Mobile AppSec World
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...
По всем вопросам - @Mr_R1p
По всем вопросам - @Mr_R1p
TGlist रेटिंग
0
0
प्रकारसार्वजनिक
सत्यापन
असत्यापितविश्वसनीयता
अविश्वसनीयस्थान
भाषाअन्य
चैनल निर्माण की तिथिКвіт 30, 2020
TGlist में जोड़ा गया
Бер 23, 2025संलग्न समूह
Mobile Appsec Chat
360
रिकॉर्ड
24.04.202523:59
6.1Kसदस्य21.03.202523:59
0उद्धरण सूचकांक25.03.202523:59
781प्रति पोस्ट औसत दृश्य24.04.202518:30
0प्रति विज्ञापन पोस्ट औसत दृश्य17.04.202516:11
7.99%ER20.03.202515:32
12.94%ERRसे पुनः पोस्ट किया:
Android Guards
22.04.202517:44
Я частенько говорю о том, что Samsung слишком много себе позволяют когда лезут в разные части Android и переписывают их на свой лад. Но беда в том, что лезут они не только в Android, но и в более глубинные слои. Что из этого выходит? Уязвимости конечно.
Ребята из Quarkslab сделали отличный доклад по эксплуатации уязвимостей в цепочке загрузки Samsung Galaxy A225F. Точка старта - феерическая. Кастомный JPEG парсер, который ребята из Samsung вкрячили в Little Kernel. Конечно же этот парсер содержал уязвимость (или бэкдор? 🌚), которая позволяла выполнять произвольный код. Чем и воспользовались исследователи.
Очень интересный, технический доклад. Рекомендую!
Ребята из Quarkslab сделали отличный доклад по эксплуатации уязвимостей в цепочке загрузки Samsung Galaxy A225F. Точка старта - феерическая. Кастомный JPEG парсер, который ребята из Samsung вкрячили в Little Kernel. Конечно же этот парсер содержал уязвимость (или бэкдор? 🌚), которая позволяла выполнять произвольный код. Чем и воспользовались исследователи.
Очень интересный, технический доклад. Рекомендую!
से पुनः पोस्ट किया:
RutheniumOS
27.03.202510:28
Google прикрывает лавочку AOSP?
Поступок Google в марте 2025-го шокировал: вся разработка Android уходит за закрытые двери. Больше никаких открытых коммитов в AOSP (Android Open Source Project) в реальном времени — теперь только готовый код после релиза. Зачем это Гуглу, что это значит для нас и как теперь жить?
AOSP: Открытость на паузе
AOSP — это сердце Android, открытый код, который любой может взять и крутить. Samsung делает One UI, Xiaomi — MIUI, а гики пилят LineageOS. Google рулит проектом, но раньше часть работы велась публично через AOSP Gerrit — там можно было подсмотреть, что готовится в новой версии. Теперь — всё. С 31 марта 2025-го разработка уходит в секретные внутренние ветки, доступные только партнёрам с лицензией GMS (Google Mobile Services). Код в AOSP выложат только после финального релиза — типа Android 16 или патчей.
Зачем?
Google говорит: так проще. Публичная ветка отставала от внутренней — сравни AOSP и бету Android 16: функции и API вечно запаздывали. Синхронизация веток ханимала время, патчи конфликтовали (вспомни настройку экранной лупы — гемор ещё тот). Теперь всё в одном месте, без лишней возни. Но есть нюанс: открытость AOSP была фишкой Android 16+ лет. Это шаг назад?
Как это работает
Google всегда держал две ветки: публичную AOSP и внутреннюю для своих и OEM’ов (Samsung, Qualcomm и ко). Код всё ещё выложат под Apache 2.0, но не в процессе, а постфактум. Для юзеров и девелоперов — ноль изменений. Pixel’ы и Galaxy обновятся как обычно, Play Store не тронут. Но для следящих за коммитами в поисаках интересного (типа упоминания Pixel 10), и контрибьюторов — ад. Отслеживать прогресс разработки станет сложнее.
Плюсы и минусы
Google обещает ускорение разработки — меньше багов, быстрее релизы. OEM’ы с GMS-доступом тоже в шоколаде: они и так видят черновики. Но кастомщики вроде LineageOS или GrapheneOS в пролёте — им ждать финального кода, а не смотреть исходники. Меньше спойлеров о новых фишках (прощай, ранний слив через Gerrit). И главное: внешние патчи в AOSP могут устареть, пока Google пилит своё втихую.
Что дальше?
Android не становится закрытым — код всё ещё открыт после релиза. Но процесс теперь больше похож на iOS: разработка в бункере, а не на виду. Для бизнеса и юзеров — пофиг, для энтузиастов — удар. Google хочет упростить себе жизнь, но теряет дух открытости, который тянул Android вверх. В 2025-м это уже не "Linux для телефонов", а продукт под замком.
Делаем ставки, что будет дальше и ждем реакции разработчиков отечественных форков AOSP
Источник
Поступок Google в марте 2025-го шокировал: вся разработка Android уходит за закрытые двери. Больше никаких открытых коммитов в AOSP (Android Open Source Project) в реальном времени — теперь только готовый код после релиза. Зачем это Гуглу, что это значит для нас и как теперь жить?
