Когда начинаешь задумываться о разработке своего приложения, всегда держишь в голове, что делать его придётся для двух платформ iOS и Android. Но зачем два приложения, когда можно "немного" сэкономить и сделать одно, которое будет работать и там, и там?
Для того, что бы это реализовать используются специальные кроссплатформенные фреймворки. Не сказать, чтобы их было великое множество, но они есть и пользуются популярностью даже у крупных компаний. 🤔
Сегодня речь пойдет об одном из таких фреймворков - Flutter. Развивается данный проект компанией Google, и это пока единственный способ запустить ваше приложение на их новой операционной системе Fuchsia. Для написания приложений используется язык Dart, также разработанный Гуглом. В общем - если вы фанат Google - вам точно понравится 🤣
Сложность анализа таких приложений в том, что они могут не использовать системный функционал или библиотеки , так что перехватить вызов различных методов или переопределить возвращаемое значение функций стандартными инструментами будет проблематично. Особенно это касается отключения SSL-Pinning. При первом исследовании такого приложения я потратил немало времени, чтобы добиться-таки адекватного перехвата трафика.
Очень мне помогла вот эта замечательная статья, в которой автор подробно рассказывает, как именно найти нужное место в приложении, отвечающее за проверки сертификата, и как эту проверку отключить. Читается очень легко, содержит подробные инструкции, которые могут не раз вам пригодиться)
#iOS #Android #Analysis #Flutter #MiTM
Для того, что бы это реализовать используются специальные кроссплатформенные фреймворки. Не сказать, чтобы их было великое множество, но они есть и пользуются популярностью даже у крупных компаний. 🤔
Сегодня речь пойдет об одном из таких фреймворков - Flutter. Развивается данный проект компанией Google, и это пока единственный способ запустить ваше приложение на их новой операционной системе Fuchsia. Для написания приложений используется язык Dart, также разработанный Гуглом. В общем - если вы фанат Google - вам точно понравится 🤣
Сложность анализа таких приложений в том, что они могут не использовать системный функционал или библиотеки , так что перехватить вызов различных методов или переопределить возвращаемое значение функций стандартными инструментами будет проблематично. Особенно это касается отключения SSL-Pinning. При первом исследовании такого приложения я потратил немало времени, чтобы добиться-таки адекватного перехвата трафика.
Очень мне помогла вот эта замечательная статья, в которой автор подробно рассказывает, как именно найти нужное место в приложении, отвечающее за проверки сертификата, и как эту проверку отключить. Читается очень легко, содержит подробные инструкции, которые могут не раз вам пригодиться)
#iOS #Android #Analysis #Flutter #MiTM
Анализ Flutter приложений
Ранее было несколько статей про обход SSL-Pinning в приложениях, написанных при помощи Flutter. Но гайда, как устроены эти приложения внутри и как их правильно анализировать я не встречал.
Один из подписчиков, спасибо ему большое, поделился подробнейшей статьёй про реверс-инжиниринг таких приложений. Автор описывает, что это за технология, как она устроена, что за что отвечает. Ждём вторую статью с описанием процесса анализа реальных приложений 😉
Крайне полезная вещь, рекомендую всем, кому приходится сталкиваться с анализом таких приложений.
#Flutter #Analisys #Revers
Ранее было несколько статей про обход SSL-Pinning в приложениях, написанных при помощи Flutter. Но гайда, как устроены эти приложения внутри и как их правильно анализировать я не встречал.
Один из подписчиков, спасибо ему большое, поделился подробнейшей статьёй про реверс-инжиниринг таких приложений. Автор описывает, что это за технология, как она устроена, что за что отвечает. Ждём вторую статью с описанием процесса анализа реальных приложений 😉
Крайне полезная вещь, рекомендую всем, кому приходится сталкиваться с анализом таких приложений.
#Flutter #Analisys #Revers
Разбор Flutter
Почему-то очень знакомая статья по виду, но не помню, чтобы я её скидывал.
Введение в реверс flutter приложений, где неплохо расписана вводная часть, про то как он устроен, что мы видим со стороны реверса, основные особенности.
Не так, чтобы это была методичка по анализу, но для понимания как и что устроено подойдёт отлично!
#flutter #android #reverse
Почему-то очень знакомая статья по виду, но не помню, чтобы я её скидывал.
Введение в реверс flutter приложений, где неплохо расписана вводная часть, про то как он устроен, что мы видим со стороны реверса, основные особенности.
Не так, чтобы это была методичка по анализу, но для понимания как и что устроено подойдёт отлично!
#flutter #android #reverse
A Moment of Insanity
Reverse engineering Flutter for Android
Disclaimer: the contents of this article are the result of countless hours of personal investigation combined with exhaustive trial and error. I have never contacted Flutter or Dart development tea…
Реверс приложений на Flutter
Несколько раз за последнее время в различных чатах всплывал вопрос про анализ приложений на Flutter, как к ним подступиться, как анализировать?
И там же всплыла очень интересная ссылка на инструмент по реверсу Flutter-приложений под названием reFlutter.
Из описания:
Этот фреймворк помогает при реверсе Flutter приложений благодаря пропатченной версии библиотеки Flutter, которая скомпилирована и готова к переупаковке приложения. В этой библиотеке изменен процесс десериализации, для более удобного динамического анализа.
Поддерживает iOS и Android и умеет перехватыватывать трафик приложения и перенаправлять его на прокси без необходимости ставить сертификаты и рутовать устройство. По словам создателя он автоматически умеет снимать некоторые виды Certificate Pinning, который используется во Flutter. Как мне кажется, только ради этого можно его попробовать 😁
Я сам пока не добрался до него, так как не было подходящего случая, но, думаю что в скором поюзаю) Ну и если у вас есть опыт использования - напшите, как этот фреймворк показывает себя в деле)
#tools #flutter #reverse #pinning
Несколько раз за последнее время в различных чатах всплывал вопрос про анализ приложений на Flutter, как к ним подступиться, как анализировать?
И там же всплыла очень интересная ссылка на инструмент по реверсу Flutter-приложений под названием reFlutter.
Из описания:
Этот фреймворк помогает при реверсе Flutter приложений благодаря пропатченной версии библиотеки Flutter, которая скомпилирована и готова к переупаковке приложения. В этой библиотеке изменен процесс десериализации, для более удобного динамического анализа.
Поддерживает iOS и Android и умеет перехватыватывать трафик приложения и перенаправлять его на прокси без необходимости ставить сертификаты и рутовать устройство. По словам создателя он автоматически умеет снимать некоторые виды Certificate Pinning, который используется во Flutter. Как мне кажется, только ради этого можно его попробовать 😁
Я сам пока не добрался до него, так как не было подходящего случая, но, думаю что в скором поюзаю) Ну и если у вас есть опыт использования - напшите, как этот фреймворк показывает себя в деле)
#tools #flutter #reverse #pinning
GitHub
GitHub - ptswarm/reFlutter: Flutter Reverse Engineering Framework
Flutter Reverse Engineering Framework. Contribute to ptswarm/reFlutter development by creating an account on GitHub.