Tag: android

Jak testować bezpieczeństwo aplikacji mobilnych? Potężny poradnik od OWASP (iOS + Android)

03 grudnia 2018, 19:46 | W biegu | 1 komentarz

Mowa o projekcie: Mobile Security Testing Guide (MSTG). Właśnie wydano jego wersję 1.1 (dostępna wersja pdf + na czytniki mobilne). Znajdziemy tutaj m.in. takie elementy jak: składowanie danych na urządzeniach, rozmaite problemy kryptograficzne, testowanie uwierzytelnienia, reverse engineering aplikacji, narzędzia. Wszystko dla platform: Android oraz iOS. Całość to około 450 stron. Miłego…

Czytaj dalej »

Chcecie zobaczyć w jakich ilościach trackują Was appki na Androidzie, spróbujcie Exodus Privacy

19 listopada 2018, 16:14 | W biegu | komentarze 3

Aplikacja nie wymaga roota i pokazuje nam zarówno uprawnienia jakich wymagają zainstalowane aplikacje ale również liczbę elementów trackujących: W jaki sposób można to zrealizować na niezrootowanym urządzeniu? Aplikacje analizowane są po stronie serwerowej (w infrastrukturze Exodusa), a na telefonie mamy matchowanie zainstalowanych aplikacji z główną bazą. Jeśli znacie podobne projekty –…

Czytaj dalej »

Google wreszcie wymusza na producentach telefonów regularne udostępnianie łat bezpieczeństwa

25 października 2018, 12:42 | W biegu | komentarze 4

Łatanie systemów to pięta achillesowa środowiska androidowego. Sam Google bezpieczeństwo traktuje poważnie – choć by wypuszczając regularnie co miesiąc kolejną paczkę łat. Co ciekawe z krytycznych podatności, które pozwalają na wykonanie dowolnego kodu na telefonie (będąc w pobliżu lub przesyłając do ofiary odpowiedni plik multimedialny) – nikt już nie robi…

Czytaj dalej »

Facebook miał dostęp do logów rozmów telefonicznych niektórych użytkowników

25 marca 2018, 10:04 | W biegu | komentarze 4

Facebook umożliwia przygotowanie pliku, w którym znajdziecie wszystkie (miejmy nadzieję) dane, które zebrał on o nas. Tego typu plik przygotował dla swojego profilu Dylan McKay i znalazł tam m.in logi rozmów telefonicznych (kto do kogo dzwonił, czas trwania rozmowy, status rozmowy): Podobnie zresztą było z SMS-ami – a Dylan od razu pisze,…

Czytaj dalej »

Android wysyła do Google lokalizację pobliskich BTS-ów, nawet jeśli wyłączymy „location services”

22 listopada 2017, 19:27 | W biegu | komentarzy 12

Cały proceder ma miejsce od początku 2017 roku, a lokalizacja pobliskich wież GSM wysyłana jest również wtedy, kiedy nie mamy w telefonie karty SIM (wysyłka jest po WiFi). Wyłączenie „location services” nie pomaga – czy inaczej: wg serwisu Quartz – nie da się tego w ogóle wyłączyć: Even devices that had…

Czytaj dalej »

Broadpwn – bezprzewodowe przejmowanie telefonów – jest prosty/testowy exploit

14 lipca 2017, 12:56 | W biegu | 0 komentarzy

Ostatnio pisaliśmy o podatności Broadpwn zaznaczając też sceptyczny głos („realnie pewnie nie zadziała…”). A tymczasem ów sceptyczny badacz – Zhuowei Zhang – przedstawił drugą część swojego badania, gdzie pokazuje testowy exploit, rebootujący telefon (+ kernel crash) po podłączeniu się do odpowiednio spreparowanej sieci WiFi. W skrócie: If you’re near a malicious Wi-Fi network,…

Czytaj dalej »

Broadpwn – zdalne wykonanie kodu w Androidzie bez interakcji użytkownika

07 lipca 2017, 12:04 | W biegu | komentarzy 10

Google właśnie wypuścił lipcowy Android Security Bulletin, gdzie wśród całej hordy błędów oznaczonych jako RCE/Critical, jest też CVE-2017-9417 w sterownikach Wi-Fi Broadcoma. Jeśli sam Google nadaje taką flagę dla buga w swoim produkcie, raczej nie może być drobnostka. Pamiętacie podobną historię sprzed paru miesięcy? Wygląda to na podobny i wg autora…

Czytaj dalej »

1.5 miliona dolarów w 2 miesiące? Wystarczy kilka starych exploitów i złe chęci…

06 lipca 2017, 22:10 | W biegu | komentarze 2

Checkpoint opisuje androidowy malware o nazwie CopyCat, który wg szacunków tylko w dwa miesiące potrafił zainfekować około 14 milionów Androidów –  z czego aż 8 milionów zostało zrootowane. Operacja – wg wyliczeń Checkpointa – przyniosła 1.5 miliona dolarów przychodu, który był generowany przez różne odmiany fałszywych reklam (były to ordynarne…

Czytaj dalej »

Bezpłatna książka „OWASP Mobile Security Testing Guide” dostępna w PDF/EPUB/MOBI

05 lipca 2017, 19:15 | W biegu | komentarze 4

Standardowy projekt OWASP-u „Testing guide” jak można się domyślić dotyczy testowania bezpieczeństwa aplikacji webowych. Od jakiegoś czasu OWASP zajmuje się też nieco pobocznymi obszarami jak: bezpieczeństwo aplikacji mobilnych czy IoT. Tym razem dostępną mamy w wersji beta, książkę „Mobile Security Testing Guide„, która pokazuje jak przetestować pod względem bezpieczeństwa aplikacje przygotowane…

Czytaj dalej »