Show threadNickDec 28
Since I haven't been getting much in the way of viewpoints, so I'm curious what people might say in the poll. What's your thought on the security implications of jailbreaking your primary iPhone?
#iPhone #Apple #security #infosec #mobileSec #mobileSecurity
It's not that big a deal, even for n00bs.
27.3%
It can be reasonable with the right precautions.
27.3%
It's always a bad idea for a primary phone.
45.5%
It's a questionable idea even for a secondary.
0%
Poll ended at .
Show threadNickDec 27

While I feel this article could be be more explicit in places, it seems to be written by a security firm but take a fairly nuanced view of the risks and benefits of #Apple #iPhone jailbreaking. My takeaway would be that it's probably not a great idea for a primary phone; maybe acceptable if it buys you something you need and you're really going to take the time to study up on a keep on top of mitigating #security measures. I'm still interested in other views or references Fedi people might have. #mobileSecurity #mobileSec #infosec

https://www.eset.com/blog/en/home-topics/device-protection/jailbreaking-rooting-risks/

Jailbreaking and rooting exposed: Understanding hidden mobile security risks

Jailbreaking or rooting your phone offers more control but increases security risks. Discover the pros, cons, and how it affects your device’s safety.

NickDec 26

An acquaintance is thinking about jailbreaking their iPhone. Not being an Apple user, I haven't followed the topic closely, but I thought this was generally believed to be a bad idea from a security perspective (at least for a primary device).

Unfortunately what I can easily find online are people with no obvious credentials saying it's fine and security companies (who often overblow risks, like the infamous "juicejacking") saying it's bad. I'm hoping the Fediverse might be able to give me a more nuanced or fact-based perspective.

#iphone #security #mobileSecurity #mobileSec

eShardAug 8, 2025

iOS 18 is now starting to run in our QEMU-based emulator. Want the full story of how we got here?

Part 1 • From black screens to first UI
https://eshard.com/posts/emulating-ios-14-with-qemu
Part 2 • From setup to apps and network
https://eshard.com/posts/emulating-ios-14-with-qemu-part2

#ios #iphone #emulator #mobilesec #devsecops

Ed Jun 5, 2025

In case you missed it, Android apps including Facebook, Instagram, and several Yandex apps including Maps and Browser have been silently listen on fixed local ports for tracking purposes

Disclosure and findings can be found below:
https://localmess.github.io

#AndroidDev #MobileSec

Covert Web-to-App Tracking via Localhost on Android

Ed Jun 5, 2025

AndroidX Security Crypto got an update yesterday!

Bad news, it's just a version bump to take it out of alpha (and nothing else)

Still totally deprecated 😅 Sorry!

#AndroidDev #MobileSec

Anant Shrivastava aka anantshriAug 7, 2024

Day 1 of #BlackHatUSA2024

I am around the BlackHat area connecting with old friends and making new friends.

feel free to connect, highly interested in discussions around mobile, cloud, and supply chain security.

#infosec #mobilesec #cloudsec # #blackhat

KR. Laboratories 🇺🇦May 31, 2024

Цікава стаття вийшла тиждень тому на The Economist - "Зламати телефони в усьому світі небезпечно легко" (англ. "It is dangerously easy to hack the world’s phones").

https://www.economist.com/science-and-technology/2024/05/17/it-is-dangerously-easy-to-hack-the-worlds-phones

Суть полягає у вразливості SS7, про яку я вже неодноразово згадував у своїх статтях та дописах.

SS7 - це протокол Signaling System 7, розроблений ще в далеких 1970-х роках, коли цифрова безпека тільки починала розвиватися, а мати мобільний пристрій міг лише крутий бізнесмен або військовий. SS7 дозволяє мобільним операторам обмінюватися даними для встановлення та керування викликами. Сьогодні, коли мобільними користуються мільйони, SS7 являє собою великий ризик.

Як пише Міністерство внутрішньої безпеки США: "оскільки існують десятки тисяч точок входу по всьому світу, багато з яких контролюються державами, які підтримують тероризм або шпигунство».

Іншими словами, кожен може зареєструвати свій мобільний оператор і використовувати вразливості SS7.

Експерти з безпеки, а також різноманітні шпигунські компанії і спецслужби знали про цю вразливість більше 15 років. Багато-хто цим "по тихому" користався.

