Онлайн-воркшоп по Android-разработке
Без знаний того, как устроены и работают мобильные приложения, взламывать их не получится (скорее всего).
А технологии, особенно в Android (как мне кажется), развиваются очень быстро и в скором времени начинаешь ощущать, что уже не всегда понимаешь что и как работает в приложении.
Иногда я хожу на разные бесплатные вебинары по разработке, чтобы хотябы понимать, что гуглить 😁 Как раз сегодня в 18:00 будет воркшоп для начинающих разработчиков. Судя по описанию, это совсем база, но если вы хотели понять, как написать первое приложение и из чего состоит Android приложуха - может быть полезно.
Это не реклама, просто ребята попросили поддержать бесплатное мероприятие. Почему бы и нет? :) Вдруг кому поможет)
#Android #Development
Без знаний того, как устроены и работают мобильные приложения, взламывать их не получится (скорее всего).
А технологии, особенно в Android (как мне кажется), развиваются очень быстро и в скором времени начинаешь ощущать, что уже не всегда понимаешь что и как работает в приложении.
Иногда я хожу на разные бесплатные вебинары по разработке, чтобы хотябы понимать, что гуглить 😁 Как раз сегодня в 18:00 будет воркшоп для начинающих разработчиков. Судя по описанию, это совсем база, но если вы хотели понять, как написать первое приложение и из чего состоит Android приложуха - может быть полезно.
Это не реклама, просто ребята попросили поддержать бесплатное мероприятие. Почему бы и нет? :) Вдруг кому поможет)
#Android #Development
gdg-voronezh-event.timepad.ru
Android Study jams / События на TimePad.ru
Android Study Jams — это онлайн-воркшоп по Android-разработке.
Как всегда немного теории и потом напишем приложение. Участники получат сертификаты о прохождении воркшопа.
Как всегда немного теории и потом напишем приложение. Участники получат сертификаты о прохождении воркшопа.
Распаковщик зашифрованных приложений
Несколько раз встречал вопросы про DexGuard, DexProtector и проблемы с анализом приложений, которые зашифрованы ими.
Сам я не сталкивался с анализом таких приложений, только читал про то, как ковыряют защиту и пытаются вытащить исходники.
На Github есть проект, который может с этим помочь. Основан на базе Frida и дампе расшифрованного dex-файла из памяти. Аналогичный механизм используется в frida-dump на iOS, чтобы получить расшифрованный ipa.
Работает скрипт на Android 4-11 и поддерживает "распаковку" Jiagu, DexProtector, DexGuard и Yidun. 🔥
#Android #DexProtector #DexGuard #Unpack #tools
Несколько раз встречал вопросы про DexGuard, DexProtector и проблемы с анализом приложений, которые зашифрованы ими.
Сам я не сталкивался с анализом таких приложений, только читал про то, как ковыряют защиту и пытаются вытащить исходники.
На Github есть проект, который может с этим помочь. Основан на базе Frida и дампе расшифрованного dex-файла из памяти. Аналогичный механизм используется в frida-dump на iOS, чтобы получить расшифрованный ipa.
Работает скрипт на Android 4-11 и поддерживает "распаковку" Jiagu, DexProtector, DexGuard и Yidun. 🔥
#Android #DexProtector #DexGuard #Unpack #tools
GitHub
GitHub - enovella/fridroid-unpacker: Defeat Java packers via Frida instrumentation
Defeat Java packers via Frida instrumentation. Contribute to enovella/fridroid-unpacker development by creating an account on GitHub.
Контроль над разноцветными IoT лентами
Сейчас дико распространены устройства IoT и их использование не требует знаний и умений в программировании, а процесс основан на базе воткни в розетку, введи пароль от своего WiFi, поздравляем, у тебя умный дом :D
Ну и конечно, толпа поделок с Китая не может быть без мобильных приложений и уязвимостях в них.
В статье автор рассказывает о трёх уязвимостях, которые позволяют получить полный контроль над аккаунтом пользователя и управлять подключенным девайсами.
