Since I haven't been getting much in the way of viewpoints, so I'm curious what people might say in the poll. What's your thought on the security implications of jailbreaking your primary iPhone?
#iPhone #Apple #security #infosec #mobileSec #mobileSecurity
#mobileSec
While I feel this article could be be more explicit in places, it seems to be written by a security firm but take a fairly nuanced view of the risks and benefits of #Apple #iPhone jailbreaking. My takeaway would be that it's probably not a great idea for a primary phone; maybe acceptable if it buys you something you need and you're really going to take the time to study up on a keep on top of mitigating #security measures. I'm still interested in other views or references Fedi people might have. #mobileSecurity #mobileSec #infosec
https://www.eset.com/blog/en/home-topics/device-protection/jailbreaking-rooting-risks/
An acquaintance is thinking about jailbreaking their iPhone. Not being an Apple user, I haven't followed the topic closely, but I thought this was generally believed to be a bad idea from a security perspective (at least for a primary device).
Unfortunately what I can easily find online are people with no obvious credentials saying it's fine and security companies (who often overblow risks, like the infamous "juicejacking") saying it's bad. I'm hoping the Fediverse might be able to give me a more nuanced or fact-based perspective.
iOS 18 is now starting to run in our QEMU-based emulator. Want the full story of how we got here?
Part 1 • From black screens to first UI
https://eshard.com/posts/emulating-ios-14-with-qemu
Part 2 • From setup to apps and network
https://eshard.com/posts/emulating-ios-14-with-qemu-part2
In case you missed it, Android apps including Facebook, Instagram, and several Yandex apps including Maps and Browser have been silently listen on fixed local ports for tracking purposes
Disclosure and findings can be found below:
https://localmess.github.io
AndroidX Security Crypto got an update yesterday!
Bad news, it's just a version bump to take it out of alpha (and nothing else)
Still totally deprecated 😅 Sorry!
Day 1 of #BlackHatUSA2024
I am around the BlackHat area connecting with old friends and making new friends.
feel free to connect, highly interested in discussions around mobile, cloud, and supply chain security.
Цікава стаття вийшла тиждень тому на The Economist - "Зламати телефони в усьому світі небезпечно легко" (англ. "It is dangerously easy to hack the world’s phones").
Суть полягає у вразливості SS7, про яку я вже неодноразово згадував у своїх статтях та дописах.
SS7 - це протокол Signaling System 7, розроблений ще в далеких 1970-х роках, коли цифрова безпека тільки починала розвиватися, а мати мобільний пристрій міг лише крутий бізнесмен або військовий. SS7 дозволяє мобільним операторам обмінюватися даними для встановлення та керування викликами. Сьогодні, коли мобільними користуються мільйони, SS7 являє собою великий ризик.
Як пише Міністерство внутрішньої безпеки США: "оскільки існують десятки тисяч точок входу по всьому світу, багато з яких контролюються державами, які підтримують тероризм або шпигунство».
Іншими словами, кожен може зареєструвати свій мобільний оператор і використовувати вразливості SS7.
Експерти з безпеки, а також різноманітні шпигунські компанії і спецслужби знали про цю вразливість більше 15 років. Багато-хто цим "по тихому" користався.
У 2008 році Тобіас Енгель, дослідник безпеки, показав, що SS 7 можна використовувати для визначення місцезнаходження користувача. У 2014 році німецькі дослідники пішли далі, продемонструвавши, що його також можна використовувати для прослуховування дзвінків або запису та зберігання голосових і текстових даних. Зловмисники могли переслати дані собі, а також отримати ключ розшифрування.
У квітні 2014 року російські хакери використовували SS 7, щоб знайти та шпигувати за українськими активістами і політичними діячами. У 2017 році німецька телекомунікаційна компанія визнала, що зловмисники викрадали гроші клієнтів, перехоплюючи sms-коди автентифікації, надіслані з банків.
