Nick Security Blog

Webやスマホのセキュリティ情報などを取り扱っています。

週間 Nick気になった記事(Web・android・iOS) ver1

f:id:NickShadows:20210130102844j:plain

web

Playing Fetch: New XS-Leak exploits browser redirects to break user privacy | The Daily Swig
クライアントサイドの攻撃も進化していく。
portswigger.net

android

How to use Ghidra to Reverse Engineer Mobile Application
soファイルを取り扱うのを具体的に書いているのを始めてみた。
apkファイルのリバースでは、soファイルをどうするかというのを悩んでいたのでちょうどよかった。
medium.com

Reverse engineering Flutter for Android
Flutter自体のリバース。
構造や原理などがざっくり書いてあるので、スタートを切るのに良さそう。
Flutterもきっかけがなかったのでとても助かった。
Reverse engineering Flutter for Androidrloura.wordpress.com
Launching Internal & Non-Exported Deeplinks On Facebook
URL読み込む機能のエスカレーション?
非公開のディープリンクにアクセスとか、CSRFとか起こるのは知らなかった。
ash-king.co.uk

Google: Here's how we're toughening up Android security
Rust採用の方針?メモリの脆弱性はやはり嫌か
次世代の脆弱性は何になるんだろうか
www.zdnet.com

2021年はAPIセキュリティが最重要課題、ラドウェア調査
APIが課題!
それに合わせてモバイルも問題視。
やはりモバイルに中心が集まっていくのか。
scan.netsecurity.ne.jp jp.radware.com

Android Devices Prone to Botnet’s DDoS Onslaught
ADBが使われてボットネットの構成。
ADB悪用されちゃうのか。
threatpost.com

Five Critical Android Bugs Patched, Part of Feb. Security Bulletin
RCEあり。
threatpost.com source.android.com

ios

Reverse Engineering iMessage: Leveraging the Hardware to Protect the Software
リバースでは結構面白いなと思った
www.nowsecure.com

Apple iOS 14 Thwarts iMessage Attacks With BlastDoor System
強力なサンドボックス?
threatpost.com

その他

Top 10 most exploited vulnerabilities from 2020
SMBGhostは個人に検証していて、RCEできないなぁと折れてしまったのだが、悪用できていたのか。
その他も有名なものばかり。
GhostCatは検証したので思い入れ深い。
www.helpnetsecurity.com