(не)Уникальный опыт

AI для мобильного хакинга

Sat, 30 May 2026 00:00:00 +0000

Текст создан искуственным интеллектом. Естественный не использовался.

Инъекция для атлета

Fri, 14 Nov 2025 00:00:00 +0000

После очередной тренировки на которой у меня опять не работал GPS, я решил попробовать покопать прошивку моих спортивных часов чтобы попытаться понять в чем может быть проблема. Прошивки в свободном доступе я не нашел, поэтому решил зайти со стороны android приложения и проверить можно ли получить прошивку через него. Так и началась эта история…

Миграция на Frida 17

Sun, 21 Sep 2025 00:00:00 +0000

Жили мы все спокойно, вяло сражались с мелкими проблемами, которые подкидывала нам тетя Frida и даже почти научились с ними быстро справляться. Когда в один прекрасный день, 17 мая 2025 года, мир изменился и никогда больше не будет прежним….

Этот все, несите следующего

Tue, 31 Dec 2024 00:00:00 +0000

Не так часто тут бывают ретроспективы, но в этот раз я почему-то решил ее провести. Есть о чем рассказать и чем поделиться. Обещаю, что этот пост не будет повествованием о моих дивных творческих планах, о прекрасных днях проведенного года и всем таком прочем, что совершенно бесполезно для случайного читателя. Попробую нанести только непоправимую пользу, рассказать об интересных находках в этом году и поразмышлять о вероятном будущем мобильной индустрии.

Отлучаем сервисы от 443-го порта

Sun, 24 Nov 2024 00:00:00 +0000

Все любят 443-й порт. А некоторые еще и 80-й. Короче таких любителей много, а порт один и повесить все сервисы на один порт невозможно. Ну вообще возможно все. Если захотеть. И использовать правильные инструменты.

Есть у меня Raspberry Pi на котором крутились разные сервисы и до поры не мешали друг-другу. 80-й и 443-й порты занимал zwift-offline. Я понимаю по какой причине они захардкодили эти порты, но не понимаю почему они не оставили возможности их изменения для работы через прокси. Но мы это починим и довольно скоро. Так вот, жил у меня весь этот зоопарк пока не появилась необходимость поднять еще один подобный сервис, который тоже хочет 443-й порт, да еще и со своим сертификатом. Ну в общем требования такие же как у zwift-offline. Осталось придумать как все это засунуть в бедную Raspberry Pi и заставить работать.

Аутентификация по короткому коду с поддержкой биометрии. Почти RFC

Thu, 07 Nov 2024 00:00:00 +0000

Году эдак в 2021-м, мне по служебной необходимости понадобилось переосмыслить подход к аутентификации по пин-коду и сделать эту процедуру максимально безопасной настолько, насколько это вообще возможно для мобильных устройств. Получилось нечто вроде RFC. Я уже упоминал этот документ в видео “Как взломать PIN-код | Теория, практика и векторы атаки”, но тогда его публиковать было нельзя. Теперь можно.

Приятного чтения!

Сломалась кнопка на наушниках zKissfashion

Sat, 26 Oct 2024 00:00:00 +0000

Попались мне на ремонт максимально китайские наушники “zKissfashion Наушники беспроводные с микрофоном zKissfashion BE1201, Bluetooth, зеленый”, цена которым 500 рублей. Сломалась кнопка уменьшения громкости. Резонный вопрос: зачем их вообще чинить за такую цену? Не проще ли выкинуть и купить новые? Наверное. Но я решил, что смогу их починить просто потому что я могу. А заодно расскажу вам как они разбираются и покажу как там все устроено внутри (листингов из дизассемблера не будет, я обещаю).

Android Jetpack Navigation: Go Even Deeper

Wed, 14 Aug 2024 00:00:00 +0000

Предыдущее исследование

Некоторое время назад мой коллега нашел интересную уязвимость в библиотеке Jetpack Navigation, которая позволяет открывать любой экран приложения в обход существующих ограничений для компонентов не являющихся экспортированными, а следовательно недоступными для других приложений. Суть проблемы в наличии неявного механизма обработки depplink-ов, с которым может взаимодействовать любое приложение на устройстве. Это исследование завершилось тем, что компания Google добавила в документацию к библиотеке следующее предупреждение:

Проблема этого предупреждения в том, что оно, исходя из контекста документации, касается только API для создания явных deeplink-ов. Хотя на самом деле проблема гораздо глубже. Но давайте обо всем по порядку.