У 2022 році Катал МакДейд зі шведської компанії з телекомунікацій та кібербезпеки ENEA, оцінив, що російські хакери вже давно вели стеження та прослуховування російських дисидентів, які перебувають за кордоном, з допомогою SS7.
Починаючи з 2014 року китайські хакери викрали величезні обсяги даних з Управління персоналом, урядового агентства, яке керує федеральною державною службою Сполучених Штатів Америки. Найбільш конфіденційними даними були записи перевірки безпеки, які містять особисті конфіденційні дані. пов’язаний із зломом.
Американські оператори мобільного зв’язку розумно видаляють SS 7 зі своїх мереж, але певною мірою всі вони все ще мають з’єднання в роумінгу з рештою світу, де цей протокол залишається всюдисущим.
Що цікаво, новий протокол DIAMETER все ще має багато тих самих вразливостей, що й SS7. А в деяких аспектах навіть гірший.
Однією з причин, чому телекомунікаційні фірми нехтують вирішенням цієї проблеми, є те, що більшість нападників нібито мають суто політичні, а не комерційні мотиви. Спостереження, як правило, зосереджується на дуже невеликій кількості осіб. Мовляв, "простих смертних" це не стосується, а пошкодити цим мережі вони не зможуть. З чим я кардинально не погоджуюся. Прошу переглянути виступ одного харківського хакера про вразливості SS7 - кожен бандит за його словами може підняти свою станцію і зловживати цим протоколом: https://vimeo.com/manage/videos/821717097
Як захиститися від вразливості SS7? Ніяк. Мобільні оператори мають просто заборонити цей протокол, хоча знову ж таки новий Diameter має ті ж самі недоліки. Отже, треба розробляти щось нове.
Месенджери з наскрізним шифрування теж не врятують, тому що існує надпотужне шпигунське програмне забезпечення, таке як Pegasus і Predator, яке навіть не потребує взаємодії користувача зі смартфоном і встановлюється через zero-click.
1 травня Amnesty International опублікувала звіт, у якому показано, як «туманна екосистема постачальників, брокерів і торгових посередників» із Ізраїлю, Греції, Сінгапуру та Малайзії передала потужне шпигунське програмне забезпечення в руки кількох державних установ в Індонезії.
#ss7 #mobilesec #security #cybersecurity #infosec #intelligence #mobilesecurity #кібербезпека #мобільні #безпека #hackers #хакери #spyware #spy #vulnerabilities #mobile
⚠️ EncryptedSharedPreferences is now deprecated
I wrote a blog post about what this means for you and the security of your app
Get Ready for our next meetup! On June 12th, we have Lindsay Kaye give us a deep dive into how #mobilesecurity is important by telling us all about the Proxylib campaign that target mobile users
RSVP at https://www.meetup.com/owaspboston/events/301105296/
This meetup is hybrid! You can attend this in person and meet our speaker or attend online as well.
#mobilesec #applicationsecurity #owasp #owaspboston #security
Приклад "гівна" від LIFECELL, яке щодня приходить мені на мобільний.
Київстар вже поставили на місце. Нічого, скоро поставлять і Лайф. Ще трошки.
#lifeceel #turkcell #spam #smishing #ukraine #mobile #mobileoperators #mobilesecurity #mobilesec
🚨 New Blog Post Alert 🚨
An overview of the significant changes to the OWASP Mobile Top 10 for 2024
Find out what are now considered the greatest threats to Mobile Security 🔐📲
Ось, випадково знайшов... В підтвердження моїх слів: Усе, що потребує розкриття ваших особистих, ідентифікаційних даних, у тому числі номера телефону - НЕНАДІЙНЕ. І баста. І хай мені хтось це заперечить!
Я думаю, зараз почнуть активно експлуатувати всі можливі і неможливі діри стільникового зв'язку, вразливості SS7, зловживати радіоапаратурою перехоплення, яка давно продається на ринку...