У 2008 році Тобіас Енгель, дослідник безпеки, показав, що SS 7 можна використовувати для визначення місцезнаходження користувача. У 2014 році німецькі дослідники пішли далі, продемонструвавши, що його також можна використовувати для прослуховування дзвінків або запису та зберігання голосових і текстових даних. Зловмисники могли переслати дані собі, а також отримати ключ розшифрування.

У квітні 2014 року російські хакери використовували SS 7, щоб знайти та шпигувати за українськими активістами і політичними діячами. У 2017 році німецька телекомунікаційна компанія визнала, що зловмисники викрадали гроші клієнтів, перехоплюючи sms-коди автентифікації, надіслані з банків.

У 2022 році Катал МакДейд зі шведської компанії з телекомунікацій та кібербезпеки ENEA, оцінив, що російські хакери вже давно вели стеження та прослуховування російських дисидентів, які перебувають за кордоном, з допомогою SS7.

Починаючи з 2014 року китайські хакери викрали величезні обсяги даних з Управління персоналом, урядового агентства, яке керує федеральною державною службою Сполучених Штатів Америки. Найбільш конфіденційними даними були записи перевірки безпеки, які містять особисті конфіденційні дані. пов’язаний із зломом.

Американські оператори мобільного зв’язку розумно видаляють SS 7 зі своїх мереж, але певною мірою всі вони все ще мають з’єднання в роумінгу з рештою світу, де цей протокол залишається всюдисущим.

Що цікаво, новий протокол DIAMETER все ще має багато тих самих вразливостей, що й SS7. А в деяких аспектах навіть гірший.

Однією з причин, чому телекомунікаційні фірми нехтують вирішенням цієї проблеми, є те, що більшість нападників нібито мають суто політичні, а не комерційні мотиви. Спостереження, як правило, зосереджується на дуже невеликій кількості осіб. Мовляв, "простих смертних" це не стосується, а пошкодити цим мережі вони не зможуть. З чим я кардинально не погоджуюся. Прошу переглянути виступ одного харківського хакера про вразливості SS7 - кожен бандит за його словами може підняти свою станцію і зловживати цим протоколом: https://vimeo.com/manage/videos/821717097

Як захиститися від вразливості SS7? Ніяк. Мобільні оператори мають просто заборонити цей протокол, хоча знову ж таки новий Diameter має ті ж самі недоліки. Отже, треба розробляти щось нове.

Месенджери з наскрізним шифрування теж не врятують, тому що існує надпотужне шпигунське програмне забезпечення, таке як Pegasus і Predator, яке навіть не потребує взаємодії користувача зі смартфоном і встановлюється через zero-click.

1 травня Amnesty International опублікувала звіт, у якому показано, як «туманна екосистема постачальників, брокерів і торгових посередників» із Ізраїлю, Греції, Сінгапуру та Малайзії передала потужне шпигунське програмне забезпечення в руки кількох державних установ в Індонезії.

#ss7 #mobilesec #security #cybersecurity #infosec #intelligence #mobilesecurity #кібербезпека #мобільні #безпека #hackers #хакери #spyware #spy #vulnerabilities #mobile

It is dangerously easy to hack the world’s phones

A system at the heart of global telecommunications is woefully insecure

The Economist
Ed May 29, 2024

⚠️ EncryptedSharedPreferences is now deprecated

I wrote a blog post about what this means for you and the security of your app

https://spght.dev/articles/28-05-2024/jetsec-deprecation

#AndroidDev #MobileSec

Securing the Future: Navigating the Deprecation of Encrypted Shared Preferences | Ed Holloway-George | Android Developer | Android GDE

EncryptedSharedPreferences is now deprecated, but what does this mean for your app and its security?

OWASP BostonMay 23, 2024

Get Ready for our next meetup! On June 12th, we have Lindsay Kaye give us a deep dive into how #mobilesecurity is important by telling us all about the Proxylib campaign that target mobile users

RSVP at https://www.meetup.com/owaspboston/events/301105296/

This meetup is hybrid! You can attend this in person and meet our speaker or attend online as well.

#mobilesec #applicationsecurity #owasp #owaspboston #security

OWASP Boston Chapter Meeting - June 2024, Wed, Jun 12, 2024, 6:00 PM | Meetup

This month we will be welcoming Lindsay Kaye as our presenter. Lindsay will be giving her presentation an Overview of the PROXYLIB Campaign. In May 2023, we identified a c

Meetup