Mobile AppSec World
27.04.202510:38
И снова любимый Flutter и перехват трафика/Unpinning
Как же все-таки перехватить трафик флаттер-приложений?)
Какие способы помимо reFlutter существуют?))
Очень крутая статья как раз про это. Автор описывает строение Flutter-приложений, как использовать reFlutter и что он делает под капотом. И основная часть про то, как он пытался повторить тоже самое, но при помощи Frida.
Очень много отсылок к разным крутым статьям в процессе рассказа, очень много ссылок в конце, которые тоже крайне полезно почитать!
Так что изучаем и “make Flutter great again!” 🫢
Как же все-таки перехватить трафик флаттер-приложений?)
Какие способы помимо reFlutter существуют?))
Очень крутая статья как раз про это. Автор описывает строение Flutter-приложений, как использовать reFlutter и что он делает под капотом. И основная часть про то, как он пытался повторить тоже самое, но при помощи Frida.
Очень много отсылок к разным крутым статьям в процессе рассказа, очень много ссылок в конце, которые тоже крайне полезно почитать!
Так что изучаем и “make Flutter great again!” 🫢
30.03.202507:29
Жизненный цикл Activity в Android
Ну а пока iOS-приложения не скачиваются, можно поизучать детальнее Android ;)
И у ребят из k8s как раз есть отличная статья про Activity Lifecycle. Какие есть состояния, какая логика перехода между ними, какие атаки есть на Activity и т.д.
Очень полезный материал, который поможет лучше узнать, как работают приложения внутри, а без этого понимания очень сложно их ломать и что-то придумывать :)
Хороших всем выходных!
#Android #activity
Ну а пока iOS-приложения не скачиваются, можно поизучать детальнее Android ;)
И у ребят из k8s как раз есть отличная статья про Activity Lifecycle. Какие есть состояния, какая логика перехода между ними, какие атаки есть на Activity и т.д.
Очень полезный материал, который поможет лучше узнать, как работают приложения внутри, а без этого понимания очень сложно их ломать и что-то придумывать :)
Хороших всем выходных!
#Android #activity
Кайра бөлүшүлгөн:
RutheniumOS
27.03.202510:28
Google прикрывает лавочку AOSP?
Поступок Google в марте 2025-го шокировал: вся разработка Android уходит за закрытые двери. Больше никаких открытых коммитов в AOSP (Android Open Source Project) в реальном времени — теперь только готовый код после релиза. Зачем это Гуглу, что это значит для нас и как теперь жить?
AOSP: Открытость на паузе
AOSP — это сердце Android, открытый код, который любой может взять и крутить. Samsung делает One UI, Xiaomi — MIUI, а гики пилят LineageOS. Google рулит проектом, но раньше часть работы велась публично через AOSP Gerrit — там можно было подсмотреть, что готовится в новой версии. Теперь — всё. С 31 марта 2025-го разработка уходит в секретные внутренние ветки, доступные только партнёрам с лицензией GMS (Google Mobile Services). Код в AOSP выложат только после финального релиза — типа Android 16 или патчей.
Зачем?
Google говорит: так проще. Публичная ветка отставала от внутренней — сравни AOSP и бету Android 16: функции и API вечно запаздывали. Синхронизация веток ханимала время, патчи конфликтовали (вспомни настройку экранной лупы — гемор ещё тот). Теперь всё в одном месте, без лишней возни. Но есть нюанс: открытость AOSP была фишкой Android 16+ лет. Это шаг назад?
Как это работает
Google всегда держал две ветки: публичную AOSP и внутреннюю для своих и OEM’ов (Samsung, Qualcomm и ко). Код всё ещё выложат под Apache 2.0, но не в процессе, а постфактум. Для юзеров и девелоперов — ноль изменений. Pixel’ы и Galaxy обновятся как обычно, Play Store не тронут. Но для следящих за коммитами в поисаках интересного (типа упоминания Pixel 10), и контрибьюторов — ад. Отслеживать прогресс разработки станет сложнее.