Три случайных уязвимости

Mon, 01 Jul 2024 00:00:00 +0000

В рамках стажировки PT Start от компании Positive Technologies поучаствовал в роли спикера на интенсиве по безопасности мобильных приложений. Всего, что там происходило в паблик не раскрою, но разбор трех уязвимостей, про которые рассказывал студентам, покажу. Две из них нашел я сам, а третья просто показалась мне очень интересной по ряду причин, которые станут понятны далее.

CVE-2023-40121

Wed, 13 Mar 2024 00:00:00 +0000

В одном из бюллетеней безопасности ребята из Google рассказали про исправление интересной уязвимости в коде, отвечающем за работу с SQLite. Сам фикс довольно простой, да и сама уязвимость не то чтобы сильно страшная, но вот причины ее возникновения затрагивают очень глубокие и темные слои технологий кодирования информации. Поэтому давайте разберемся что же там под капотом и научимся эксплуатировать подобные уязвимости за границами android.

Святая корова SSL Pinning-а

Wed, 31 Jan 2024 00:00:00 +0000

Долгое время я советовал всем разработчикам включать SSL Pinning в своих приложениях, чтобы защитить пользователей от MITM атак. И многие до сих пор делают это по инерции, даже не задумываясь о том так ли это необходимо, и от чего это вообще защищает. Пришло время разобраться и расставить все точки в вопросе про необходимость реализации этого подхода в ваших приложениях.

– Стой и не шевелись! Я тебя породил, я тебя и убью!

Как вкатиться в безопасность android приложений в 2024

Sat, 06 Jan 2024 00:00:00 +0000

С завидным постоянством получаю подобные вопросы лично или вижу их в нашем уютном чате Android Guards. Поэтому решил систематизировать информацию чтобы упростить процедуру входа как для тех, кто только начинает свой путь в инфобезе, так и для тех, кто уже что-то умеет в соседних областях.

OWASP Mobile Top Ten 2023

Fri, 10 Nov 2023 00:00:00 +0000

Как-то тихо и незаметно для меня релизнулась новая редакция OWASP для мобилок. После ознакомления с новой редакцией появилось несколько мыслей, которыми хотел поделиться. Ну и в целом попытался простыми словами передать суть пунктов чтобы инфобез-неофитам и разработчикам было проще понять суть происходящего.

Путь программиста: альтернативный сценарий

Wed, 30 Aug 2023 00:00:00 +0000

Я уже как-то писал свои соображения на тему того, как может выглядеть путь развития программиста. С тех пор прошло больше трех лет, и несмотря на то, что статья не потеряла актуальности я решил ее немного дополнить описанием альтернативной ветки развития, которая тоже про IT, но немного про другое IT. Не то, к которому привык среднестатистический ~~смузихлеб из коворкинга~~ писатель кода руками. Поговорим про путь разработчика в безопасность, а в частности про offensive security. Заварите себе чего-нибудь ядреного и погнали.

Эволюция уязвимостей в приложениях для Android

Wed, 24 May 2023 00:00:00 +0000

История развития приложений для Android прошла несколько заметных этапов: небольшие приложения, работающие локально, клиент-серверные приложения, экосистемы приложений и суперапы (super-app). Каждый из этих этапов повышал планку сложности, порождал новые уязвимости и заставлял разработчиков все больше заботиться о безопасности как самих приложений, так и данных, которыми они оперируют. Развивалась и сама операционная система, предоставляя разработчикам больше возможностей и механизмов обеспечения безопасности. Но в этой системе уравнений всегда несколько больше неизвестных, чем кажется на первый взгляд. Эта статья о том, как эволюционировали уязвимости мобильных приложений, что на это влияло, какие уязвимости актуальны сейчас и какие ждут нас в будущем.

