Мобильная безопасность

На пентесте финтех-приложения экспортированный ContentProvider без permission вытаскивал полную историю транзакций любого пользователя. От скачивания APK до рабочего PoC — двадцать минут. MobSF и внутренний аудит проблему пропустили: оба проверяли манифест паттернами, не анализируя логику Java-кода провайдера.

Методика от статики до динамики: jadx для анализа манифеста и поиска hardcoded-секретов, Frida для hooking и SSL pinning bypass, objection для runtime exploration. OWASP MASVS по категориям с реальными паттернами 2026 года: SharedPreferences с токенами в открытом тексте, WebView + addJavascriptInterface с @JavascriptInterface методом getAuthToken(), deeplink hijacking через кастомную URI-схему без App Links.

Decision tree из 10 условий: какой вектор выбрать под конкретные условия — от debuggable APK до нативного NDK кода. Ограничения: RASP, Play Integrity API, Flutter/Dart AOT.

Реальные баги сместились в бизнес-логику и...

На Pixel 9 с Android 16 eBPF-трассировщик перехватил на 33% больше системных вызовов, чем штатный ftrace. Overhead — не выше 3.6%. И параллельно — декодировал имена методов и типизированные аргументы из сырых Binder-транзакций. Без патчей ядра, без пересборки AOSP, без инъекций.

Binder IPC — единственный штатный канал между приложением и системными сервисами Android. Ядро видит только ioctl() с хэндлом и сырыми байтами Parcel. Малварь через прямой native ioctl() минует Framework API и все user-space хуки (Frida, BPFroid) — полностью невидима.

WOOTdroid решает это: eBPF перехватывает в ядре (обход невозможен), signature table из AIDL-интерфейсов реконструирует семантику вне процесса приложения. ISms.sendTextMessage("+7XXXXXXXXXX") вместо ioctl(7, 0xc0306201, 0x7fc3a12000).

Единственный способ увидеть что приложение реально делает — собрать стенд и трассировать руками.

Стандартный Frida-скрипт не обошёл SSL pinning — приложение использовало OkHttp3 с CertificatePinner плюс кастомную проверку целостности APK. Четыре часа на декомпиляцию и точечный хук. IDOR в платёжном API нашёлся за 15 минут после этого.

80% времени мобильного пентеста уходит на подготовку окружения, а не на поиск уязвимостей. Статья закрывает именно это: эмулятор vs физический девайс, frida-server той же версии что frida-tools, сертификат Burp в системном хранилище на Android 7+.

Decision tree SSL pinning bypass: network_security_config.xml → Objection → Frida-скрипт для OkHttp/TrustKit → frida-trace для идентификации кастомного метода → Flutter отдельно. Три уровня обхода root-detection. Таблица Frida vs Objection vs Xposed по задачам.

Root-detection и SSL pinning останавливают ленивого атакующего. Серверное API остаётся дырявым.

CVSS 9.8 в Telegram: zero-click RCE через стикер, который вы даже не открывали

Вам прислали стикер. Вы его не открывали. Вы даже не заходили в чат. Но код уже выполнился — Telegram распарсил медиа в фоне, и этого хватило.

В статье — полный технический разбор ZDI-CAN-30207: декомпозиция CVSS-вектора, реконструкция kill chain через медиа-парсеры (libwebp, rlottie, libvpx), анализ поверхности атаки по платформам и разбор спора между ZDI и Telegram, который отрицает наличие бага. Внутри — готовые Sysmon-конфиги, YARA-правила для кеша стикеров, Frida-хуки для перехвата парсинга и Wireshark-фильтры.

Практическое руководство: от немедленных мер защиты до самостоятельного фаззинга — для security-инженеров, пентестеров и исследователей уязвимостей.

[size] Сколько защиты нужно мобильному приложению, чтобы его не разобрали за один вечер? Вопрос неприятный, но очень прикладной. Если клиент после релиза слишком хорошо читается, спокойно цепляется во время выполнения и без особой боли ставится под сетевое наблюдение, дальше его уже начинают разбирать по слоям.

В тексте собран нормальный защитный контур для мобильного клиента: модель угроз, проверки на root и jailbreak, обфускация, контроль целостности, RASP, pinning, работа с хранилищем и самопроверка. Без воды и без иллюзий про одну волшебную защиту, которая всё закроет.