Плюсы и минусы
Google обещает ускорение разработки — меньше багов, быстрее релизы. OEM’ы с GMS-доступом тоже в шоколаде: они и так видят черновики. Но кастомщики вроде LineageOS или GrapheneOS в пролёте — им ждать финального кода, а не смотреть исходники. Меньше спойлеров о новых фишках (прощай, ранний слив через Gerrit). И главное: внешние патчи в AOSP могут устареть, пока Google пилит своё втихую.
Что дальше?
Android не становится закрытым — код всё ещё открыт после релиза. Но процесс теперь больше похож на iOS: разработка в бункере, а не на виду. Для бизнеса и юзеров — пофиг, для энтузиастов — удар. Google хочет упростить себе жизнь, но теряет дух открытости, который тянул Android вверх. В 2025-м это уже не "Linux для телефонов", а продукт под замком.
Делаем ставки, что будет дальше и ждем реакции разработчиков отечественных форков AOSP
Источник
Поступок Google в марте 2025-го шокировал: вся разработка Android уходит за закрытые двери. Больше никаких открытых коммитов в AOSP (Android Open Source Project) в реальном времени — теперь только готовый код после релиза. Зачем это Гуглу, что это значит для нас и как теперь жить?
AOSP: Открытость на паузе
AOSP — это сердце Android, открытый код, который любой может взять и крутить. Samsung делает One UI, Xiaomi — MIUI, а гики пилят LineageOS. Google рулит проектом, но раньше часть работы велась публично через AOSP Gerrit — там можно было подсмотреть, что готовится в новой версии. Теперь — всё. С 31 марта 2025-го разработка уходит в секретные внутренние ветки, доступные только партнёрам с лицензией GMS (Google Mobile Services). Код в AOSP выложат только после финального релиза — типа Android 16 или патчей.
Зачем?
Google говорит: так проще. Публичная ветка отставала от внутренней — сравни AOSP и бету Android 16: функции и API вечно запаздывали. Синхронизация веток ханимала время, патчи конфликтовали (вспомни настройку экранной лупы — гемор ещё тот). Теперь всё в одном месте, без лишней возни. Но есть нюанс: открытость AOSP была фишкой Android 16+ лет. Это шаг назад?
Как это работает
Google всегда держал две ветки: публичную AOSP и внутреннюю для своих и OEM’ов (Samsung, Qualcomm и ко). Код всё ещё выложат под Apache 2.0, но не в процессе, а постфактум. Для юзеров и девелоперов — ноль изменений. Pixel’ы и Galaxy обновятся как обычно, Play Store не тронут. Но для следящих за коммитами в поисаках интересного (типа упоминания Pixel 10), и контрибьюторов — ад. Отслеживать прогресс разработки станет сложнее.
Плюсы и минусы
Google обещает ускорение разработки — меньше багов, быстрее релизы. OEM’ы с GMS-доступом тоже в шоколаде: они и так видят черновики. Но кастомщики вроде LineageOS или GrapheneOS в пролёте — им ждать финального кода, а не смотреть исходники. Меньше спойлеров о новых фишках (прощай, ранний слив через Gerrit). И главное: внешние патчи в AOSP могут устареть, пока Google пилит своё втихую.
Что дальше?
Android не становится закрытым — код всё ещё открыт после релиза. Но процесс теперь больше похож на iOS: разработка в бункере, а не на виду. Для бизнеса и юзеров — пофиг, для энтузиастов — удар. Google хочет упростить себе жизнь, но теряет дух открытости, который тянул Android вверх. В 2025-м это уже не "Linux для телефонов", а продукт под замком.
Делаем ставки, что будет дальше и ждем реакции разработчиков отечественных форков AOSP
Источник
21.03.202511:50
Плагин для Magisk - перехват трафика Flutter-приложений
Всем привет!
Недавно мне написал @mike_fpv с крутой историей про то, что они сделали! А именно, удобный плагинчик для перехвата трафика Flutter-приложений. Все мы знаем, что флаттер игнорирует системные настройки проксирования и нужно либо патчить приложение reFlutter-ом, либо ручками настраивать iptables (там где они есть).
История создания плагина от автора:
Ну и собственно ссылка на сам плагин:
https://github.com/czuryk/IPTUpdaterPlugin/
Вот побольше бы таких людей, кто делает вещи, которые нам очень помогают. Спасибо большое @mike_fpv!