Безопасность мобильных приложений и устройств

Tue, 23 May 2023 00:00:00 +0000

За 2022 год наша команда обнаружила 216 уязвимостей в 25 парах исследованных приложений для платформ Android и iOS. Наибольшая доля уязвимостей (14%) пришлась на хранение пользовательских данных в открытом виде. Несмотря на усилия со стороны разработчиков операционных систем и сообществ по безопасной разработке приложений, этот класс уязвимостей продолжает уверенно сохранять лидерство несколько лет подряд. Описанный тренд сохранит актуальность в 2023 году, хотя использовать криптографию в мобильных приложениях сегодня очень просто: и вендорские, и опенсорсные решения облегчают разработчикам работу с криптографическими примитивами. Второе место поделили между собой уязвимости, касающиеся проверки целостности приложений и хранения конфиденциальной информации в коде (по 9%). Замыкает тройку лидеров класс уязвимостей, связанных с проверками на недоверенное окружение (8%).

Заводим USRP B200-mini-i под macOS на M1

Tue, 18 Apr 2023 00:00:00 +0000

Я уже какое-то время изучаю SDR, и вот наконец-то мне приехала более серьезная игрушка чем RTL-SDR, с которой я упражнялся ранее.

Строго говоря, это не оригинальная B200-mini-i от Ettus Research, а ее китайский клон. Но так распорядилась судьба 🤗 По основным компонентам она сопоставима, поэтому жить можно.

Каких-то особых трудностей в том, чтобы заставить ее работать у меня не возникло, но для ее правильной работы все равно требуется пройти некоторый базовый сценарий. Его я и собираюсь описать.

Как установить jailbreak на iPhone X

Mon, 27 Feb 2023 00:00:00 +0000

Короткий туториал для тех кто хочет прямо с двух ног заскочить в исследование приложений под iOS, но не хочет изучать тонну информации о разных видах jailbreak-ов, которые работают под какие-то определенные версии, зависят фазы луны и прочее.

Деобфускация в уме: Часть 1

Thu, 16 Feb 2023 00:00:00 +0000

Если вам на секунду показалось, что название статьи вам смутно знакомо, то вам не показалось.

Очень часто под рукой не оказывается ни отладчика, ни дизассемблера, ни даже компилятора, чтобы набросать хотя бы примитивный трассировщик. Разумеется, что говорить о взломе современных защитных механизмов в таких условиях просто смешно, но что делать если жизнь заставляет?

Касперски Крис

Я задумал этот цикл статей, как попытку составить некий справочник того, как в android приложениях написанных на Kotlin, могут выглядеть разные куски кода обфусцированные с помощью Proguard.

Бассейн со строками

Sun, 25 Dec 2022 00:00:00 +0000

Бывает так, что долго-долго собираюсь написать про какую-то тему и не нахожу на это время, а потом приходит человек и задает на эту тему вопрос (спасибо тебе, человек!), после которого находятся силы и время сделать разбор интересной темы.

Речь пойдет об организации памяти в JVM и таком явлении как String pool, а также почему нельзя так просто взять и удалить секретную информацию из памяти android приложения.

Внутри много картинок!

Непокорный ReactNative

Wed, 16 Nov 2022 00:00:00 +0000

По моему скромному мнению - ReactNative уже прошел свой пик популярности в разработке мобильных приложений и дальше будет постепенно покидать эту область. Зачем он нужен, если есть божественный Flutter? 🤪 Но такие приложения все еще встречаются и порой доставляют проблемы исследователям безопасности. Впрочем, когда нас это останавливало? 😎

Как получить root права на OPPO A16

Wed, 20 Jul 2022 00:00:00 +0000

Подозреваю, что есть больше одного способа получить root права на этом устройстве. В сети есть даже туториалы разной степени работоспособности. Часть из них требует каких-то сумрачных виндовых программ (в т.ч. платных), другая часть просто не работает или демонстрирует полное непонимание вопроса автором туториала. Поковырявшись с этим всем великолепием, я решил написать тот самый, правильный туториал©, который хотел бы прочитать сам в начале пути.