AOSP: Открытость на паузе
AOSP — это сердце Android, открытый код, который любой может взять и крутить. Samsung делает One UI, Xiaomi — MIUI, а гики пилят LineageOS. Google рулит проектом, но раньше часть работы велась публично через AOSP Gerrit — там можно было подсмотреть, что готовится в новой версии. Теперь — всё. С 31 марта 2025-го разработка уходит в секретные внутренние ветки, доступные только партнёрам с лицензией GMS (Google Mobile Services). Код в AOSP выложат только после финального релиза — типа Android 16 или патчей.
Зачем?
Google говорит: так проще. Публичная ветка отставала от внутренней — сравни AOSP и бету Android 16: функции и API вечно запаздывали. Синхронизация веток ханимала время, патчи конфликтовали (вспомни настройку экранной лупы — гемор ещё тот). Теперь всё в одном месте, без лишней возни. Но есть нюанс: открытость AOSP была фишкой Android 16+ лет. Это шаг назад?
Как это работает
Google всегда держал две ветки: публичную AOSP и внутреннюю для своих и OEM’ов (Samsung, Qualcomm и ко). Код всё ещё выложат под Apache 2.0, но не в процессе, а постфактум. Для юзеров и девелоперов — ноль изменений. Pixel’ы и Galaxy обновятся как обычно, Play Store не тронут. Но для следящих за коммитами в поисаках интересного (типа упоминания Pixel 10), и контрибьюторов — ад. Отслеживать прогресс разработки станет сложнее.
Плюсы и минусы
Google обещает ускорение разработки — меньше багов, быстрее релизы. OEM’ы с GMS-доступом тоже в шоколаде: они и так видят черновики. Но кастомщики вроде LineageOS или GrapheneOS в пролёте — им ждать финального кода, а не смотреть исходники. Меньше спойлеров о новых фишках (прощай, ранний слив через Gerrit). И главное: внешние патчи в AOSP могут устареть, пока Google пилит своё втихую.
Что дальше?
Android не становится закрытым — код всё ещё открыт после релиза. Но процесс теперь больше похож на iOS: разработка в бункере, а не на виду. Для бизнеса и юзеров — пофиг, для энтузиастов — удар. Google хочет упростить себе жизнь, но теряет дух открытости, который тянул Android вверх. В 2025-м это уже не "Linux для телефонов", а продукт под замком.
Делаем ставки, что будет дальше и ждем реакции разработчиков отечественных форков AOSP
Источник
से पुनः पोस्ट किया:
Swordfish Security
26.03.202508:53
🔎 Бесплатный онлайн-интенсив: как разрабатывать безопасные приложения для Fintech
Присоединяйтесь к серии вебинаров от экспертов Swordfish Security, Ассоциации ФинТех и сообщества FinDevSecOps! Разберем реальные кейсы и передовые методики безопасной разработки приложений в финансовом секторе.
Первый вебинар: "Открытый код, скрытые проблемы" - 27 марта в 14.00!
Что обсудим?
▶️Векторы атак на приложения в финансовом секторе в 2024 году
▶️Отличия между инструментами для анализа безопасности Open Source - компонентов
▶️Как избежать распространенных ошибок при внедрении практик управления открытым исходным кодом (OSA) и анализа компонентов (SCA)?
▶️Какие существуют алгоритмы внедрении практик и что необходимо принимать во внимание?
Спикеры:
- Вера Багно, AppSec-инженер, Swordfish Security
- Татьяна Билык, лидер FDSO, директор проектов АФТ
- Карапет Манасян, идеолог и сооснователь FDSO, CPO MOEX
🎁 Подарок каждому участнику - гайд по практикам OSA и SCA!
Будет полезно:
- CISO
- Разработчикам приложений
- DevSecOps-специалистам
- AppSec инженерам
👉 Регистрируйтесь по ссылке и готовьте ваши вопросы!
🔵 Дайджест следующих вебинаров серии.
#ВебинарыSFS
Присоединяйтесь к серии вебинаров от экспертов Swordfish Security, Ассоциации ФинТех и сообщества FinDevSecOps! Разберем реальные кейсы и передовые методики безопасной разработки приложений в финансовом секторе.
Первый вебинар: "Открытый код, скрытые проблемы" - 27 марта в 14.00!
Что обсудим?
▶️Векторы атак на приложения в финансовом секторе в 2024 году
▶️Отличия между инструментами для анализа безопасности Open Source - компонентов
▶️Как избежать распространенных ошибок при внедрении практик управления открытым исходным кодом (OSA) и анализа компонентов (SCA)?
▶️Какие существуют алгоритмы внедрении практик и что необходимо принимать во внимание?
Спикеры:
- Вера Багно, AppSec-инженер, Swordfish Security
- Татьяна Билык, лидер FDSO, директор проектов АФТ
- Карапет Манасян, идеолог и сооснователь FDSO, CPO MOEX
🎁 Подарок каждому участнику - гайд по практикам OSA и SCA!
Будет полезно:
- CISO
- Разработчикам приложений
- DevSecOps-специалистам
- AppSec инженерам
👉 Регистрируйтесь по ссылке и готовьте ваши вопросы!
🔵 Дайджест следующих вебинаров серии.
#ВебинарыSFS
अधिक कार्यक्षमता अनलॉक करने के लिए लॉगिन करें।