Skif_1993 Aug 3 2018 at 18:00

Отключение проверок состояния среды исполнения в Android-приложении

6 min

5.6K

Information Security*Development for Android*Mobile App Analytics*

+18

Comments 20

Prototik Aug 3 2018 at 18:57

И всё это обходится банальным Magisk (ну ладно, отладку и usb он не спрячет, но рут приложение не найдёт, зато пройдёт SafetyNet).

А вообще это дико раздражает, когда кто-то за меня решает, что и как я должен делать на моём устройстве.

Skif_1993 Aug 3 2018 at 19:07

Спасибо за отзыв. Ознакомлюсь с этими программами. Не знал про них

grvelvet Aug 4 2018 at 06:21

Да, отличная утилита, плюс ещё хороша systemless модулями.

Skif_1993 Aug 4 2018 at 18:36

Спасибо большое. Обязательно ознакомлюсь.

qw1 Aug 5 2018 at 13:46

Я думаю, когда Magisk наберёт популярность, сравнимую с chainfire SuperSU, будут прицельно его детектировать.

Prototik Aug 5 2018 at 23:38

В том то и дело, что он systemless (ставится в boot, само приложение может перепаковываться под непонятную белиберду). system раздел не трогается, dm-verify проходит, safetynet проходит — его *мягко говоря* трудно задетектить, если не сказать, что невозможно.

qw1 Aug 6 2018 at 07:21

Это так. Но boot разве не доступен приложениям на чтение? Можно распаковать initramfs и найти там следы Magisk.

Prototik Aug 6 2018 at 07:35

Но boot разве не доступен приложениям на чтение?

Конечно нет, все разделы — сплошное 0600 и доступны исключительно руту.

Mofas Aug 3 2018 at 22:29

Что использовали для обфускации?

Skif_1993 Aug 3 2018 at 22:39

Код не был обфусцирован.

arturdumchev Aug 4 2018 at 12:57

… предложили клиенту обфусцировать исходный код и использовать функции которые проверяют модификацию исходного кода.

Подскажите, что почитать по поводу функций проверки модификаций. Имеется в виду checksum-тесты?

Skif_1993 Aug 4 2018 at 18:36

Мы дали ему рекомендации из OWASP.
https://www.owasp.org/index.php/Mobile_Top_10_2016-M9-Reverse_Engineering

Zolg Aug 4 2018 at 18:17

Что там про отдельное место в аду, для постящих код картинками?

А по теме — на рутованом аппарате сколь либо серьезно усложнить жизнь шансов нет. (разве что совсем пионерам).
Зачем модифицировать исследуемый код, когда можно просто перехватить часть системных функций и творчески подменять результаты?

petrovichtim Aug 4 2018 at 18:45

Подскажите пожалуйста, какие есть бесплатные обфускаторы?

Skif_1993 Sep 7 2018 at 11:44

ProGuard — уже идёт в комплекте с Android Studio

Jarvis7 Aug 4 2018 at 22:06

Полезная статья. Продолжай в том же духе!

qw1 Aug 5 2018 at 13:48

Вы анализируете приложение, декомпилируя его, а затем ищете по ключевым словам.
Если, следуя вашим советам, клиент заранее обфусцирует код (да ещё воспользуется таким обфускатором, который шифрует строки), что вы будете делать? Скажете — «наш grep-анализ ничего не нашёл, тут всё безопасно»?

Skif_1993 Aug 5 2018 at 14:04

Вы снизите свои риски. Это точно.

qw1 Aug 5 2018 at 16:56

Так пока нет обфускации, вы находите уязвимости типа

или
Log.d(Class.TAG, "Generated Password=" + passwd);
или
MessageDigest.getInstance("MD5");
а так в коде было бы
а.b.aa(aa.b.a.decode("[encrypted 'MD5']"));
и никакой проблемы вы бы не нашли.

Artem_zin Aug 6 2018 at 04:39

Так и в чем здесь уязвимость?
Смогли украсть какие-то данные, или обмануть сервер? Нет.

То что происходит на устройстве пользователя — это дело пользователя, на остальных пользователей это никак не влияет.

Более того, нормальное приложение и не будет проверять есть ли рут или режим разработчика, отправить в аналитику на бекенд — почему нет, блокировать функционал — бред.

Show the best of all time