Любое количество кирпичей, образовавшихся в результате описываемых ниже действий - на вашей совести.

Биометрическая недоаутентификация

Mon, 16 May 2022 00:00:00 +0000

Много уже написано и сказано про биометрическую аутентификацию в android приложениях. И это не прошло бесследно. Вижу много приложений где флоу аутентификации биометрия+пин-код сделан по всем канонам безопасности. Но дьявол кроется в деталях. И сегодня я покажу как всего один флаг способен умножить на 0 отлично выстроенную систему аутентификации. Речь пойдет об одном широко известном приложении 🤐

Ядовитая экосистема

Fri, 29 Apr 2022 00:00:00 +0000

Несколько лет назад был тренд на постройку экосистем мобильных приложений. Это же так круто, когда приложения одной компании могут общаться друг с другом используя какие-то системные механизмы и дарить радость пользователю. Потом правда маятник качнулся в другую сторону и все начали делать суперапы, но о проблемах связанных с ними мы поговорим в другой раз. Сегодня разберем один интересный баг, который хорошо показывает почему доверие внутри экосистемы должно базироваться на чем-то более надежном чем просто имя пакета.

NeoQUEST 2022: Задание 7

Tue, 29 Mar 2022 00:00:00 +0000

Выкрасть телефон – было малым делом, а вот взломать его сложнее. Но тут в дело вступает Том, который умеет взламывать такие приложения, словно это орешки!

Тома под рукой у меня не оказалось, поэтому как всегда пришлось делать все самому.

tl;dr

Вызвать метод AIDL интерфейса чтобы стригерить получение картинки из нативной библиотеки
открыть activity DraftPerArtistActivity_90vbsf45
посмотреть имя художника
взять от него sha256 и отправить в качестве ключа.

Проблемы с безопасностью в Python

Sat, 12 Mar 2022 00:00:00 +0000

Среди Python-боярей принято ругать язык PHP и программистов, которые на нем пишут. Дескать, дизайн языка ужасный, разработчики формошлепы, уязвимости лезут из каждого $_GET['id'] и как на таком говне вообще можно что-то разрабатывать в 202х году.

А что сам Python? Как там с безопасностью? Очевидно, что как и везде - плохо. При чем это “плохо” часто приобретает довольно неявные формы. О них и поговорим.

Школа выживания в природных условиях

Sun, 06 Mar 2022 00:00:00 +0000

Человек, оказавшийся в глухом бесконечном лесу, на безлюдном морском побережье, на опасной горной тропе, может и должен выжить.

Как разжечь костер из лошадиного говна, приготовить суп из березовой коры и профильтровать воду через носок с древесным углем я рассказывать вам не буду. Время для этой статьи еще не настало. Вместо этого мне стали все чаще задавать вопросы про VPN и прочие вынужденные меры. Об этом и поговорим. Если вы ожидаете увидеть гайд по настройке VPN, то вам не сюда. Не тратье свое время, лучше погуглите туториал.

Android 13 Developer Preview 1: Что там по безопасности?

Fri, 11 Feb 2022 00:00:00 +0000

Вышла первая версия нового Android 13, и Google обещает, что этот билд продолжит делать нам всем хорошо в плане приватности, безопасности и вообще котики никогда не умрут. Давайте посмотрим, что нового там завезли и стоит ли оно внимания.

Перехват трафика в Android. Большой гайд.

Tue, 25 Jan 2022 00:00:00 +0000

Зачем еще одна статья?

Задача перехвата трафика android приложений довольно хорошо описана на куче языков и даже не нужно уметь гуглить чтобы найти информацию о том, как настроить прокси и посмотреть заветные запросы. Даже набившая уже всем оскомину тема “как отломать ssl pinning” была множество раз разжевана и надо быть по пояс странным чтобы в этом не разобраться.

…когда ты слишком долго в пути, когда тебя обуревает жадность, приходит черный пес чтобы отобрать у тебя все.
Черный пес (1998)

Да… потом появляется то самое приложение, которое вопреки всем настройкам не хочет работать через прокси. Или через прокси проходит только часть трафика. В такой ситуации лучше не начинать нажимать все подряд, чтобы не увеличивать энтропию происходящего, а подойти к вопросу системно и последовательно попробовать разные методы для решения этой проблемы.