Уязвимости не так, чтобы интересные, но последняя неплоха, с подменой ответа сервера. Но я был удивлен, что даже таким уязвимостям присваивают CVE.
#CVE #IoT #Android
Сейчас дико распространены устройства IoT и их использование не требует знаний и умений в программировании, а процесс основан на базе воткни в розетку, введи пароль от своего WiFi, поздравляем, у тебя умный дом :D
Ну и конечно, толпа поделок с Китая не может быть без мобильных приложений и уязвимостях в них.
В статье автор рассказывает о трёх уязвимостях, которые позволяют получить полный контроль над аккаунтом пользователя и управлять подключенным девайсами.
Уязвимости не так, чтобы интересные, но последняя неплоха, с подменой ответа сервера. Но я был удивлен, что даже таким уязвимостям присваивают CVE.
#CVE #IoT #Android
Trustwave
Magic Home Pro Mobile Application Authentication Bypass (CVE-2020-27199)
With the prevalence of IoT devices flooding the mainstream marketplace, we tend to see a large proliferation of these devices lacking even basic security controls. Many of these devices are targeted for mainstream household environments and due to often unfettered…
Уязвимость Race Condition в Binder IPC
Про Binder было несколько постов, которые объясняли что это, как работает и для чего нужен. Но если кратко - это системный компонент, через который реализовано межпроцессное взаимодействие в Android.
Недавно Google закрыли уязвимость CVE-2020-0423, которая позволяла получить root-доступ на устройстве через взаимодействие с Binder.
В статье подробно описано, почему это происходило, как эта уязвимость работает, с примерами кода, логов и большому количеству отсылок к разным другим интересным статьям. И более того есть PoC эксплойта 🔥
#Android #Binder #IPC #CVE
Про Binder было несколько постов, которые объясняли что это, как работает и для чего нужен. Но если кратко - это системный компонент, через который реализовано межпроцессное взаимодействие в Android.
Недавно Google закрыли уязвимость CVE-2020-0423, которая позволяла получить root-доступ на устройстве через взаимодействие с Binder.
В статье подробно описано, почему это происходило, как эта уязвимость работает, с примерами кода, логов и большому количеству отсылок к разным другим интересным статьям. И более того есть PoC эксплойта 🔥
#Android #Binder #IPC #CVE
cve.mitre.org
CVE -
CVE-2020-0423
CVE-2020-0423
Common Vulnerabilities and Exposures (CVE®) is a list of records — each containing an identification number, a description, and at least one public reference — for publicly known cybersecurity vulnerabilities. Assigned by CVE Numbering Authorities (CNAs)…
Эксплуатация уязвимости в ядре Android
Люблю читать про сравнения безопасности Android и iOS, это всегда познавательно. Правда, обычно такие статьи относятся к разряду популистических или маркетинговых.
Но не в этом случае :) Один из участников Project Zero, специализирующийся на iOS решил попробовать свои силы с Android и нашёл несколько серьёзных уязвимостей.
Но более интересно в этой статье его сопоставление отличий в эксплуатации и мерах защиты в двух самых популярных мобильных операционных системах.
#Android #iOS #Kernel #Vulnerability
Люблю читать про сравнения безопасности Android и iOS, это всегда познавательно. Правда, обычно такие статьи относятся к разряду популистических или маркетинговых.
Но не в этом случае :) Один из участников Project Zero, специализирующийся на iOS решил попробовать свои силы с Android и нашёл несколько серьёзных уязвимостей.
Но более интересно в этой статье его сопоставление отличий в эксплуатации и мерах защиты в двух самых популярных мобильных операционных системах.
#Android #iOS #Kernel #Vulnerability
Blogspot
An iOS hacker tries Android
Written by Brandon Azad, when working at Project Zero One of the amazing aspects of working at Project Zero is having the flexibility to dir...
Исследование Heapdump Android приложений
Интересную статью про анализ дампа памяти посоветовал @testing_guy в нашем чате.