І користуватися цим будуть як ворожі, так і наші, внутрішні спецслужби. Навіщо? - запитаєте ви. А щоб контролювати - хто володіє інформацією, той володіє світом. Дізнаватися про можливі заворушки (вони ж так всі бояться Майдану як вогню!), перехоплювати інсайдерську інформацію та маніпулювати фактами, шантажувати журналістів, компрометувати/вербувати політичних і громадських діячів, опонентів, конкурентів і так далі, і таке подібне...
Так що прислухайтеся, шановні! Підписуйтеся на наш блог KR. Laboratories, де я щотижня викладаю нові публікації: https://kr-labs.com.ua/blog Беріть і перечитуйте старі матеріали - це унікальна інформація, яку ви просто так не знайдете на просторах Інтернету.
Підтримуйте мене, адже толкового україномовного рідкісного матеріалу на тему інформаційних технологій і кібербезпеки сьогодні недостатньо.
#mobilesec #signal #messengers #appsec #ss7 #mitm #cybersecurity #infosec #itsecurity #messenger
Спроба зламати Telegram журналіста-розслідувача із спецпроєкту "Схеми" від "Радіо Свобода" - через несанкціонований доступ до SMS мобільного номера. Але його врятувала Двофакторна аутентифікація.
Ще один приклад того, що прив'язка месенджера до мобільного номера з точки зору кібербезпеки - ну нененадійно, м'яко кажучи. І коли мені кажуть, от є безпечний месенджер, але він проводить реєстрацію по номеру - назвати його конфіденційним у мене язик не повертається. Тому що на сьогодні мобільний зв'язок перехоплюється на "раз-два" досвідченими зловмисниками (https://vimeo.com/821717097?share=copy) та есбістами.
Якщо вже реєструєтеся в популярних месенджерах, то тільки на SIM-картки іноземних операторів, не прив'язані до ваших особистих справ, банківських рахунків, акаунтів соцмереж і так далі. Використовуйте мобільні номери країн з високим індексом демократії і стандартами GDPR на законодавчому, державному рівні.
#mobilesec #ss7 #ss7flaw #mobilesecurity #telegram #mitm #cybersecurity #infosec #hacking #nationalsecurity #humansecurity
Kali NetHunter — це безкоштовна платформа тестування на проникнення з відкритим кодом для пристроїв Android на базі Kali Linux. Розроблена компанією Offensive Security. По суті, це повнофункціональна збірка Kali Linux, оптимізована під використання на мобільних пристроях, містить безліч хакерських інструментів. У цій статті я покроково опишу процес встановлення NetHunter на прикладі мобільного пристрою Nokia 6.1. По завершенні отримаємо справжнісіній хакерфон!
#kali #kali_linux #kalinethunter #nethunter #android #cybersecurity #mobilesecurity #mobilesec #cybersec
https://kr-labs.com.ua/blog/kali-nethunter-on-android-smartphone/
Покроковий гайд як розгорнути програмний пакет Android SDK Command Line Tools в командному рядку Linux, без встановлення габаритного пакету Android Developer Studio, щоб виконувати тестування та reverse-аналіз мобільних додатків з допомогою інструменту Burp Suite.
#android #pentest #burpsuite #sdk #PenetrationTesting #webappsec #mobile #mobilesec #cybersecurity #cybersec
Just published on ProAndroidDev ✨🔐
https://proandroiddev.com/unpacking-android-security-part-4-insecure-authentication-330fcc019ef5
🚨 New blog post alert 🚨
Part 4 of my series on the OWASP Mobile Top 10: Insecure Authentication
Our latest blog post details a submission we made to the invite-only Huawei #bugbounty program. Learn how we leveraged their custom themes to gain arbitrary code execution.
https://blog.doyensec.com/2023/07/26/huawei-theme-arbitrary-code-exec.html
Some light reading 🥲🔐 This will keep me busy for a while...
Client Info
Server: https://mastodon.social
Version: 2025.07
Repository: https://github.com/cyevgeniy/lmst