Какой первый вопрос должен быть в чате по мобильной безопасности?
Само собой главный вопрос, который всех интересует: “Как снять SSL Pinning?” Ну или на крайний случай, «Как обойти проверку на root”?
По сети сейчас гуляет репозиторий с фрида скриптом, который позволяет снимать пиннинг и обходить проверки на рута, так сказать два в одном!
Я долго до него добирался, так как ожидал увидеть что-то обыденное и давно известное. Но репозиторий приятно удивил! На самом деле, очень неплохая подборка способов обхода пиннинга, рута и детектов фриды.
Конечно, в особо замороченных приложениях это не спасет, но скрипт написан качественно и более того, его пока еще поддерживают.
Так что, как отправная точка, более чем!
#frida #root #sslpinning
Само собой главный вопрос, который всех интересует: “Как снять SSL Pinning?” Ну или на крайний случай, «Как обойти проверку на root”?
По сети сейчас гуляет репозиторий с фрида скриптом, который позволяет снимать пиннинг и обходить проверки на рута, так сказать два в одном!
Я долго до него добирался, так как ожидал увидеть что-то обыденное и давно известное. Но репозиторий приятно удивил! На самом деле, очень неплохая подборка способов обхода пиннинга, рута и детектов фриды.
Конечно, в особо замороченных приложениях это не спасет, но скрипт написан качественно и более того, его пока еще поддерживают.
Так что, как отправная точка, более чем!
#frida #root #sslpinning
GitHub
GitHub - 0xCD4/SSL-bypass: SSL bypass check
SSL bypass check. Contribute to 0xCD4/SSL-bypass development by creating an account on GitHub.
Секреты-секретики!
Очень классная статья про исследование iOS-приложений в Appstore и их тем секретам, что они хранят внутри себя!
Со своей стороны могу только подтвердить этот факт, мы неоднократно писали об этом. И про то как эти секреты обнаружить и проверить, и про то, как проверять и искать конкретно секреты от Firebase.
И часто на самом деле, iOS-приложения более подвержены этому риску, не знаю уж почему. Но если в Android применяют шифрование при хранении в local-storage, то в iOS чаще нет. Это же касается и секретов в коде.
Так что пожалуйста, проверяйте свои приложения и выпиливайте оттуда секреты. Ну или правильно настраивайте внешние сервисы!
Очень классная статья про исследование iOS-приложений в Appstore и их тем секретам, что они хранят внутри себя!
Со своей стороны могу только подтвердить этот факт, мы неоднократно писали об этом. И про то как эти секреты обнаружить и проверить, и про то, как проверять и искать конкретно секреты от Firebase.
И часто на самом деле, iOS-приложения более подвержены этому риску, не знаю уж почему. Но если в Android применяют шифрование при хранении в local-storage, то в iOS чаще нет. Это же касается и секретов в коде.
Так что пожалуйста, проверяйте свои приложения и выпиливайте оттуда секреты. Ну или правильно настраивайте внешние сервисы!
Cybernews
Massive research into iOS apps uncovers widespread secret leaks, abysmal coding practices
New research reveals 71% of Apple iOS apps contain hardcoded secrets, exposing sensitive keys that could lead to data breaches and unauthorized access to cloud storage.
Forwarded from НеКасперский
This media is not supported in your browser
VIEW IN TELEGRAM
Секретики
Яблочники по всему миру, сами того не подозревая, хранят свои банковские сведения в открытом доступе.
По данным Cybernews, более 156 тысяч приложений в App Store от Apple содержат в своих исходных кодах свыше 815 тысяч секретных сведений, включая платёжные системы, API, а также ключи к облачному хранилищу.
Исследователи обнаружили более 406 ТБ данных просто из-за того, что из 83 тысяч уязвимых конечных точек хранилищ 836 не требуют аутентификации.
Сотни конфиденциальных ключей могли быть использованы хакерами для компрометации личных данных пользователей, осуществления платежей и возвратов. Представители Cybernews обратились к Apple за комментариями, поэтому исход ситуации ещё только предстоит выяснить.
А пока напомним, что в 90% случаев мониторинг обновления приложений у корпорации занимает всего 24 часа. При этом самый крутой и известный бренд смартфонов не проверяет присутствие зашитых секретов в приложениях.
Где-то тихо улыбаются ведрофонеры 🤪
НеКасперский
Яблочники по всему миру, сами того не подозревая, хранят свои банковские сведения в открытом доступе.