По пути разберём, где приложение обычно сыпется под нормальным разбором, почему отдельные меры часто живут слишком недолго и как собрать защиту так, чтобы клиент не слишком охотно объяснял, как он устроен, что проверяет и где у него слабые места.[/size]

Android 13+ пал: Как Frida и MobSF убивают защиту Google в 2025.

Помните времена, когда msfvenom за 5 минут взламывал любое Android-приложение? Забудьте. Google Play Protect детектирует 99% классических payload'ов, а Android 13+ требует hardware attestation для каждого чиха.

Но этичные хакеры адаптировались. В этом гайде раскрываем современный арсенал: runtime manipulation через Frida без root, автоматический анализ с MobSF и обход Play Integrity API через Magisk модули.

Практическое руководство с реальными скриптами, правовыми аспектами и bug bounty программами до ₽500,000 за находку.

Мобильные приложения стали основой цифровой жизни, но 43% из них содержат критические уязвимости. В 2025 году средний ущерб от мобильного инцидента достигает $3.2 миллиона, а рост угроз составил 151% только за полгода.

Узнаете про OWASP Mobile Top 10 уязвимостей и современные методы тестирования: от статического анализа кода (SAST) до динамического пентестинга. Разберём инструменты вроде MobSF, Frida и специализированные фреймворки для iOS/Android.

Получите практические рекомендации по защите данных: принципы Security by Design, правильное шифрование, многофакторная аутентификация и соответствие GDPR, HIPAA, PCI DSS требованиям.

Для разработчиков и специалистов по ИБ: кто хочет создавать безопасные мобильные приложения и защищать пользователей от растущих киберугроз в эпоху мобильной революции.

Android-шпионаж 2025: Как твой смартфон сливает 200+ параметров каждые 12 часов

Думаешь, отключил телеметрию в настройках? Реальность: Google получает данные через 15+ скрытых каналов — от Usage & Diagnostics до Nearby Devices, которые сканируют Bluetooth 24/7.

В этом гайде раскрываем архитектуру слежки Android и показываем, как ADB-командами без root отключить шпионские сервисы. Бонус: настройка mitmproxy для перехвата 340 запросов геолокации в день.

Практическое руководство с готовыми скриптами для Pixel, Samsung и Xiaomi — от базовой защиты до полной деgoogleизации через LineageOS.

Резюме

Виртуальная машина - отличный способ познакомиться с тестированием на проникновение мобильных приложений на базе OS андроид, но для полноценного bug bounty этот способ скорее всего не подойдет. Как бы я ни старался, некоторые apk запускаться отказываются. Так же есть проблемы при взаимодействии с камерой и микрофоном. Плюс довольно большие требования к компьютерному железу.

Этот гайд освещает только клиент-серверное взаимодействие.

Используемый софт:

• linux mint 20.1 lts (основная машина)
• virtualbox
• kali linux(виртуальная машина)
• genymotion

Установка genymotion

Genymotion - это виртуальная машина, на которой и будет крутиться наш виртуальный android. Устанавливаем virtualbox командой

Код:

sudo apt install virtualbox virtualbox-ext-pack

Без него genymotion не работает. Или инсталлируем из...

Статья является переводом. Оригинал вот тут

Нажмите, чтобы раскрыть...

Стремительное развитие и рост мобильных приложений несут в себе кучу уязвимостей, которые злоумышленники готовы эксплуатировать. Если вы разрабатываете приложения для Android и iOS-устройств и не успеваете за стратегиями пентеста, тогда вы должны быстро в них разобраться.

В этой статье я расскажу не только о пентесте приложений для Android, но и о том, как настроить LAB/ENVIRONMENT для тестирования Android, включая различные инструменты и скрипты с открытым исходным кодом.

Приложения для пентеста Android нуждаются в иных методиках, чем пентест веб-приложений. И эта разница заключается в том, что вы должны найти другой метод с помощью приложений для реверс-инженеринга. Кроме того, необходимо настроить эмулятор или реальное устройство в соответствии с типом приложений, которые вы хотите протестировать.

Введение
Архитектура Android:

Android - это система с открытым исходным кодом на базе Linux, созданная...