Телеграмм чат группы android

Чат, а есть тут крутые пентестеры? 😉 Напишите мне в личку, есть тема =)

16:27пожаловаться #1

2020 August 03

NK

ID:0 in Android Guards

Я как-то уже постил статьи из серии Modern Security in Android. Тут недавно вышла еще одна, на этот раз про биометрию. Из статьи вы узнаете:

🕵️‍♂️ Что такое Spoof Acceptance Rate и почему это важно

🚀 Что BiometricPrompt уже 1.0.1, а значит ваши бородатые безопасники одобрят его применение 😉

🤝 Как прикрутить биометрию к вашему шифрованию

Статья небольшая, даже чай допить не успеете.

#4developers, #biometric

https://medium.com/@dinorahto/modern-security-in-android-part-4-495655c7d4fe

Medium

Modern Security in Android (part 4)

A fast guide to be safe

09:00пожаловаться #2

KO

Ksenija Orlova in Android Guards

Здравствуйте!

Расшифровываю dangerous permissions и не могу точно определить действие таких разрешений:

none.used.ACCESS_FINE_LOCATION и none.used.ACCESS_COARSE_LOCATION

Скажите, пожалуйста, как правильно здесь интерпретировать none.used?

Гугление и информация из манифеста пока ничего толкового не дают(

11:02пожаловаться #3

D

Daniil in Android Guards

Ksenija Orlova

Здравствуйте!

Расшифровываю dangerous permissions и не могу точно определить действие таких разрешений:

none.used.ACCESS_FINE_LOCATION и none.used.ACCESS_COARSE_LOCATION

Скажите, пожалуйста, как правильно здесь интерпретировать none.used?

Гугление и информация из манифеста пока ничего толкового не дают(

Просто невалидный пермишен

11:12пожаловаться #4

KO

Ksenija Orlova in Android Guards

Daniil

Просто невалидный пермишен

спасибо

11:13пожаловаться #5

А

Андрей in Android Guards

@xiunja это может быть кастомный пермишен

16:13пожаловаться #6

2020 August 05

RC

Ребят, привет! Был вопрос на счёт эффективного шифрования sqlite базы на устройстве. Предлагали два варианта: шифровать данные каждой колонки (только записи) или шифровать всю базу разом.
В одном из чатов заклеимили первый способ небозопасным и "упрощающим жизнь криптоаналитикам".
Можете привести пример, как будут ломать в первом случае шифрование? Или дать ссылку на статьи с разборами

https://ackcent.com/blog/recovering-sqlcipher-encrypted-data-with-frida/

18:17пожаловаться #7

D

Daniil in Android Guards

Roman Chumachenko

Ребят, привет! Был вопрос на счёт эффективного шифрования sqlite базы на устройстве. Предлагали два варианта: шифровать данные каждой колонки (только записи) или шифровать всю базу разом.
В одном из чатов заклеимили первый способ небозопасным и "упрощающим жизнь криптоаналитикам".
Можете привести пример, как будут ломать в первом случае шифрование? Или дать ссылку на статьи с разборами

Ackcent

Recovering SQLCipher encrypted data with Frida

Our AppSec team has faced the SQLCipher library during some recent security audits of mobile applications. According to their GitHub README: SQLCipher extends the SQLite database library to add security enhancements that make it more suitable for encrypted local data storage such as on-the-fly encryption, tamper evidence, and key derivation. Based on SQLite, SQLCipher closely tracks SQLite and periodically integrates stable SQLite release features.
This means that, even in the case of a rooted device, information stored in the database will not be accessible by third parties because it is encrypted, unless you can somehow obtain the encryption key.

18:43пожаловаться #8

RC

Я бы ещё добавил условие: я прячу там данные не от пользователя, а от злоумышленника -> если телефон был с включенным дебагом и ушел, разве это не затык пользователя? Что думаете?