По данным Cybernews, более 156 тысяч приложений в App Store от Apple содержат в своих исходных кодах свыше 815 тысяч секретных сведений, включая платёжные системы, API, а также ключи к облачному хранилищу.
Исследователи обнаружили более 406 ТБ данных просто из-за того, что из 83 тысяч уязвимых конечных точек хранилищ 836 не требуют аутентификации.
Сотни конфиденциальных ключей могли быть использованы хакерами для компрометации личных данных пользователей, осуществления платежей и возвратов. Представители Cybernews обратились к Apple за комментариями, поэтому исход ситуации ещё только предстоит выяснить.
А пока напомним, что в 90% случаев мониторинг обновления приложений у корпорации занимает всего 24 часа. При этом самый крутой и известный бренд смартфонов не проверяет присутствие зашитых секретов в приложениях.
Где-то тихо улыбаются ведрофонеры 🤪
НеКасперский
Forwarded from BlackFan
Изучая документацию jadx наткнулся на упоминание, что его можно подключить как библиотеку в свое Java приложение. И эта идея настолько понравилась, что в итоге вылилась в небольшой комбайн, который удобно использовать для первоначальной обработки JAR/WAR/APK приложений при анализе защищенности.
https://github.com/BlackFan/BFScan
BFScan анализирует строковые константы в Java-классах и ресурсах приложения для поиска строк, похожих на URL, пути или захардкоженные секреты.
А также формирует сырые HTTP запросы и OpenAPI спецификацию на основе конфигов, аннотаций методов и классов. При этом поддерживаются как клиентские библиотеки (например, Retrofit), используемые в APK для взаимодействия с бэкендом, так и серверные технологии, такие как Spring-аннотации. Что значительно облегчает тестирование API, когда тело HTTP запроса необходимо сформировать из десятка вложенных классов.
Рассмотрим пример работы утилиты с классом, использующим Spring-аннотации.
В случае, если обрабатываемое приложение использует поддерживаемую библиотеку, утилита сгенерирует файл, содержащий все HTTP запросы, поддерживаемые приложением.
Приложение удобно использовать как для клиентских приложений, когда вы анализируете API мобильного приложения. Так и в случае, если вы получили скомпилированный JAR/WAR от серверного приложения, для поиска в нем захардкоженных секретов или дальнейшего анализа API эндпоинтов, которое оно обрабатывает.
Если приложение обфусцировано, что часто бывает с APK, утилита проанализирует все аннотации и, если они похожи на типичное объявление API эндпоинтов, построит HTTP запросы на основе них. В случае, если данная функциональность сработала неправильно, используя jadx вы можно легко сформировать mapping-файлы для переименования обфусцированных классов и корректного формирования HTTP-запросов.
https://github.com/BlackFan/BFScan
BFScan анализирует строковые константы в Java-классах и ресурсах приложения для поиска строк, похожих на URL, пути или захардкоженные секреты.
А также формирует сырые HTTP запросы и OpenAPI спецификацию на основе конфигов, аннотаций методов и классов. При этом поддерживаются как клиентские библиотеки (например, Retrofit), используемые в APK для взаимодействия с бэкендом, так и серверные технологии, такие как Spring-аннотации. Что значительно облегчает тестирование API, когда тело HTTP запроса необходимо сформировать из десятка вложенных классов.
Рассмотрим пример работы утилиты с классом, использующим Spring-аннотации.
@RestController
@RequestMapping("/api")
public class UserController {
@PostMapping("createUser")
public String create(@RequestParam Optional<String> someParamName, @RequestBody User user) {
return "response";
}
В случае, если обрабатываемое приложение использует поддерживаемую библиотеку, утилита сгенерирует файл, содержащий все HTTP запросы, поддерживаемые приложением.
POST /api/createUser?someParamName=value HTTP/1.1
Host: localhost
Connection: close
Content-Type: application/json
{
"name": "name",
"age": 1
}
Приложение удобно использовать как для клиентских приложений, когда вы анализируете API мобильного приложения. Так и в случае, если вы получили скомпилированный JAR/WAR от серверного приложения, для поиска в нем захардкоженных секретов или дальнейшего анализа API эндпоинтов, которое оно обрабатывает.
Если приложение обфусцировано, что часто бывает с APK, утилита проанализирует все аннотации и, если они похожи на типичное объявление API эндпоинтов, построит HTTP запросы на основе них. В случае, если данная функциональность сработала неправильно, используя jadx вы можно легко сформировать mapping-файлы для переименования обфусцированных классов и корректного формирования HTTP-запросов.