#Flutter #Android #Traffic
Всем привет!
Недавно мне написал @mike_fpv с крутой историей про то, что они сделали! А именно, удобный плагинчик для перехвата трафика Flutter-приложений. Все мы знаем, что флаттер игнорирует системные настройки проксирования и нужно либо патчить приложение reFlutter-ом, либо ручками настраивать iptables (там где они есть).
История создания плагина от автора:
Хочу поделится информацией о своем плагине, который мне очень помогает в регулярной работе с перхватом траффика флаттер приложений. C коллегой, настраивали перехват флаттер трафика на одном из устройств и я с удивлением обнаружил, что оказывается ProxyDroid вообще выпилили из Google Store. Суть в том, что для флаттера не достаточно только прописать прокси в настройках вай-фай, но так же нужно менять маршрутизацию на самом устройстве, и раньше для этого служил ProxyDroid, но на SamsungS24 + Android 14 я обнаружил, что он только делает вид что работает, но по факту ничего не делает. Помучившись с изменением iptables вручную через коммандную строку, я написал свой плагин для Магиска. Его суть довольно простая - отслеживать изменение конфигурации для файфая и автоматически патчить iptables на нужные параметры. В итоге я пользуюсь им сам уже более 2х месяцев и только положительные впечатления, когда переключаюсь на разные компы и разные прокси, переключение происходит максимально бесшовно. Уверен кому то тоже пригодится, особенно, когда ProxyDroid стал недоступен.
Ну и собственно ссылка на сам плагин:
https://github.com/czuryk/IPTUpdaterPlugin/
Вот побольше бы таких людей, кто делает вещи, которые нам очень помогают. Спасибо большое @mike_fpv!
#Flutter #Android #Traffic
23.04.202508:25
Модификация ядра Android для анализа приложений
Мой опыт пересборки Android-ядра был когда-то давно, когда мне нужно было включить поддержку iptables доя перенаправления трафика в дальнейшем на эмуляторе. Веселое прикоючение на 20 минут, войти и выйти 😉 Особенно, когда делаешь это первый раз)
Но вот такая статья мне бы точно тогда пригодилась!
Автор обещает целый цикл статей, будем следить за ним! По описанию, планирует рассмотреть более продвинутые методы отладки и кастомизации ядра для детального анализа приложений.
Ну а в первой статье он предоставляет пошаговое руководство по сборке и модификации ядра Android, а также по его тестированию в виртуальной среде. Ну и конечно много полезной информации о внутреннем устройстве ядра и прочих хитростей!
Enjoy!
Мой опыт пересборки Android-ядра был когда-то давно, когда мне нужно было включить поддержку iptables доя перенаправления трафика в дальнейшем на эмуляторе. Веселое прикоючение на 20 минут, войти и выйти 😉 Особенно, когда делаешь это первый раз)
Но вот такая статья мне бы точно тогда пригодилась!
Автор обещает целый цикл статей, будем следить за ним! По описанию, планирует рассмотреть более продвинутые методы отладки и кастомизации ядра для детального анализа приложений.
Ну а в первой статье он предоставляет пошаговое руководство по сборке и модификации ядра Android, а также по его тестированию в виртуальной среде. Ну и конечно много полезной информации о внутреннем устройстве ядра и прочих хитростей!
Enjoy!
29.03.202513:05
Загрузка приложений из AppStore больше не работает!
А пока мы спокойно отдыхаем на выходных, Apple изменила свой API и теперь ни один инструмент по загрузке приложений из AppStore больше не работает. Сломаны ipatool, ipatool-py, наша интеграция и всё, что удалось найти :) Спасибо Apple за чудесные новости!
В репозитории ipatool энтузиасты пытаются найти решение, но пока все тщетно. Есть вроде способ с kbsync на айфоне (но придется его пересобрать) или с патчингом iTunes на Windows, но пока нет подверждения, что они еще работают.