18:45пожаловаться #9

RC

https://ackcent.com/blog/recovering-sqlcipher-encrypted-data-with-frida/

Daniil

Ackcent

Recovering SQLCipher encrypted data with Frida

Our AppSec team has faced the SQLCipher library during some recent security audits of mobile applications. According to their GitHub README: SQLCipher extends the SQLite database library to add security enhancements that make it more suitable for encrypted local data storage such as on-the-fly encryption, tamper evidence, and key derivation. Based on SQLite, SQLCipher closely tracks SQLite and periodically integrates stable SQLite release features.
This means that, even in the case of a rooted device, information stored in the database will not be accessible by third parties because it is encrypted, unless you can somehow obtain the encryption key.

Спасибо, буду знакомиться

18:45пожаловаться #10

R

https://ackcent.com/blog/recovering-sqlcipher-encrypted-data-with-frida/

Daniil

Ackcent

Recovering SQLCipher encrypted data with Frida

Our AppSec team has faced the SQLCipher library during some recent security audits of mobile applications. According to their GitHub README: SQLCipher extends the SQLite database library to add security enhancements that make it more suitable for encrypted local data storage such as on-the-fly encryption, tamper evidence, and key derivation. Based on SQLite, SQLCipher closely tracks SQLite and periodically integrates stable SQLite release features.
This means that, even in the case of a rooted device, information stored in the database will not be accessible by third parties because it is encrypted, unless you can somehow obtain the encryption key.

В статье рассказывают об откровенно тупых способах хранения ключей. Ну что, разве остались еще те, кто хардкодит ключи в приложении или генерирует их на соновании имени пакета? =) Отзовитесь если тут такие есть, я для вас запишу серию терапевтических роликов 😄

@RChumachenko расскажи подробнее о своем кейсе. Зачем тебе зашифрованная БД?

21:58пожаловаться #11

R

Даже не так. Зачем тебе вообще БД? Какие данные там будут храниться?

21:58пожаловаться #12

RC

Криптокошелек. В зависимости от реализации, народ хранит там либо мастер-ключ (читай, сам кошелек) и ключи адресов, либо можно ключи адресов генерить по необходимости. Я храню мастер-ключи (несколько кошельков может быть), это все, что нужно шифровать. Ключ шифрования отдаю Android keystore

22:00пожаловаться #13

RC

Ну и есть пачка информации относительно адресов, которая завязана на мастер-ключ, то есть вполне удобно иметь таблицу с foreign key

22:02пожаловаться #14

R

Roman Chumachenko

Криптокошелек. В зависимости от реализации, народ хранит там либо мастер-ключ (читай, сам кошелек) и ключи адресов, либо можно ключи адресов генерить по необходимости. Я храню мастер-ключи (несколько кошельков может быть), это все, что нужно шифровать. Ключ шифрования отдаю Android keystore

Ага. Тогда я бы рекомендовал тебе не просто хранить ключи в кейсторе, а еще и выводить их на основании данных от юзера. Т.е. тебе нужна KDF функция. В простом варианте можно юзать PBKDF2, но я бы рекомендовал Argon2. Благо, относительно недавно завезли биндинги под Android для него. Эта схема будет +- безопасной в случае если твою БД сопрут с девайса. Перед Фридой эта схема все еще уязвима, но у тебя не будет этого вектора атаки, ибо он не имеет смысла. Теоретически данные могут угнать имея троян с рут-правами на девайсе, но это тоже не супер простой кейс.

22:07пожаловаться #15

R

Короче так или иначе улучшить безопасность твоего криптокошелька можно, но всегда можно найти какую-то лозейку и в случае с целевой атакой какой-нибудь из векторов может сработать

22:08пожаловаться #16

R

Ну и социальную инженерию никто не отменял

22:08пожаловаться #17

RC

Rtem

Ну и социальную инженерию никто не отменял

Ну, защиту от дурака писать я в тз еще не видел)

22:08пожаловаться #18

R

Roman Chumachenko

Ну, защиту от дурака писать я в тз еще не видел)

Это ты видимо не работал с такими приложениями =)

22:09пожаловаться #19

R

Проблема с дураками в том, что их обманут, а завтра этот дурак пойдет и напишет на хабре какое у тебя говеное приложение и как его данные украли злые хакеры. И найдется куча “сочувствующих” кто залайкает эту статью