Автор описывает, как правильно снимать дамп, анализировать его и что в нем может быть интересного. Как пример использования - поиск расшифрованных данных, чтобы не утруждать себя анализом криптографии, используемой в приложении, а получить из памяти сразу нужные значения. Статья интересна, как обучающий материал, для понимая, как устроен дамп памяти и что в нем может быть интересного.
Как по мне, такого рода "уязвимости", то есть хранение открытых данных в памяти, в реальной жизни трудно реализуемы. Если только не найдется какая-то новая уязвимость типо Heartbleed для мобилок при помощи которой можно будет читать произвольные участки памяти.
Анализ дампа интересен, чтобы посмотреть, что в нем хранится, и поискать эти значения в других места (файлы, базы данных и т.д.). Или если приложение использует одинаковый ключ шифрования для всех установок. Тогда его можно попробовать вычислить или получить из памяти и использовать его для расшифровки данных с другого устройства.
#Android #Heapdump #Tools
Интересную статью про анализ дампа памяти посоветовал @testing_guy в нашем чате.
Автор описывает, как правильно снимать дамп, анализировать его и что в нем может быть интересного. Как пример использования - поиск расшифрованных данных, чтобы не утруждать себя анализом криптографии, используемой в приложении, а получить из памяти сразу нужные значения. Статья интересна, как обучающий материал, для понимая, как устроен дамп памяти и что в нем может быть интересного.
Как по мне, такого рода "уязвимости", то есть хранение открытых данных в памяти, в реальной жизни трудно реализуемы. Если только не найдется какая-то новая уязвимость типо Heartbleed для мобилок при помощи которой можно будет читать произвольные участки памяти.
Анализ дампа интересен, чтобы посмотреть, что в нем хранится, и поискать эти значения в других места (файлы, базы данных и т.д.). Или если приложение использует одинаковый ключ шифрования для всех установок. Тогда его можно попробовать вычислить или получить из памяти и использовать его для расшифровки данных с другого устройства.
#Android #Heapdump #Tools
Medium
Hack crypto secrets from heap memory to exploit Android application
Due to the short time of development, The developers only focus on the building feature, functionalities and UI components. But they may…
Forwarded from Android Guards
Если сегодня к вечеру соберусь с силами, то сделаю стрим про хранение API ключей в нативном коде и покажу как это все оттуда достать без особых проблем. Разбор будет по мотивам статьи, которая недавно появилась в чате и, к моему удивлению, вызвала какие-то обсуждения даже.
https://youtu.be/jW5AoiIZlO8
https://youtu.be/jW5AoiIZlO8
Forwarded from Android Guards
Весь код, который показывал на стриме можно взять тут: https://github.com/Android-Guards/storing-api-keys
GitHub
GitHub - Android-Guards/storing-api-keys
Contribute to Android-Guards/storing-api-keys development by creating an account on GitHub.
Хороший стрим и пример того, как не нужно хранить приватные ключи и что не стоит верить всем советам, среди них есть и плохие.
Один из таких советов - хардкодить ключи в нативном коде. Если верить совету, то их намного сложнее отыскать и злоумышленнику потребуется много времени, чтобы разреверситт ваше приложение.
На самом деле, это конечно же не так :)
Что и доказывает нам @OxFi5t в своем стриме. Спасибо ему! :)
Актуальная ссылка на видео:
https://www.youtube.com/watch?v=LpOvHhpcVG4
Один из таких советов - хардкодить ключи в нативном коде. Если верить совету, то их намного сложнее отыскать и злоумышленнику потребуется много времени, чтобы разреверситт ваше приложение.
На самом деле, это конечно же не так :)
Что и доказывает нам @OxFi5t в своем стриме. Спасибо ему! :)
Актуальная ссылка на видео:
https://www.youtube.com/watch?v=LpOvHhpcVG4
YouTube
Хранение ключей API в нативном коде
Рассказываю и показываю как хранить всякую конфиденциальную информацию в нативном коде и почему так делать не надо.