Так что ждем, исследуем, пробуем и надеемся что загрузка приложений снова станет доступной 😠
А пока мы спокойно отдыхаем на выходных, Apple изменила свой API и теперь ни один инструмент по загрузке приложений из AppStore больше не работает. Сломаны ipatool, ipatool-py, наша интеграция и всё, что удалось найти :) Спасибо Apple за чудесные новости!
В репозитории ipatool энтузиасты пытаются найти решение, но пока все тщетно. Есть вроде способ с kbsync на айфоне (но придется его пересобрать) или с патчингом iTunes на Windows, но пока нет подверждения, что они еще работают.
Так что ждем, исследуем, пробуем и надеемся что загрузка приложений снова станет доступной 😠
Кайра бөлүшүлгөн:
Swordfish Security
26.03.202508:53
🔎 Бесплатный онлайн-интенсив: как разрабатывать безопасные приложения для Fintech
Присоединяйтесь к серии вебинаров от экспертов Swordfish Security, Ассоциации ФинТех и сообщества FinDevSecOps! Разберем реальные кейсы и передовые методики безопасной разработки приложений в финансовом секторе.
Первый вебинар: "Открытый код, скрытые проблемы" - 27 марта в 14.00!
Что обсудим?
▶️Векторы атак на приложения в финансовом секторе в 2024 году
▶️Отличия между инструментами для анализа безопасности Open Source - компонентов
▶️Как избежать распространенных ошибок при внедрении практик управления открытым исходным кодом (OSA) и анализа компонентов (SCA)?
▶️Какие существуют алгоритмы внедрении практик и что необходимо принимать во внимание?
Спикеры:
- Вера Багно, AppSec-инженер, Swordfish Security
- Татьяна Билык, лидер FDSO, директор проектов АФТ
- Карапет Манасян, идеолог и сооснователь FDSO, CPO MOEX
🎁 Подарок каждому участнику - гайд по практикам OSA и SCA!
Будет полезно:
- CISO
- Разработчикам приложений
- DevSecOps-специалистам
- AppSec инженерам
👉 Регистрируйтесь по ссылке и готовьте ваши вопросы!
🔵 Дайджест следующих вебинаров серии.
#ВебинарыSFS
Присоединяйтесь к серии вебинаров от экспертов Swordfish Security, Ассоциации ФинТех и сообщества FinDevSecOps! Разберем реальные кейсы и передовые методики безопасной разработки приложений в финансовом секторе.
Первый вебинар: "Открытый код, скрытые проблемы" - 27 марта в 14.00!
Что обсудим?
▶️Векторы атак на приложения в финансовом секторе в 2024 году
▶️Отличия между инструментами для анализа безопасности Open Source - компонентов
▶️Как избежать распространенных ошибок при внедрении практик управления открытым исходным кодом (OSA) и анализа компонентов (SCA)?
▶️Какие существуют алгоритмы внедрении практик и что необходимо принимать во внимание?
Спикеры:
- Вера Багно, AppSec-инженер, Swordfish Security
- Татьяна Билык, лидер FDSO, директор проектов АФТ
- Карапет Манасян, идеолог и сооснователь FDSO, CPO MOEX
🎁 Подарок каждому участнику - гайд по практикам OSA и SCA!
Будет полезно:
- CISO
- Разработчикам приложений
- DevSecOps-специалистам
- AppSec инженерам
👉 Регистрируйтесь по ссылке и готовьте ваши вопросы!
🔵 Дайджест следующих вебинаров серии.
#ВебинарыSFS
Кайра бөлүшүлгөн:
Android Guards
22.04.202517:44
Я частенько говорю о том, что Samsung слишком много себе позволяют когда лезут в разные части Android и переписывают их на свой лад. Но беда в том, что лезут они не только в Android, но и в более глубинные слои. Что из этого выходит? Уязвимости конечно.
Ребята из Quarkslab сделали отличный доклад по эксплуатации уязвимостей в цепочке загрузки Samsung Galaxy A225F. Точка старта - феерическая. Кастомный JPEG парсер, который ребята из Samsung вкрячили в Little Kernel. Конечно же этот парсер содержал уязвимость (или бэкдор? 🌚), которая позволяла выполнять произвольный код. Чем и воспользовались исследователи.
