure-ios-app-dev/blob/master/README.md
#security
GitHub
secure-ios-app-dev/README.md at master · felixgr/secure-ios-app-dev
Collection of the most common vulnerabilities found in iOS applications - felixgr/secure-ios-app-dev
Анастасия Войтова, Mobile Tech Lead в Cossack Labs, рассказала, почему нужно постоянно думать о защите информации, какие угрозы и инструменты защиты от них есть на рынке. На закуску разобрали кучу вопросов от наших слушателей, начиная от того, как защищаются банковские приложения, и закачивая сервисами обфускации.
https://soundcloud.com/podlodka/podlodka-21-bezopasnost-mobilnykh-prilozheniy
#podlodka #security
https://soundcloud.com/podlodka/podlodka-21-bezopasnost-mobilnykh-prilozheniy
#podlodka #security
SoundCloud
Podlodka #21 – Безопасность мобильных приложений
Анастасия Войтова, Mobile Tech Lead в Cossack Labs, рассказала нам, почему нужно постоянно думать о защите информации, какие угрозы и инструменты защиты от них есть на рынке. На закуску разобрали кучу
Вы знали, что если пользователь даст вашему приложению доступ к фотографиям, то можно будет вытащить всю историю его перемещений за долгое время? Felix Krause написал маленькую либу, которая позволяет просто вытащить геолокацию из всех сохраненных фоток и визуализировать ее, определить место работы, перечислить всех людей, с которыми он часто зависает и прочие замечательные вещи. На поверхности лежало, но как-то не задумывался даже.
https://github.com/KrauseFx/detect.location
#security
https://github.com/KrauseFx/detect.location
#security
GitHub
GitHub - KrauseFx/detect.location: An easy way to access the user's iOS location data without actually having access
An easy way to access the user's iOS location data without actually having access - KrauseFx/detect.location
Феликс Краузе продолжает катиться вперед на волне хайпа. Очередная статья про приватность. В этот раз о том, что единожды дав доступ к камере, вы позволяете приложению незаметно записывать себя в любой момент. Ждем разоблачающего материала про то, что доступ к геолокации позволит узнать ваши координаты, обожемой.
https://krausefx.com/blog/ios-privacy-watchuser-access-both-iphone-cameras-any-time-your-app-is-running
#security
https://krausefx.com/blog/ios-privacy-watchuser-access-both-iphone-cameras-any-time-your-app-is-running
#security
Линус Торвальдс распекает безопасников за то, что они не пытаются думать ни о разработчиках, ни о конечных пользователях – "Because if you as a security person just piss off users, and piss off
developers, I'm not going to take your work, and I'm going to call you
a bad security person".
https://lkml.org/lkml/2017/11/21/356
#security
developers, I'm not going to take your work, and I'm going to call you
a bad security person".
https://lkml.org/lkml/2017/11/21/356
#security
Короткая и поучительная история о том, почему стоит задумываться о безопасности в проекте, хотя бы на самом элементарном уровне. Ну и гайд для тех, кто хочет бесплатно кататься на каршеринге.
https://habrahabr.ru/post/343090/
#security
https://habrahabr.ru/post/343090/
#security
Хабр
«Угнать за 60 секунд» на примере одного каршеринга
«Без разочарований не ощутишь вкус победы» © Мемфис Реймс История началась банально. В каком то ролике на YouTube рассказывали про каршеринг. С демонстрацией ф...
И снова про Apple. Они отчитались про состояние уязвимостей Meltdown и Spectre в их устройствах. Вкратце – в последних осях все уже ок.
https://support.apple.com/en-us/HT208394
#news #security
https://support.apple.com/en-us/HT208394
#news #security
Apple Support
About speculative execution vulnerabilities in ARM-based and Intel CPUs
Apple has released security updates for macOS Sierra and El Capitan with mitigations for Meltdown. Apple has released updates for iOS, macOS High Sierra, and Safari on Sierra and El Capitan to help defend against Spectre. Apple Watch is unaffected by both…
Феликс Краузе опубликовал еще одно разоблачение. Если вы загружаете бинари по http, то злоумышленник, находящийся с вами в одной сети, может их подменить на зараженные. Сириосли, кто-нибудь, отнимите у него учебник по безопасности, а то он скоро дочитает до главы про SQL инъекции.
https://krausefx.com/blog/trusting-sdks
#security
https://krausefx.com/blog/trusting-sdks
#security
Про безопасность хотя бы иногда нужно вспоминать. Хоть Феликс Краузе и справляется с напоминанием об этом на постоянной основе, я попробую набросить статью не его авторства. Ничего нового, просто напоминание о рисках из OWASP Top Ten.
https://habrahabr.ru/company/redmadrobot/blog/349272/
#security
https://habrahabr.ru/company/redmadrobot/blog/349272/
#security
Хабр
Основные практики обеспечения безопасности iOS-приложений
При разработке любого мобильного приложения, обрабатывающего пользовательские данные, важно уделить внимание безопасности. Особенно остро этот вопрос стоит для...
