Про уязвимость Jetpack Navigation. В марте мои коллеги из PT SWARM выложили ресёрч по уязвимости Android Jetpack Navigation, которая позволяет открыть произвольный экран внутри приложения, в том числе в обход экрана аутентификации. 😨 Google уязвимость не признали (поэтому CVE нет 🤷♂️) и ограничились рекомендациями в документации. 😏
📃 Вчера команда экспертов из Стингрей презентовала на Хабре подробный обзор этой уязвимости с примерами и демонстрациями. 👍
📊 Кроме того, они проверили 1000 приложений разных категорий из публичных магазинов и выяснили, что 21% из них используют библиотеку Jetpack Navigation и могут быть уязвимы. Подробную статистику отдают на сайте.
Хороший повод поинтересоваться у ваших разрабов мобильных приложений под Android используют ли они Jetpack Navigation и знают ли об этой уязвимости. 😉
Заодно подпишитесь на ТГ канал Mobile AppSec World - лучший канал по мобильному аппесеку от Юры Шабалина и команды Стингрей.
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.