Что только не сделаешь, чтобы защитить свой API от ботов, злоумышленников, индусов с Acunetix и прочих нежелательных посетителей.
Особенно в этом преуспел Snapchat, который проделал огромную работу по обфускации и защите своего приложения. Тут тебе и код перенесенный в нативные библиотеки, и сложнейая обфускация, и специально оставленные "мертвые" участки кода, динамические вызовы библиотек и многое другое. В общем, полный набор!
Описание, как именно использует все эти техники Snapchat описаны в статье "Reverse Engineering Snapchat (Part I)". Автор разбирает используемые техники, описывает как и на что они влияют и от чего защищают. Можно позаимствовать некоторые из них для своего приложения :)
Еще больше меня радует, что в следующей статье автор обещает рассказать, как он обошел все эти ограничения и с какими сложностями столкнулся. Очень жду продолжения :)
#Snapchat #Reverse #iOS #Research
Особенно в этом преуспел Snapchat, который проделал огромную работу по обфускации и защите своего приложения. Тут тебе и код перенесенный в нативные библиотеки, и сложнейая обфускация, и специально оставленные "мертвые" участки кода, динамические вызовы библиотек и многое другое. В общем, полный набор!
Описание, как именно использует все эти техники Snapchat описаны в статье "Reverse Engineering Snapchat (Part I)". Автор разбирает используемые техники, описывает как и на что они влияют и от чего защищают. Можно позаимствовать некоторые из них для своего приложения :)
Еще больше меня радует, что в следующей статье автор обещает рассказать, как он обошел все эти ограничения и с какими сложностями столкнулся. Очень жду продолжения :)
#Snapchat #Reverse #iOS #Research
В чате (который доступен по кнопке "Обсудить"), очень верно отметили, что уже вышла вторая статья по Snapchat!
И да, автор не обманул, он действительно описывает, как ему удалось обойти те или иные проверки и получить-таки заветное значение токена. Правда, до конца он так и не рассказал, как взаимодействовать с их API, оставил так сказать поресерчить самим 😃
Но все равно классная статья! 🤓
#Snapchat #Reverse #iOS #Research
И да, автор не обманул, он действительно описывает, как ему удалось обойти те или иные проверки и получить-таки заветное значение токена. Правда, до конца он так и не рассказал, как взаимодействовать с их API, оставил так сказать поресерчить самим 😃
Но все равно классная статья! 🤓
#Snapchat #Reverse #iOS #Research
Что и как хранит Snapchat на iOS?
Отличную статью про анализ данных Snapchat порекомендовал в нашем чате @testing_guy, спасибо!
На самом деле, после прочтения остался вопрос, почему Snapchat хранит столько информации в открытом виде и не использует более защищённые способы хранения,хотябы через NSFileProtection?
Очень сомневаюсь, что они настолько заморочились с генерацией токена для взаимодействия со своим API и забыли про локальные данные.
Скорее всего их политика такая же, как и у WhatsUp, который вообще всё хранит plaintext в базе :) Модель угроз, которая не учитывает локального нарушителя с доступом к устройству. То если что-то случилось с трубкой, то это ваши проблемы))
Также стоит отметить и первую статью автора про начало пути в форензике и анализе iOS приложений.
Ну и напоследок, если захочется поэкспериментировать и посмотреть, какие файлы вообще доступны на устройстве до момента первой разблокировки, у автора есть классная утилита для этого! Пойду ребутну тестовый айфон и посмотрю, кто ещё забивает на рекомендации по использованию iOS Data Protection 😁
#iOS #Snapchat #Forensic
Отличную статью про анализ данных Snapchat порекомендовал в нашем чате @testing_guy, спасибо!
На самом деле, после прочтения остался вопрос, почему Snapchat хранит столько информации в открытом виде и не использует более защищённые способы хранения,хотябы через NSFileProtection?
Очень сомневаюсь, что они настолько заморочились с генерацией токена для взаимодействия со своим API и забыли про локальные данные.
Скорее всего их политика такая же, как и у WhatsUp, который вообще всё хранит plaintext в базе :) Модель угроз, которая не учитывает локального нарушителя с доступом к устройству. То если что-то случилось с трубкой, то это ваши проблемы))
Также стоит отметить и первую статью автора про начало пути в форензике и анализе iOS приложений.
Ну и напоследок, если захочется поэкспериментировать и посмотреть, какие файлы вообще доступны на устройстве до момента первой разблокировки, у автора есть классная утилита для этого! Пойду ребутну тестовый айфон и посмотрю, кто ещё забивает на рекомендации по использованию iOS Data Protection 😁
#iOS #Snapchat #Forensic