Mobile AppSec World

Открыта регистрация на главную аналитическую конференцию Код ИБ ИТОГИ в Москве 🗓 4 декабря | Начало в 9:30 📍 Palmira Business Club Более 50 экспертов по ИБ разберут ключевые события года, представят свежую аналитику и озвучат прогнозы на будущее. В программе: 📌 3 дискуссии — CISO говорят — БОССЫ кибербеза говорят — Стартапы говорят 📌 6 тематических сессий — Защита инфраструктуры — Культура кибербезопасности — Анализ защищенности — Защита данных — Безопасная разработка — Процессы А также: — З...

https://www.youtube.com/watch?v=gW1kHvfvm7Q

Всем привет! Скоро уже новый год (скорее бы). Ну а пока все начинают подводить итоги. И хотел вас пригласить на одну из конференций, на которой мне как-то тоже посчастливилось поучаствовать. Очень уютная и приятная атмосфера :) До встречи ;)

👋 Добрый день, друзья! Продолжается регистрация на III форум «ТЕРРИТОРИЯ БЕЗОПАСНОСТИ 2026: все pro ИБ». 🗓 2 апреля 2026г. 🗺 отель Хаятт Ридженси Москва Петровский Парк (г. Москва, Ленинградский просп., д. 36, стр. 33) ‼️ Участие для руководителей ИБ-департаментов от компаний-заказчиков - БЕСПЛАТНО. ⬇️ ЧЕТЫРЕ КОНФЕРЕНЦИИ 2026 ГОДА: ▪️ PRO ПЛАНИРОВАНИЕ — Тактический трек. Тактическая карта CISO: от чекапа к стратегии ▪️ PRO ДЕЙСТВИЯ — Трек осведомлённости. Как избежать слепых зон безопасности ...

Weaponizing NotebookLM - безобидный Intent может забить /data и уложить устройство Любое приложение без единого permission может заставить NotebookLM довести объём свободного места во внутреннем разделе /data до 0 байт. 🤡 И это не КЛИКБЕЙТНЫЙ АНОНС УЯЗВИМОСТИ и не SD-карта. Это data-partition. Итог - краши приложений, отказ SQLite, системная нестабильность. Подробнее тут. Коротко и ясно (если неясно, спрашивайте) - ниже 👇 👀 Что происходит Приложение принимает content:// URI и начинает считыва...

iOSCTF: 30 задач для практики iOS-пентеста С тренировочными площадками для iOS всегда было туго - DVIA да пара заброшенных репозиториев, и на этом всё. Так что появление iOSCTF - прям приятная новость. Это open-source приложение с 30 задачами по iOS security, разбитыми на 4 категории: от чтения секретов в NSUserDefaults и дампа Keychain до эксплуатации JS-бриджей через deep links, хукинга ObjC-рантайма и memory forensics. Есть даже JWT cracking и задачи на SSL pinning bypass. В общем, покрывает ...

Pentest-book: wiki для пентестеров Наткнулся на занятный репозиторий — pentest-book, это такая постоянно обновляемая wiki-шпаргалка для пентестеров. Recon, enumeration, web, cloud, mobile, Windows/Kerberos, работа с Burp Suite — всё собрано в одном месте с конкретными командами, скриптами и чеклистами. Что мне понравилось — есть отдельные разделы по мобилкам, и Android, и iOS, с практическими приёмами и ссылками на тулы для анализа. Не какой-то теоретический обзор, а именно рабочие заметки: что ...

Runtime hooking и обход SSL Pinning на iOS Ребята, есть вопрос, как обойти SSL Pinning в iOS? Ребята из RedFox Security выпустили подробный гайд по runtime manipulation и hooking в контексте iOS-пентеста, и он получился весьма добротным. Внутри - разбор того, как работает hooking в Objective-C/Swift рантайме, как цеплять методы через Frida и objection, обход SSL pinning на jailbroken устройствах (SSLKillSwitch и компания). Всё расписано с примерами и пояснениями, что именно происходит под капото...

AWAKE: справочник по Android-атакам и эксплуатации Нашел оооочень классный ресур - AWAKE: Android Wiki of Attacks, Knowledge & Exploits - по сути, one-stop shop для тех, кто занимается анализом малвари, реверсингом и поиском уязвимостей на Android. Внутри -- описания техник атак, эксплойтов, методики анализа APK и самой платформы. Ориентировано на аналитиков, реверсеров, пентестеров и threat intelligence ресерчеров. То есть не абстрактная теория, а вполне практический справочник с конкретикой. Ч...

Перехват OkHttp трафика на Android через Frida Кто хоть раз пытался перехватить трафик Android-приложения, которое шифрует тело запроса или подписывает его кастомным хедером, знает эту боль -- ты видишь запрос в прокси, но там каша из зашифрованных байт, и толку от этого ноль :) Ребята из Doyensec написали отличную статью о том, как с помощью Frida хукать OkHttp на уровне Interceptor-цепочки. Суть проблемы в том, что запрос в OkHttp проходит через серию интерсепторов -- один добавляет Authorizat...