0:00 Intro
0:10 О чем стрим
1:46 Разбор статьи Store API Keys Securely
6:46 Разбор кода приложения с нативной библиотекой
16:10 Анализ библиотеки…
0:00 Intro
0:10 О чем стрим
1:46 Разбор статьи Store API Keys Securely
6:46 Разбор кода приложения с нативной библиотекой
16:10 Анализ библиотеки…
Всем привет!
Выходим из новогодних праздников и вкатываемся в рабочий режим)
И сразу отличный стрим по теме, на которой возникает большое количество вопросов - как защитить свое приложение от перехвата трафика и реализовать SSL-Pinning. А тем кто анализирует приложения - как правильно эту защиту можно снять.
В общем очень рекомендую послушать или посмотреть в записи, если не получится посмотреть online.
Выходим из новогодних праздников и вкатываемся в рабочий режим)
И сразу отличный стрим по теме, на которой возникает большое количество вопросов - как защитить свое приложение от перехвата трафика и реализовать SSL-Pinning. А тем кто анализирует приложения - как правильно эту защиту можно снять.
В общем очень рекомендую послушать или посмотреть в записи, если не получится посмотреть online.
Forwarded from Android Guards
Благодарю всех, кто проголосовал. Стрим было решено перенести на рабочую неделю. Поэтому он состоится 14го января. Заодно попробуем настроиться на рабочий лад чтобы круто провести этот год.
Что будет на самом стриме: напишем и сразу сломаем приложение с двумя видами пиннинга. Покажу с чем сталкивается взломщик в обфусцированном приложении и насколько вообще просто открутить пиннинг руками.
https://youtu.be/QXUWaovckh8
Что будет на самом стриме: напишем и сразу сломаем приложение с двумя видами пиннинга. Покажу с чем сталкивается взломщик в обфусцированном приложении и насколько вообще просто открутить пиннинг руками.
https://youtu.be/QXUWaovckh8
Почему безопасность мобильных приложений важна?
Очень часто сталкиваюсь с вопросом, зачем делать мобильные приложение безопасными и зачем их проверять? По распространенному мнению, взломав такое приложение, вы получите данные только одного пользователя и это не так страшно, как например, уязвимости в серверной части.
В общем случае это может быть и так, но не стоит забывать о некоторых вещах:
- Уязвимости в мобильном приложении, если о них станет известно широкой публике (статьи, блоги, новости), может достаточно больно ударить по репутации компании. И это останется в интернете навсегда 🤓
- Мобильное приложение это первый эшелон на пути к вашему серверу. Проанализировав и изучив способ взаимодействия, намного легче искать уязвимости дальше.
- Если приложение использует, например, общий ключ шифрования для всех клиентов, то его компрометация поставит под вопрос безопасность всех клиентов
И ещё много интересных доводов, о которых вы наверняка знаете (можете поделиться ими в комментариях).
Если говорить о том, эксплуатируются ли уязвимости в мобильных приложениях "in the wild", есть ли понятие "0day" в отношении мобил? Однозначно да!
Об этом нам рассказывают эксперты из Google Project Zero в серии аж из шести статей, посвященных анализу эксплуатации нескольких 0day, в том числе и для мобильных устройств.
Это только то, что они нашли за время эксперимента по обнаружению подобных атак. Надеюсь, они оставят эту практику и мы узнаем о новых интересных способах эксплуатации уязвимостей.
Вывод простой, чтобы сделать свою систему безопасной, необходимо, чтобы все элементы системы были безопасны. Даже те,на которые не обращаешь должного внимания.
Как бы банально это не звучало 😁
#Android #Exploit #InTheWild
Очень часто сталкиваюсь с вопросом, зачем делать мобильные приложение безопасными и зачем их проверять? По распространенному мнению, взломав такое приложение, вы получите данные только одного пользователя и это не так страшно, как например, уязвимости в серверной части.