Please open Telegram to view this post
VIEW IN TELEGRAM
Mobile AppSec World
🗓 03.04.2025 состоится форум «ТЕРРИТОРИЯ БЕЗОПАСНОСТИ 2025: все pro ИБ» - новаторское мероприятие, состоящее из ЧЕТЫРЕХ конференций и ВЫСТАВКИ отечественного ИБ-хозяйства. 📍 Hyatt Regency Moscow Petrovsky Park ❕ ЧЕТЫРЕ ЖАРКИЕ КОНФЕРЕНЦИИ 2025 ГОДА: ▫️PRO…
Розыгрыш билета на конференцию Территория Безопасности!
Всем привет!
Уже скоро пройдет конференция, которая мне очень понравилась в прошлом году, на которой я обязательно буду в этом и хотел бы пригласить и вас)
И конечно, как обещал, розыгрыш одной проходки на конференцию!
Условия конкурса:
1. В комментарии к этому посту оставляем комментарий с тэгом #ТБ
2. Форвардим этот пост или любой другой из канала знакомым/друзьям
В целом и все)
В среду среди отметившихся проведу розыгрыш через рандомайзер и отдам билет)
Очень жду вас, друзья) И увидимся обязательно на ТБ)
#конкурс #билеты #халява #территорияБезопасности
Всем привет!
Уже скоро пройдет конференция, которая мне очень понравилась в прошлом году, на которой я обязательно буду в этом и хотел бы пригласить и вас)
И конечно, как обещал, розыгрыш одной проходки на конференцию!
Условия конкурса:
1. В комментарии к этому посту оставляем комментарий с тэгом #ТБ
2. Форвардим этот пост или любой другой из канала знакомым/друзьям
В целом и все)
В среду среди отметившихся проведу розыгрыш через рандомайзер и отдам билет)
Очень жду вас, друзья) И увидимся обязательно на ТБ)
#конкурс #билеты #халява #территорияБезопасности
Встретимся на вебинаре!
Все, кому интересна тема анализа OpenSource, приходите, не пожалеете)
Уже завтра!
Все, кому интересна тема анализа OpenSource, приходите, не пожалеете)
Уже завтра!
Forwarded from Swordfish Security
Присоединяйтесь к серии вебинаров от экспертов Swordfish Security, Ассоциации ФинТех и сообщества FinDevSecOps! Разберем реальные кейсы и передовые методики безопасной разработки приложений в финансовом секторе.
Первый вебинар: "Открытый код, скрытые проблемы" -
Что обсудим?
Спикеры:
- Вера Багно, AppSec-инженер, Swordfish Security
- Татьяна Билык, лидер FDSO, директор проектов АФТ
- Карапет Манасян, идеолог и сооснователь FDSO, CPO MOEX
🎁 Подарок каждому участнику - гайд по практикам OSA и SCA!
Будет полезно:
- CISO
- Разработчикам приложений
- DevSecOps-специалистам
- AppSec инженерам
👉 Регистрируйтесь по ссылке и готовьте ваши вопросы!
#ВебинарыSFS
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from RutheniumOS
Google прикрывает лавочку AOSP?
Поступок Google в марте 2025-го шокировал: вся разработка Android уходит за закрытые двери. Больше никаких открытых коммитов в AOSP (Android Open Source Project) в реальном времени — теперь только готовый код после релиза. Зачем это Гуглу, что это значит для нас и как теперь жить?
AOSP: Открытость на паузе
AOSP — это сердце Android, открытый код, который любой может взять и крутить. Samsung делает One UI, Xiaomi — MIUI, а гики пилят LineageOS. Google рулит проектом, но раньше часть работы велась публично через AOSP Gerrit — там можно было подсмотреть, что готовится в новой версии. Теперь — всё. С 31 марта 2025-го разработка уходит в секретные внутренние ветки, доступные только партнёрам с лицензией GMS (Google Mobile Services). Код в AOSP выложат только после финального релиза — типа Android 16 или патчей.
Зачем?
Google говорит: так проще. Публичная ветка отставала от внутренней — сравни AOSP и бету Android 16: функции и API вечно запаздывали. Синхронизация веток ханимала время, патчи конфликтовали (вспомни настройку экранной лупы — гемор ещё тот). Теперь всё в одном месте, без лишней возни. Но есть нюанс: открытость AOSP была фишкой Android 16+ лет. Это шаг назад?