Часть 3: Атаки на биометрические системы

Sun, 12 Dec 2021 00:00:03 +0300

До Android 6.0 не было единого стандартизованного API для работы со сканером отпечатков и четких требований к реализации, поэтому производители прикручивали эту функцию как попало.

Часть 2: Как устроена биометрия в Android

Sun, 12 Dec 2021 00:00:02 +0300

Начиная с версии 6.0, Google выпустил документ в котором предъявил требования к устройствам на базе Android оборудованных датчиком отпечатков пальцев:

Часть 1: Как работают системы биометрической аутентификации

Sun, 12 Dec 2021 00:00:01 +0300

Типы сканеров

Оптический

Этот вид сенсора работает по простому принципу: есть фоточувствительная матрица (в большинстве случаев это ПЗС, которая используется во многих современных камерах) и несколько небольших светоизлучателей, которые подсвечивают поверхность пальца.

Свет отражается от папиллярного узора, и в зависимости от того, попал луч света на гребень или на впадину, интенсивность его варьируется.

Внешнее стекло такого сканера тонкое, чтобы вызвать эффект полного нарушенного внутреннего отражения. Из-за этого эффекта свет в местах контакта кожи со стеклом — на гребнях — полностью отражается в фотосенсор

Drozer, эмулятор и эльфийские костыли

Fri, 20 Aug 2021 00:00:00 +0000

Вам когда-нибудь хотелось странного? Например запустить drozer в docker-контейнере и достучаться с него до эмулятора на том же хосте? Казалось бы задача предельно простая и понятная. Запускаем эмулятор, на нем drozer-agent, пробрасываем порты, заводим контейнер говорим drozer console connect —server <locahost ip> и…. ничего не происходит. При этом если попытаться таким образом подключиться на девайс, который висит на другом ip, то все будет хорошо. Давайте разбираться и чинить.

Повелители DOOM

Mon, 16 Aug 2021 00:00:00 +0000

Однажды Джей решил проверить, насколько Кармак сосредоточен, вставив кассету с порно в видеомагнитофон и включив фильм на полную громкость

Давненько я не читал таких хороших историй, как в этой книге. Зарождение и трансформация целой индустрии это вам не хрен собачий и путь компании id Software однозначно стоит внимания любого программиста, даже если он никогда не собирается работать в игровой индустрии. Не знаю был ли как-то специально идеализирован образ Джона Кармака в этой книге, но его подходы к работе впечатляют. В моем понимании так должен действовать каждый инженер-программист, который хочет делать что-то действительно стоящее внимания.

Создаем reverse proxy с mTLS на Ktor

Sun, 01 Aug 2021 00:00:00 +0000

Если вы любите интегрироваться с внешними системами, которые придерживаются высоких стандартов безопасности, то наверняка сталкивались с такой штукой как Mutual TLS (aka взаимная TLS аутентификация или mTLS). Ничего особенно сложного в такой интеграции нет. За исключением двух нюансов:

Интеграцию придется делать в каждом сервисе
В каждый сервис нужно положить клиентские сертификаты для прохожения хэндшейка mTLS

И если с первым нюансом можно как-то жить и мириться, то второй уже вызывает гораздо больше проблем и приводит к грустным лицам вашей команды инфобеза. Чтобы сделать их снова счастливыми, а заодно ликвидировать потребность писать один и тот же код в каждом сервисе — можно сделать умный reverse proxy, который возьмет на себя все тяготы и лишения связанные с хэндшейком и возможно какой-то другой дополнительной логикой, которую накрутили авторы внешней системы. Делать это хозяйство будем на Ktor, потому что почему бы и нет ;)

Kotlin ❤️ Backend

Thu, 15 Apr 2021 00:00:00 +0000

Какое-то время назад я проводил сравнение JVM фреймворков для разработки backend-сервисов. Задача оказалась довольно амбициозной и затратной по времени, поэтому я ее так и не доделал до конца. Но часть вещей все же удалось сравнить из описать. Я решил, что не пропадать же тексту зря и публикую здесь кусок который касается набирающего сейчас популярного фреймворка - Ktor.