В общем случае это может быть и так, но не стоит забывать о некоторых вещах:
- Уязвимости в мобильном приложении, если о них станет известно широкой публике (статьи, блоги, новости), может достаточно больно ударить по репутации компании. И это останется в интернете навсегда 🤓
- Мобильное приложение это первый эшелон на пути к вашему серверу. Проанализировав и изучив способ взаимодействия, намного легче искать уязвимости дальше.
- Если приложение использует, например, общий ключ шифрования для всех клиентов, то его компрометация поставит под вопрос безопасность всех клиентов
И ещё много интересных доводов, о которых вы наверняка знаете (можете поделиться ими в комментариях).
Если говорить о том, эксплуатируются ли уязвимости в мобильных приложениях "in the wild", есть ли понятие "0day" в отношении мобил? Однозначно да!
Об этом нам рассказывают эксперты из Google Project Zero в серии аж из шести статей, посвященных анализу эксплуатации нескольких 0day, в том числе и для мобильных устройств.
Это только то, что они нашли за время эксперимента по обнаружению подобных атак. Надеюсь, они оставят эту практику и мы узнаем о новых интересных способах эксплуатации уязвимостей.
Вывод простой, чтобы сделать свою систему безопасной, необходимо, чтобы все элементы системы были безопасны. Даже те,на которые не обращаешь должного внимания.
Как бы банально это не звучало 😁
#Android #Exploit #InTheWild
Blogspot
Introducing the In-the-Wild Series
This is part 1 of a 6-part series detailing a set of vulnerabilities found by Project Zero being exploited in the wild. To read the other p...
Установка Frida на Android, руководство для Mac
Отличный гайд по установке Frida на Android устройство и настройку среды для мака.
Конечно, Frida ставится без особых проблем, но если есть желание заскриптовать процесс установки или быстро кому-то объяснить, это заметка будет не лишней 😁
#Frida #Setup #Environment
Отличный гайд по установке Frida на Android устройство и настройку среды для мака.
Конечно, Frida ставится без особых проблем, но если есть желание заскриптовать процесс установки или быстро кому-то объяснить, это заметка будет не лишней 😁
#Frida #Setup #Environment
Android Guards
Благодарю всех, кто проголосовал. Стрим было решено перенести на рабочую неделю. Поэтому он состоится 14го января. Заодно попробуем настроиться на рабочий лад чтобы круто провести этот год. Что будет на самом стриме: напишем и сразу сломаем приложение с двумя…
Уже через час начинается стрим по одной из самых больных тем в части разработки - безопасность сетевого взаимодействия, а именно реализация и обход SSLPinning.
Присоединяйтесь, будет полезно!
Ссылочка на всякий случай для подключения, чтобы не искать:
https://youtu.be/QXUWaovckh8
Присоединяйтесь, будет полезно!
Ссылочка на всякий случай для подключения, чтобы не искать:
https://youtu.be/QXUWaovckh8
Если кто-то вчера не успел посмотреть, то вот постоянная ссылка на запись:
https://youtu.be/Xn6CSqJpf6I
Убрано лишнее,остался самый сок :)
#Android #Pinning #SSL #Bypass
https://youtu.be/Xn6CSqJpf6I
Убрано лишнее,остался самый сок :)
#Android #Pinning #SSL #Bypass
YouTube
Как прикрутить и отломать SSL pinning. CetificatePinner & NSC vs Reverse Engineer
Автоматическое откручивание SSL pinning-а не всегда хорошо работает и порой приходится выпиливать его руками, чтобы посмотреть трафик приложения. Напишем приложение с двумя видами пиннинга сертификатов и обфусцируем его (чтобы было интереснее). А потом покажу…
Использование Ghidra для реверс-инжиниринга приложений
Достаточно часто приходится иметь дело с реверсом приложений, особенно под iOS или нативных библиотек для Android. Есть много инструментов, как платных, так и "условно платных". Каждый использует то, что ему удобнее.
Одни из самых распространенных инструментов - IDA Pro, Hopper Disassembler, Ghidra. Именно о последнем инструменте идет речь в статье.