Как это работает
Google всегда держал две ветки: публичную AOSP и внутреннюю для своих и OEM’ов (Samsung, Qualcomm и ко). Код всё ещё выложат под Apache 2.0, но не в процессе, а постфактум. Для юзеров и девелоперов — ноль изменений. Pixel’ы и Galaxy обновятся как обычно, Play Store не тронут. Но для следящих за коммитами в поисаках интересного (типа упоминания Pixel 10), и контрибьюторов — ад. Отслеживать прогресс разработки станет сложнее.
Плюсы и минусы
Google обещает ускорение разработки — меньше багов, быстрее релизы. OEM’ы с GMS-доступом тоже в шоколаде: они и так видят черновики. Но кастомщики вроде LineageOS или GrapheneOS в пролёте — им ждать финального кода, а не смотреть исходники. Меньше спойлеров о новых фишках (прощай, ранний слив через Gerrit). И главное: внешние патчи в AOSP могут устареть, пока Google пилит своё втихую.
Что дальше?
Android не становится закрытым — код всё ещё открыт после релиза. Но процесс теперь больше похож на iOS: разработка в бункере, а не на виду. Для бизнеса и юзеров — пофиг, для энтузиастов — удар. Google хочет упростить себе жизнь, но теряет дух открытости, который тянул Android вверх. В 2025-м это уже не "Linux для телефонов", а продукт под замком.
Делаем ставки, что будет дальше и ждем реакции разработчиков отечественных форков AOSP
Источник
Поступок Google в марте 2025-го шокировал: вся разработка Android уходит за закрытые двери. Больше никаких открытых коммитов в AOSP (Android Open Source Project) в реальном времени — теперь только готовый код после релиза. Зачем это Гуглу, что это значит для нас и как теперь жить?
AOSP: Открытость на паузе
AOSP — это сердце Android, открытый код, который любой может взять и крутить. Samsung делает One UI, Xiaomi — MIUI, а гики пилят LineageOS. Google рулит проектом, но раньше часть работы велась публично через AOSP Gerrit — там можно было подсмотреть, что готовится в новой версии. Теперь — всё. С 31 марта 2025-го разработка уходит в секретные внутренние ветки, доступные только партнёрам с лицензией GMS (Google Mobile Services). Код в AOSP выложат только после финального релиза — типа Android 16 или патчей.
Зачем?
Google говорит: так проще. Публичная ветка отставала от внутренней — сравни AOSP и бету Android 16: функции и API вечно запаздывали. Синхронизация веток ханимала время, патчи конфликтовали (вспомни настройку экранной лупы — гемор ещё тот). Теперь всё в одном месте, без лишней возни. Но есть нюанс: открытость AOSP была фишкой Android 16+ лет. Это шаг назад?
Как это работает
Google всегда держал две ветки: публичную AOSP и внутреннюю для своих и OEM’ов (Samsung, Qualcomm и ко). Код всё ещё выложат под Apache 2.0, но не в процессе, а постфактум. Для юзеров и девелоперов — ноль изменений. Pixel’ы и Galaxy обновятся как обычно, Play Store не тронут. Но для следящих за коммитами в поисаках интересного (типа упоминания Pixel 10), и контрибьюторов — ад. Отслеживать прогресс разработки станет сложнее.
Плюсы и минусы
Google обещает ускорение разработки — меньше багов, быстрее релизы. OEM’ы с GMS-доступом тоже в шоколаде: они и так видят черновики. Но кастомщики вроде LineageOS или GrapheneOS в пролёте — им ждать финального кода, а не смотреть исходники. Меньше спойлеров о новых фишках (прощай, ранний слив через Gerrit). И главное: внешние патчи в AOSP могут устареть, пока Google пилит своё втихую.
Что дальше?
Android не становится закрытым — код всё ещё открыт после релиза. Но процесс теперь больше похож на iOS: разработка в бункере, а не на виду. Для бизнеса и юзеров — пофиг, для энтузиастов — удар. Google хочет упростить себе жизнь, но теряет дух открытости, который тянул Android вверх. В 2025-м это уже не "Linux для телефонов", а продукт под замком.
Делаем ставки, что будет дальше и ждем реакции разработчиков отечественных форков AOSP
Источник
Mobile AppSec World
Розыгрыш билета на конференцию Территория Безопасности! Всем привет! Уже скоро пройдет конференция, которая мне очень понравилась в прошлом году, на которой я обязательно буду в этом и хотел бы пригласить и вас) И конечно, как обещал, розыгрыш одной проходки…
Я немного задержался, простите :)
Сегодня днем разыграем)
Сегодня днем разыграем)
Media is too big
VIEW IN TELEGRAM
Итоги розыгрыша на конференцию Территория Безопасности
Итак, великим рандомайзером из всех участников был выбран @aleks_8l8!
