Всем привет!
Давно не было интересных новостей и вот самая актуальная тема всех чатов -
На этот раз это видео про обход этого во Flutter-based приложениях. И это весьма интересно, так как Flutter внутри себя использует несколько другие подходы и стандартные скрипты по снятию защиты не работают.
К сожалению, это видно на английском от индуса с классическим акцентом, который надо уметь слушать, моего терпения не хватает, а сожалению.
А вообще в канале достаточно много интересных видео на тему анализа мобильных приложений и использования Frida и других инструментов. Тае что, кому заходит видео-инструкции и кто выдерживает индусский акцент, может быть достаточно интересно.
#android #pinning #flutter
YouTube
Bypass SSL Pinning for Flutter apps using Frida
Hello everyone,
In this video we're diving deep into the world of SSL traffic interception in Flutter Android applications. Flutter handles SSL/TLS differently from your typical Android apps, and in this video, we're going to explore the inner workings.…
In this video we're diving deep into the world of SSL traffic interception in Flutter Android applications. Flutter handles SSL/TLS differently from your typical Android apps, and in this video, we're going to explore the inner workings.…
👍20❤2👎1🔥1
Как обеспечить безопасность flutter-приложений
Статья, которая не как все, рассказывает о применении reFlutter для анализа таких приложений, а наоборот, объясняет как их можно защитить от угроз, описанных в OWASP Mobile.
В статье описаны, на самом деле, базовые техники и общие рекомендации, иногда с примерами кода и советами по используемым плагинам.
Иногда я бы не стал им сильно доверять, например, совету с использованием Flutter-secure-storage, но все равно, отправная точка есть.
Да, пусть статья и не самая подробная и имеет только общие рекомендации, но все равно такого материала часто сильно не хватает. И я очень рекомендую ее пролистать и отправить почитать разработчикам кроссплатформенных приложений.
Хороших выходных!
#flutter #secure #owasp
Статья, которая не как все, рассказывает о применении reFlutter для анализа таких приложений, а наоборот, объясняет как их можно защитить от угроз, описанных в OWASP Mobile.
В статье описаны, на самом деле, базовые техники и общие рекомендации, иногда с примерами кода и советами по используемым плагинам.
Иногда я бы не стал им сильно доверять, например, совету с использованием Flutter-secure-storage, но все равно, отправная точка есть.
Да, пусть статья и не самая подробная и имеет только общие рекомендации, но все равно такого материала часто сильно не хватает. И я очень рекомендую ее пролистать и отправить почитать разработчикам кроссплатформенных приложений.
Хороших выходных!
#flutter #secure #owasp
8kSec - 8kSec is a cybersecurity research & training company. We provide high-quality training & consulting services.
How to Secure Flutter Applications Against the OWASP Mobile Top 10 for 2024 - 8kSec
Explore best practices for securing a Flutter application using OWASP Mobile Top 10 2024 list and look into crucial areas like credential mishandling, communication vulnerabilities, data storage pitfalls, and binary protection weaknesses and also steps to…
👍9🔥4
Реверс Flutter-приложений
И снова речь пойдёт о Reflutter и как с ним работать!
Шутка :)
Это презентация с nullcoin, в которой рассказывают о внутреннем строении таких приложений и о том, как их можно разреверсить. В качестве подопытного взяли приложение на Flutter из GreHack CTF 2023.
Достаточно продвинутый и подробный доклад, можно очень много нового и интересного почерпнуть, если занимаетесь реверсом. Для меня немного сложновато, но думаю, найдутся те, кому он будет по душе.
К сожалению, в статье только презентация, но я нашел еще и видео выступления. Так что можно ознакомиться полностью.
#flutter #reverse
И снова речь пойдёт о Reflutter и как с ним работать!
Шутка :)
Это презентация с nullcoin, в которой рассказывают о внутреннем строении таких приложений и о том, как их можно разреверсить. В качестве подопытного взяли приложение на Flutter из GreHack CTF 2023.
Достаточно продвинутый и подробный доклад, можно очень много нового и интересного почерпнуть, если занимаетесь реверсом. Для меня немного сложновато, но думаю, найдутся те, кому он будет по душе.
К сожалению, в статье только презентация, но я нашел еще и видео выступления. Так что можно ознакомиться полностью.