Ghidra - Open Source проект, с открытым исходным кодом, достаточно удобный и доступный под все платформы. Единственное, его нельзя скачать с российских ip-адресов, но я думаю мы все умеем пользоваться VPN 😁 На базе Ghidra построено достаточно много фреймворков, про один из которых, для анализа iOS kernelcache я когда-то писал.
Статья будет полезна скорее начинающим, никакого рокет-саенса нет, показано, как работать с APK файлами и нативными либами внутри и немного теории. В целом, достаточно неплохо для ознакомления.
#Disassembler #Ghidra
Достаточно часто приходится иметь дело с реверсом приложений, особенно под iOS или нативных библиотек для Android. Есть много инструментов, как платных, так и "условно платных". Каждый использует то, что ему удобнее.
Одни из самых распространенных инструментов - IDA Pro, Hopper Disassembler, Ghidra. Именно о последнем инструменте идет речь в статье.
Ghidra - Open Source проект, с открытым исходным кодом, достаточно удобный и доступный под все платформы. Единственное, его нельзя скачать с российских ip-адресов, но я думаю мы все умеем пользоваться VPN 😁 На базе Ghidra построено достаточно много фреймворков, про один из которых, для анализа iOS kernelcache я когда-то писал.
Статья будет полезна скорее начинающим, никакого рокет-саенса нет, показано, как работать с APK файлами и нативными либами внутри и немного теории. В целом, достаточно неплохо для ознакомления.
#Disassembler #Ghidra
Medium
How to use Ghidra to Reverse Engineer Mobile Application
Unveil the
Получение доступа к произвольным контент-провайдерам
Очередная отличная статья от Oversecured!
На этот раз про эксплуатацию уязвимостей в Content Providers. Как обычно, с примерами уязвимого кода и PoC эксплуатации уязвимостей, которые действительно встречаются в реальном мире, что придает им намного больше ценности!
В статье описаны целых три способа, как можно получить доступ к Content Providers и как от этого можно защититься.
Очень рекомендую к прочтению!
#Android #Oversecured #ContentProvider
Очередная отличная статья от Oversecured!
На этот раз про эксплуатацию уязвимостей в Content Providers. Как обычно, с примерами уязвимого кода и PoC эксплуатации уязвимостей, которые действительно встречаются в реальном мире, что придает им намного больше ценности!
В статье описаны целых три способа, как можно получить доступ к Content Providers и как от этого можно защититься.
Очень рекомендую к прочтению!
#Android #Oversecured #ContentProvider
Ещё одна уязвимость с диалогами в Android
И снова очередная манипуляция с диалогами в Android, которая позволяет заменить смысл окна подтверждения.
На этот раз, это пейринг Bluetooth устройств, в имени которых есть символ переноса строки. Из-за этого символа оригинальный текст съезжает вниз и его не видно :)) То есть, назвав устройство специальным образом - можно сдвинуть текст разрешений, который оно просит и заменить на что-то.
Второй вариант - использовать имя устройства, которое "перевернёт" смысл диалога. То есть вместо "Устройство просит доступ к смс", можно назвать устройство специальным образом (добавив слово "запретить") и получится "Устройство просит доступ к смс, запретить?"
После нажатия пользователем на кнопку "yes", мы получим нужный доступ. Гениально и просто!
На самом деле какая-то беда прям у Android с всплывающими окнами)
#Android #Clickjacking
И снова очередная манипуляция с диалогами в Android, которая позволяет заменить смысл окна подтверждения.
На этот раз, это пейринг Bluetooth устройств, в имени которых есть символ переноса строки. Из-за этого символа оригинальный текст съезжает вниз и его не видно :)) То есть, назвав устройство специальным образом - можно сдвинуть текст разрешений, который оно просит и заменить на что-то.
Второй вариант - использовать имя устройства, которое "перевернёт" смысл диалога. То есть вместо "Устройство просит доступ к смс", можно назвать устройство специальным образом (добавив слово "запретить") и получится "Устройство просит доступ к смс, запретить?"