Поздравляю тебя!
Приходи к нам на стенд обязательно, подарим немного мерча)
Спасибо всем, кто участвовал!
Итак, великим рандомайзером из всех участников был выбран @aleks_8l8!
Поздравляю тебя!
Приходи к нам на стенд обязательно, подарим немного мерча)
Спасибо всем, кто участвовал!
Загрузка приложений из AppStore больше не работает!
А пока мы спокойно отдыхаем на выходных, Apple изменила свой API и теперь ни один инструмент по загрузке приложений из AppStore больше не работает. Сломаны ipatool, ipatool-py, наша интеграция и всё, что удалось найти :) Спасибо Apple за чудесные новости!
В репозитории ipatool энтузиасты пытаются найти решение, но пока все тщетно. Есть вроде способ с kbsync на айфоне (но придется его пересобрать) или с патчингом iTunes на Windows, но пока нет подверждения, что они еще работают.
Так что ждем, исследуем, пробуем и надеемся что загрузка приложений снова станет доступной 😠
А пока мы спокойно отдыхаем на выходных, Apple изменила свой API и теперь ни один инструмент по загрузке приложений из AppStore больше не работает. Сломаны ipatool, ipatool-py, наша интеграция и всё, что удалось найти :) Спасибо Apple за чудесные новости!
В репозитории ipatool энтузиасты пытаются найти решение, но пока все тщетно. Есть вроде способ с kbsync на айфоне (но придется его пересобрать) или с патчингом iTunes на Windows, но пока нет подверждения, что они еще работают.
Так что ждем, исследуем, пробуем и надеемся что загрузка приложений снова станет доступной 😠
GitHub
majd/ipatool
Command-line tool that allows searching and downloading app packages (known as ipa files) from the iOS App Store - majd/ipatool
Жизненный цикл Activity в Android
Ну а пока iOS-приложения не скачиваются, можно поизучать детальнее Android ;)
И у ребят из k8s как раз есть отличная статья про Activity Lifecycle. Какие есть состояния, какая логика перехода между ними, какие атаки есть на Activity и т.д.
Очень полезный материал, который поможет лучше узнать, как работают приложения внутри, а без этого понимания очень сложно их ломать и что-то придумывать :)
Хороших всем выходных!
#Android #activity
Ну а пока iOS-приложения не скачиваются, можно поизучать детальнее Android ;)
И у ребят из k8s как раз есть отличная статья про Activity Lifecycle. Какие есть состояния, какая логика перехода между ними, какие атаки есть на Activity и т.д.
Очень полезный материал, который поможет лучше узнать, как работают приложения внутри, а без этого понимания очень сложно их ломать и что-то придумывать :)
Хороших всем выходных!
#Android #activity
Опубликована программа AppsConf
Итак, друзья, прошла вчера конференция Код Безопасности, смотрим вперед)
Следующая по плану у нас конференция для мобильщиков - AppsConf!
У нее уже опубликована программа, я туда к сожалению не попал, потому что продолбал все сроки по заявке 😁
Но, я планирую обязательно пойти туда и послушать доклады, потому что правда очень много интересного, а руку нужно держать "на пульсе" и смотреть, что нового и интересного есть в мире мобильной разработки!
Так что жду вас тоже на мероприятии! И да, скоро тоже разыграем билет одному из подписчиков, ждите новостей и конкурса 😎
Итак, друзья, прошла вчера конференция Код Безопасности, смотрим вперед)
Следующая по плану у нас конференция для мобильщиков - AppsConf!
У нее уже опубликована программа, я туда к сожалению не попал, потому что продолбал все сроки по заявке 😁
Но, я планирую обязательно пойти туда и послушать доклады, потому что правда очень много интересного, а руку нужно держать "на пульсе" и смотреть, что нового и интересного есть в мире мобильной разработки!
Так что жду вас тоже на мероприятии! И да, скоро тоже разыграем билет одному из подписчиков, ждите новостей и конкурса 😎
appsconf.ru
Профессиональная
конференция разработчиков мобильных приложений 2025: Список тезисов
конференция разработчиков мобильных приложений 2025: Список тезисов
Заявки на доклады и список принятых докладов. Тезисы конференции, информация о докладчиках.
И снова анонс!