#flutter #reverse
FortiGuard Labs
Publications | FortiGuard Labs
Flutter is a cross-platform application development platform. With the same codebase, developers write and compile native applications for Android,...
👍5
Настраиваем проксирование Windows-Flutter приложений
И снова про флаттер) Как-тов моей копилке собралось много материала по нему…
Но на этот раз это будут приложения, которые написаны под Windows. Весьма необычно и крайне мало информации про это.
Статья рассказывает, как устроены Flutter приложения, когда они собраны в exe файл. И главное, как настроить перехват трафика и как отключить SSL Pinning при помощи Frida. Автор любезно выложил проект на гитхаб, помимо детального описания работы в самой статье.
Конечно, не все так гладко у автора прошло и он не смог решить несколько вещей, которые (возможно), оставил на потом. Но как минимум одно рабочее решение точно есть 😅
Быть может, кому-то это будет полезно, особенно, если нужно собрать трафик, но нет опыта работы с мобильными приложениями.
Приятного чтения!
#flutter #windows #proxy #sslpinning
И снова про флаттер) Как-тов моей копилке собралось много материала по нему…
Но на этот раз это будут приложения, которые написаны под Windows. Весьма необычно и крайне мало информации про это.
Статья рассказывает, как устроены Flutter приложения, когда они собраны в exe файл. И главное, как настроить перехват трафика и как отключить SSL Pinning при помощи Frida. Автор любезно выложил проект на гитхаб, помимо детального описания работы в самой статье.
Конечно, не все так гладко у автора прошло и он не смог решить несколько вещей, которые (возможно), оставил на потом. Но как минимум одно рабочее решение точно есть 😅
Быть может, кому-то это будет полезно, особенно, если нужно собрать трафик, но нет опыта работы с мобильными приложениями.
Приятного чтения!
#flutter #windows #proxy #sslpinning
Medium
Flutter Windows Thick Client SSL Pinning Bypass
I recently worked on a Flutter-based application and learned that it is different from other hybrid frameworks like React Native or…
👍5🤓3❤1🔥1
Flutter и биометрия, как сделать лучше?
Всем привет!
Не так давно я рассказывал вебинар и доклад на OFFZone про безопасность мобилок и упоминал там про Flutter.
Упоминал я его в негативном ключе, так как очень часто при реализации аутентификации допускаются стандартные ошибки.
В первую очередь это касается биометрии и подсчета неправильных попыток для ввода пин кода:
1. Отсутствие реакции на изменение биометрических данных (когда меняем/добавляем отпечаток/FaceId, по новому можно зайти в приложение)
2. Бесконечный перебор пинкода (из-за того, что счетчик это переменная внутри Flutter, которая хранится в памяти)
3. Использование Event-bound подхода, когда есть возможность на скомпрометированном устройстве подменить ответ системы и всегда возвращать true на запрос о совпадении биометрии.
Для перебора пинкода все понятно, нужно просто вынести счетчик куда-то в постоянное хранилище, а не держать его в памяти, чтобы он не обнулялся с каждым перезапуском приложения.
До недавнего времени по двум другим проблемам я не знал решения, так как практически все Flutter-приложения с биометрией имели подобную проблему.
Но, сегодня мне подсказали один замечательный плагин, который позволяет отслеживать изменение биометрии на устройстве и очень круто!
Я теперь всем его буду рекомендовать) То есть, это библиотечка для Flutter, которая позволяет приложению отслеживать и реагировать на изменение биометрических данных на устройстве. И при их изменении можно будет попросить пользователя снова пройти аутентификацию по паролю(например) и в случае успеха перерегистрировать биометрию! Класс!
Однако, по проблеме обхода есть еще вопросы.. Может кто-то знает хорошую библиотеку для Flutter, которая бы делала биометрию корректно и безопасно?)
Поделитесь, пожалуйста)
#flutter #biometric #bypass
Всем привет!
Не так давно я рассказывал вебинар и доклад на OFFZone про безопасность мобилок и упоминал там про Flutter.
Упоминал я его в негативном ключе, так как очень часто при реализации аутентификации допускаются стандартные ошибки.