Довольно стандартная история о реверс-инжиниринге приложения, заканчивающаяся обнаружением новой фичи с видеозвонками в Instagram. Мораль такая – не закрывайте фичетоглами секретную функциональность.
https://medium.com/@guilhermerambo/how-i-discovered-instagrams-upcoming-video-calling-feature-on-ios-934d7085da57
#security
https://medium.com/@guilhermerambo/how-i-discovered-instagrams-upcoming-video-calling-feature-on-ios-934d7085da57
#security
Medium
How I discovered Instagram's upcoming video calling feature on iOS
Yesterday I managed to grab some screenshots of a video calling UI on Instagram. This is the story of how that happened. I think the…
Обновилось Damn Vulnerable iOS Application – площадка для начинающих пентестеров, на которой можно протыкать все стандартные уязвимости. Теперь оно на свифте и добавили новые дыры.
http://highaltitudehacks.com/2018/04/19/damn-vulnerable-ios-app-v2-swift-edition/
#security
http://highaltitudehacks.com/2018/04/19/damn-vulnerable-ios-app-v2-swift-edition/
#security
Prateekg147
Releasing Damn Vulnerable iOS App v2.0 - written in Swift
I am glad to release a completely new version of Damn Vulnerable iOS App written in Swift 4. With developers now migrating to Swift for developing apps, it is important to have a testbed app for iOS in Swift. Though I have added some sections in Objective…
Вышел подробный гайд по тестированию мобильных приложений от OWASP. Кажется, подойдет на роль настольной книги.
https://github.com/OWASP/owasp-mstg/blob/master/README.md
#security
https://github.com/OWASP/owasp-mstg/blob/master/README.md
#security
GitHub
owasp-mstg/README.md at master · OWASP/owasp-mstg
The Mobile Security Testing Guide (MSTG) is a comprehensive manual for mobile app security testing and reverse engineering. It describes the technical processes for verifying the controls listed in...
Очень подробный пост, в котором на пальцах объясняют, как работает джейлбрейк.
https://geosn0w.github.io/Jailbreaks-Demystified/
#security
https://geosn0w.github.io/Jailbreaks-Demystified/
#security
geosn0w.github.io
Jailbreaks Demystified
The Jailbreaking process has long been a mysterious process where the iOS system suddenly gets unlocked out of Apple’s shackles after running an application for a few seconds. For a very long time, exactly what happened during the runtime of that application…
Про дырки безопасности в приложениях-заметках.
https://medium.com/@vixentael/popular-note-taking-apps-share-these-security-flaws-security-tips-for-developers-326180e41329
#security
https://medium.com/@vixentael/popular-note-taking-apps-share-these-security-flaws-security-tips-for-developers-326180e41329
#security
Medium
Popular note-taking apps share these security flaws: security tips for developers
I decided to publish common security flaws in note-taking apps with list of improvement suggestions (because security is complicated).
Серия статей про реверс-инжиниринг и анализ вредоносных программ для macOS.
https://applehelpwriter.com/2019/04/27/how-to-reverse-malware-on-macos/
#security
https://applehelpwriter.com/2019/04/27/how-to-reverse-malware-on-macos/
#security
Applehelpwriter
how to reverse malware on macOS
Resources for learning malware analysis and reverse engineering abound for the Windows platform and PE files, but by comparison there’s very little literature or tutorials for those who want t…
Твиттер-тредик, в котором секьюрити рисерчер разбирает приложение фейсбука и делится своими находками.
https://twitter.com/ivRodriguezCA/status/1128518247291047937
#security
https://twitter.com/ivRodriguezCA/status/1128518247291047937
#security
Twitter
Ivn
I'll be reverse engineering the new Facebook App and updating this thread as I find things 👇🏼
В твиттере «Мобильный разработчик» завершилась огненная неделя безопасности от vixentael. Держите мета-твит, содержащий ссылки на все остальные треды всех дней – там про давление эпл, методы защиты данных, известные утечки и всякое такое.
https://twitter.com/mobileunderhood/status/1145436310976569344
#security
https://twitter.com/mobileunderhood/status/1145436310976569344
#security
Twitter
Мобильный разработчик
Итак, краткое содержание security-недели от @vixentael. Треды, которые у нас были.
Разбираемся, нужно ли джейлбрейкать свое устройство.
https://blog.elcomsoft.com/2019/06/forensic-implications-of-ios-jailbreaking/
#security
https://blog.elcomsoft.com/2019/06/forensic-implications-of-ios-jailbreaking/
#security
ElcomSoft blog
Forensic Implications of iOS Jailbreaking
Jailbreaking is used by the forensic community to access the file system of iOS devices, perform physical extraction and decrypt device secrets. Jailbreaking the device is one of the most straightforward ways to gain low-level access to many types of evidence…
Почти бумага на тему затаскивания end-to-end шифрования в Bear.
https://www.cossacklabs.com/blog/end-to-end-encryption-in-bear-app.html
#security
https://www.cossacklabs.com/blog/end-to-end-encryption-in-bear-app.html
#security
Cossack Labs
Implementing End-to-End encryption in Bear App | Cossack Labs
Helping Bear app implement note encryption for their vast existing user base. Balancing usability, security, and mobile platforms' restrictions.