Мне очень нравятся ребята из PVC, их продукт и главное их маскот :D
И я очень рад, что у нас будет совместный с ними вебинар, куда вас всех и приглашаю)
Мне очень нравятся ребята из PVC, их продукт и главное их маскот :D
И я очень рад, что у нас будет совместный с ними вебинар, куда вас всех и приглашаю)
Forwarded from AppSec Solutions
Расскажем, как повысить безопасность вашего кода с помощью современных инструментов.
AppSec.Hub — платформа DevSecOps от AppSec Solutions, которая автоматизирует внедрение инструментов безопасности и управление процессами безопасной разработки, и PVS-Studio — мощный статический анализатор, выявляющий ошибки и уязвимости в коде.
На вебинаре эксперты продемонстрируют возможности продуктов и покажут, как интегрировать PVS-Studio в AppSec.Hub для создания эффективного конвейера DevSecOps.
Узнайте, как сократить время на поиск уязвимостей и улучшить качество вашего ПО!
🗓16 апреля 12:00
Ссылка на регистрацию
#AppSec_Вебинары
Please open Telegram to view this post
VIEW IN TELEGRAM
Приятно, когда твои материалы используют!
Спасибо!
Кстати, надо бы обновить awesome репозиторий, займусь на неделе)
:)
Спасибо!
Кстати, надо бы обновить awesome репозиторий, займусь на неделе)
:)
Forwarded from S.E.Book
• Здесь собраны материалы, которые могут быть полезны с практической точки зрения. Из них можно узнать о способах атак на приложения, прочитать об уязвимостях, изучить, как работают механизмы операционной системы и т.д.:
• iOS Security Awesome:
• Android Security Awesome:
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
на и раз пошел такой разговор, еще подборочка для начинающих)
Forwarded from Дневник Комбеза
Полезные материалы по безопасности мобильных приложений
Попросили сформировать минимальный набор ресурсов, которые я бы порекомендовал к ознакомлению, если вам интересна безопасность мобильных приложений.
Понятно что этот список охватывает только самые базовые моменты, но ресурсов должно быть достаточно для понимания того куда двигаться дальше.
БАЗА:
(В этом разделе основные ресурсы с которыми вы будете сталкиваться на работе + вектора атак для понимания от кого мы защищаемся)
- OWASP Mobile Top 10
- MASVS/MASWE/MASTG
- Сценарии атак на МП
Курсы и циклы статей:
(Статьи и курсы которые я бы мог рекомендовать для совсем начинающих или тех кто дне понимает с чего начать)
- Инструменты анализа безопасности Android
- Не плохие бесплатные курсы по безопасности МП
- Cборник с заметками, apk тасками и книгами
Книги:
(Для тех кому нравится читать)
- Android глазами хакера
- Хакинг на Android
- Android Security Internals
Каналы и блоги:
(Люди за которыми стоит следить для повышения погружения)
- Блог Сергея Тошина о безопасности мобилок
- Канал сообщества Android Guards
- Блог Юрия Шабалина
- (Не)Уникальный опыт
- iOS Helper
Возможно со временем что-то дополню :)
Попросили сформировать минимальный набор ресурсов, которые я бы порекомендовал к ознакомлению, если вам интересна безопасность мобильных приложений.
Понятно что этот список охватывает только самые базовые моменты, но ресурсов должно быть достаточно для понимания того куда двигаться дальше.
БАЗА:
(В этом разделе основные ресурсы с которыми вы будете сталкиваться на работе + вектора атак для понимания от кого мы защищаемся)
- OWASP Mobile Top 10
- MASVS/MASWE/MASTG
- Сценарии атак на МП
Курсы и циклы статей:
(Статьи и курсы которые я бы мог рекомендовать для совсем начинающих или тех кто дне понимает с чего начать)
- Инструменты анализа безопасности Android
- Не плохие бесплатные курсы по безопасности МП
- Cборник с заметками, apk тасками и книгами
Книги:
(Для тех кому нравится читать)
- Android глазами хакера
- Хакинг на Android
- Android Security Internals
Каналы и блоги:
(Люди за которыми стоит следить для повышения погружения)
- Блог Сергея Тошина о безопасности мобилок
- Канал сообщества Android Guards
- Блог Юрия Шабалина
- (Не)Уникальный опыт
- iOS Helper
Возможно со временем что-то дополню :)
Хабр
Безопасность мобильных устройств и приложений: пять популярных сценариев атак и способы защиты
Изображение: Unsplash Современные мобильные устройства очень сложны, и это дает злоумышленникам возможности для проведения атак. Для взлома вашего смартфона может быть использовано буквально все — от...