После нажатия пользователем на кнопку "yes", мы получим нужный доступ. Гениально и просто!
На самом деле какая-то беда прям у Android с всплывающими окнами)
#Android #Clickjacking
Подборка инструментов, кража локации через открытие ссылки, гибернация в Android 12
Как-то не нашел сегодня больших и интересных статей, зато есть несколько относительно небольших и занятных:
- Подборка инструментов для анализа приложений от kitploit. Часть всем широко известна, какие-то устарели, но можно найти что-то новое) ну и как сборник ссылок в одном месте пойдёт)
- Краткий обзор уязвимости в Shazam, которая позволяла отправлять геопозицию пользователя через уязвимость в WebView. Вообще интересный вектор, когда ты обходишь ограничения системы на доступ твоего приложения к геолокации вызывая другое приложение, у которого есть такие права 😄
- Новый режим гибернации приложений в грядущем Android 12. Если ты давно не пользовался приложением, система может очистить его кэш для экономии пространства, а потом и вовсе перевести в состояние "сна". Прикольная функция) но будет ли она в итоге в релизе, непонятно :)
Всем отличных выходных, отдохните перед новой интересной неделей! 🥃
#News #Android #Friday
Как-то не нашел сегодня больших и интересных статей, зато есть несколько относительно небольших и занятных:
- Подборка инструментов для анализа приложений от kitploit. Часть всем широко известна, какие-то устарели, но можно найти что-то новое) ну и как сборник ссылок в одном месте пойдёт)
- Краткий обзор уязвимости в Shazam, которая позволяла отправлять геопозицию пользователя через уязвимость в WebView. Вообще интересный вектор, когда ты обходишь ограничения системы на доступ твоего приложения к геолокации вызывая другое приложение, у которого есть такие права 😄
- Новый режим гибернации приложений в грядущем Android 12. Если ты давно не пользовался приложением, система может очистить его кэш для экономии пространства, а потом и вовсе перевести в состояние "сна". Прикольная функция) но будет ли она в итоге в релизе, непонятно :)
Всем отличных выходных, отдохните перед новой интересной неделей! 🥃
#News #Android #Friday
KitPloit - PenTest & Hacking Tools
MobileHackersWeapons - Mobile Hacker's Weapons / A Collection Of Cool Tools Used By Mobile Hackers
Анализ кроссплатформенных приложений
Интересная статья про реверс и статический анализ React Native приложений.
Автор рассказывает про различные способы анализа, модификации и исследования приложений с использованием Hermes и без него.
В примерах также есть ссылка на несколько тестовых apk, на которых можно попробовать в статье методики или попробовать решить самому! Там как раз есть лаба с чистым js и с использованием "Гермеса".
Нравится заключение автора, что использование Hermes не имеет минусов, за исключением более сложного реверса (There is no disadvantage to enabling it (except making it hard to perform reverse engineering)), но что-то мне очень слабо верится в это, должны быть подводные камни, иначе это просто нечестно 😁
Вообще, достаточно интересная статья, заставляет походить по кросс-ссылкам и почитать побольше про этот механизм)
#ReactNative #Android #iOS #Reverse #js
Интересная статья про реверс и статический анализ React Native приложений.
Автор рассказывает про различные способы анализа, модификации и исследования приложений с использованием Hermes и без него.
В примерах также есть ссылка на несколько тестовых apk, на которых можно попробовать в статье методики или попробовать решить самому! Там как раз есть лаба с чистым js и с использованием "Гермеса".
Нравится заключение автора, что использование Hermes не имеет минусов, за исключением более сложного реверса (There is no disadvantage to enabling it (except making it hard to perform reverse engineering)), но что-то мне очень слабо верится в это, должны быть подводные камни, иначе это просто нечестно 😁
Вообще, достаточно интересная статья, заставляет походить по кросс-ссылкам и почитать побольше про этот механизм)
#ReactNative #Android #iOS #Reverse #js