Очень интересный, технический доклад. Рекомендую!
Ребята из Quarkslab сделали отличный доклад по эксплуатации уязвимостей в цепочке загрузки Samsung Galaxy A225F. Точка старта - феерическая. Кастомный JPEG парсер, который ребята из Samsung вкрячили в Little Kernel. Конечно же этот парсер содержал уязвимость (или бэкдор? 🌚), которая позволяла выполнять произвольный код. Чем и воспользовались исследователи.
Очень интересный, технический доклад. Рекомендую!
28.03.202512:11
Итоги розыгрыша на конференцию Территория Безопасности
Итак, великим рандомайзером из всех участников был выбран @aleks_8l8!
Поздравляю тебя!
Приходи к нам на стенд обязательно, подарим немного мерча)
Спасибо всем, кто участвовал!
Итак, великим рандомайзером из всех участников был выбран @aleks_8l8!
Поздравляю тебя!
Приходи к нам на стенд обязательно, подарим немного мерча)
Спасибо всем, кто участвовал!
26.03.202508:53
Встретимся на вебинаре!
Все, кому интересна тема анализа OpenSource, приходите, не пожалеете)
Уже завтра!
Все, кому интересна тема анализа OpenSource, приходите, не пожалеете)
Уже завтра!
04.04.202513:29
Опубликована программа AppsConf
Итак, друзья, прошла вчера конференция Код Безопасности, смотрим вперед)
Следующая по плану у нас конференция для мобильщиков - AppsConf!
У нее уже опубликована программа, я туда к сожалению не попал, потому что продолбал все сроки по заявке 😁
Но, я планирую обязательно пойти туда и послушать доклады, потому что правда очень много интересного, а руку нужно держать "на пульсе" и смотреть, что нового и интересного есть в мире мобильной разработки!
Так что жду вас тоже на мероприятии! И да, скоро тоже разыграем билет одному из подписчиков, ждите новостей и конкурса 😎
Итак, друзья, прошла вчера конференция Код Безопасности, смотрим вперед)
Следующая по плану у нас конференция для мобильщиков - AppsConf!
У нее уже опубликована программа, я туда к сожалению не попал, потому что продолбал все сроки по заявке 😁
Но, я планирую обязательно пойти туда и послушать доклады, потому что правда очень много интересного, а руку нужно держать "на пульсе" и смотреть, что нового и интересного есть в мире мобильной разработки!
Так что жду вас тоже на мероприятии! И да, скоро тоже разыграем билет одному из подписчиков, ждите новостей и конкурса 😎
28.03.202505:03
Я немного задержался, простите :)
Сегодня днем разыграем)
Сегодня днем разыграем)
24.03.202509:32
Розыгрыш билета на конференцию Территория Безопасности!
Всем привет!
Уже скоро пройдет конференция, которая мне очень понравилась в прошлом году, на которой я обязательно буду в этом и хотел бы пригласить и вас)
И конечно, как обещал, розыгрыш одной проходки на конференцию!
Условия конкурса:
1. В комментарии к этому посту оставляем комментарий с тэгом #ТБ
2. Форвардим этот пост или любой другой из канала знакомым/друзьям
В целом и все)
В среду среди отметившихся проведу розыгрыш через рандомайзер и отдам билет)
Очень жду вас, друзья) И увидимся обязательно на ТБ)
#конкурс #билеты #халява #территорияБезопасности
Всем привет!
Уже скоро пройдет конференция, которая мне очень понравилась в прошлом году, на которой я обязательно буду в этом и хотел бы пригласить и вас)
И конечно, как обещал, розыгрыш одной проходки на конференцию!
Условия конкурса:
1. В комментарии к этому посту оставляем комментарий с тэгом #ТБ
2. Форвардим этот пост или любой другой из канала знакомым/друзьям
В целом и все)
В среду среди отметившихся проведу розыгрыш через рандомайзер и отдам билет)
Очень жду вас, друзья) И увидимся обязательно на ТБ)
#конкурс #билеты #халява #территорияБезопасности
Көрсөтүлдү 1 - 13 ичинде 13
Көбүрөөк функцияларды ачуу үчүн кириңиз.