В первую очередь это касается биометрии и подсчета неправильных попыток для ввода пин кода:
1. Отсутствие реакции на изменение биометрических данных (когда меняем/добавляем отпечаток/FaceId, по новому можно зайти в приложение)
2. Бесконечный перебор пинкода (из-за того, что счетчик это переменная внутри Flutter, которая хранится в памяти)
3. Использование Event-bound подхода, когда есть возможность на скомпрометированном устройстве подменить ответ системы и всегда возвращать true на запрос о совпадении биометрии.
Для перебора пинкода все понятно, нужно просто вынести счетчик куда-то в постоянное хранилище, а не держать его в памяти, чтобы он не обнулялся с каждым перезапуском приложения.
До недавнего времени по двум другим проблемам я не знал решения, так как практически все Flutter-приложения с биометрией имели подобную проблему.
Но, сегодня мне подсказали один замечательный плагин, который позволяет отслеживать изменение биометрии на устройстве и очень круто!
Я теперь всем его буду рекомендовать) То есть, это библиотечка для Flutter, которая позволяет приложению отслеживать и реагировать на изменение биометрических данных на устройстве. И при их изменении можно будет попросить пользователя снова пройти аутентификацию по паролю(например) и в случае успеха перерегистрировать биометрию! Класс!
Однако, по проблеме обхода есть еще вопросы.. Может кто-то знает хорошую библиотеку для Flutter, которая бы делала биометрию корректно и безопасно?)
Поделитесь, пожалуйста)
#flutter #biometric #bypass
Dart packages
did_change_authlocal | Flutter package
The package check did change authlocal
👍11🔥6
Плагин для Magisk - перехват трафика Flutter-приложений
Всем привет!
Недавно мне написал @mike_fpv с крутой историей про то, что они сделали! А именно, удобный плагинчик для перехвата трафика Flutter-приложений. Все мы знаем, что флаттер игнорирует системные настройки проксирования и нужно либо патчить приложение reFlutter-ом, либо ручками настраивать iptables (там где они есть).
История создания плагина от автора:
Ну и собственно ссылка на сам плагин:
https://github.com/czuryk/IPTUpdaterPlugin/
Вот побольше бы таких людей, кто делает вещи, которые нам очень помогают. Спасибо большое @mike_fpv!
#Flutter #Android #Traffic
Всем привет!
Недавно мне написал @mike_fpv с крутой историей про то, что они сделали! А именно, удобный плагинчик для перехвата трафика Flutter-приложений. Все мы знаем, что флаттер игнорирует системные настройки проксирования и нужно либо патчить приложение reFlutter-ом, либо ручками настраивать iptables (там где они есть).
История создания плагина от автора:
Хочу поделится информацией о своем плагине, который мне очень помогает в регулярной работе с перхватом траффика флаттер приложений. C коллегой, настраивали перехват флаттер трафика на одном из устройств и я с удивлением обнаружил, что оказывается ProxyDroid вообще выпилили из Google Store. Суть в том, что для флаттера не достаточно только прописать прокси в настройках вай-фай, но так же нужно менять маршрутизацию на самом устройстве, и раньше для этого служил ProxyDroid, но на SamsungS24 + Android 14 я обнаружил, что он только делает вид что работает, но по факту ничего не делает. Помучившись с изменением iptables вручную через коммандную строку, я написал свой плагин для Магиска. Его суть довольно простая - отслеживать изменение конфигурации для файфая и автоматически патчить iptables на нужные параметры. В итоге я пользуюсь им сам уже более 2х месяцев и только положительные впечатления, когда переключаюсь на разные компы и разные прокси, переключение происходит максимально бесшовно. Уверен кому то тоже пригодится, особенно, когда ProxyDroid стал недоступен.
Ну и собственно ссылка на сам плагин:
https://github.com/czuryk/IPTUpdaterPlugin/
Вот побольше бы таких людей, кто делает вещи, которые нам очень помогают. Спасибо большое @mike_fpv!
#Flutter #Android #Traffic
GitHub
GitHub - czuryk/IPTUpdaterPlugin: Magisk Plugin for Updating iptables When Proxy Changes
Magisk Plugin for Updating iptables When Proxy Changes - czuryk/IPTUpdaterPlugin
🔥10👍4❤2