Вздулся аккумулятор на IQAir AirVisual Pro

Sat, 26 Dec 2020 13:32:56 +0300

Пару лет назад я загорелся идеей мониторинга качества воздуха и уровня углекислого газа. Решив, что у меня не так много свободного времени, я не стал как обычно колхозить свое ноу-хау и ~~по советам в интернете~~ после тщательного изучения вариантов купил AirVisual Pro.

Выглядело все страшно красиво и имело такую же страшную цену. Гарантию на сей девайс мне дали - 2 года. Хотя за его цену, как мне кажется, они должны давать лет 10 гарантии и пожизненную улыбку.

Ретроспектива 2020

Tue, 22 Dec 2020 00:00:00 +0000

Лучше всего для меня этот год описан в этом коротком видео:

Что нового я узнал на конференциях от JUG.RU

Thu, 22 Oct 2020 00:00:00 +0000

По роду своей деятельности мне повезло получить FullPass на все конференции, которые организовывают ребята из JUG.RU и хочется написать несколько слов о докладах, которые я послушал, покритиковать их или наборот рассказать о полезности.

Сразу скажу, что я не стремился посмотреть все доклады. Просто выбрал те, что мне показались наиболее интересными по названию/описанию, и посмотрел. Поэтому вся эта подборка лишь отражает круг моих интересов и может вам совершенно не пригодится. Если желание читать все еще осталось, то жмите “далее”.

Старый Drozer MacOS не испортит

Tue, 04 Aug 2020 14:13:10 +0300

Drozer - The Leading Security Assessment Framework for Android.

Обычно я не использую Drozer, а еще реже (никогда) я использую его на MacOS. Обычно это все уже есть в Kali Linux и устанавливать ничего не нужно. Но необходимость появилась, а вместе с ней пришлось знатно покувыркаться и поправить скрипты самого Drozer-а чтобы все заработало. После чего я все удалил, потому что в системе было знатно насрано после всех этих замечательных туторилов и issue на гитхабе. В итоге стало понятно, что есть два нормальных способа установки. Через Docker, и так как показано ниже. Все остальное - зло, ад и слезы по бездарно потраченным часам жизни.

Шифрование данных в Python без херни

Wed, 15 Jul 2020 00:00:00 +0000

Этот пост должен был выйти сильно раньше, но я не смог собрать Tink для Python-а и поэтому остался ждать релиза 1.4.0 где они пообещали добавить уже собранный пакет в PyPI. Наконец-то релиз настал, а с ним появилась возможность нормально покопаться в питонячьих биндингах для Tink и рассказать об этом вам.

Путь программиста

Wed, 03 Jun 2020 11:28:37 +0300

Мне тут дядя из Джанхота новую партию чая прислал, а под чай, как известно, хорошо пишутся всякие разглагольствования на тему будущего, прошлого и настоящего. Говорить сегодня будем о программистах, я же больше ни про кого ничего не знаю. Расскажу, как я вижу путь развития современного программиста и дам в меру ~~без~~полезные советы о том как идти по этому пути.

Секретные технологии документирования API

Thu, 21 May 2020 20:44:03 +0300

Disclamer: Все совпадения случайны. Если вы узнали в этом тексте себя, то это ошибка и ваше больное воображение. Я это все придумал.

Темные времена, когда спецификации API создавались в файлах .txt и .docx прошли и теперь все используют нормальные форматы написания спецификаций. Да-да, моей наивности нет предела. В ходе очередного обсуждения с менеджером выяснилось, что есть заказчик с сервером которого нужно проинтегрироваться.

Как выбрать сервер для web приложения

Sat, 09 May 2020 00:00:00 +0000

Привет. Можешь помочь с требованиям к прод серверу ? Какой мощности нам хватит?

Вот такое сообщение я получил от менеджера в конце рабочего дня. Стоит ли говорить, что приложение для которого нужно было подобрать сервер еще не существовало даже в виде требований. Следовательно, посчитать хоть какой-то примерный RPS не представлялось возможным.