Реверс Flutter-приложений
И снова речь пойдёт о Reflutter и как с ним работать!
Шутка :)
Это презентация с nullcoin, в которой рассказывают о внутреннем строении таких приложений и о том, как их можно разреверсить. В качестве подопытного взяли приложение на Flutter из GreHack CTF 2023.
Достаточно продвинутый и подробный доклад, можно очень много нового и интересного почерпнуть, если занимаетесь реверсом. Для меня немного сложновато, но думаю, найдутся те, кому он будет по душе.
К сожалению, в статье только презентация, но я нашел еще и видео выступления. Так что можно ознакомиться полностью.
#flutter #reverse
И снова речь пойдёт о Reflutter и как с ним работать!
Шутка :)
Это презентация с nullcoin, в которой рассказывают о внутреннем строении таких приложений и о том, как их можно разреверсить. В качестве подопытного взяли приложение на Flutter из GreHack CTF 2023.
Достаточно продвинутый и подробный доклад, можно очень много нового и интересного почерпнуть, если занимаетесь реверсом. Для меня немного сложновато, но думаю, найдутся те, кому он будет по душе.
К сожалению, в статье только презентация, но я нашел еще и видео выступления. Так что можно ознакомиться полностью.
#flutter #reverse
FortiGuard Labs
Publications | FortiGuard Labs
Flutter is a cross-platform application development platform. With the same codebase, developers write and compile native applications for Android,...
Настраиваем проксирование Windows-Flutter приложений
И снова про флаттер) Как-тов моей копилке собралось много материала по нему…
Но на этот раз это будут приложения, которые написаны под Windows. Весьма необычно и крайне мало информации про это.
Статья рассказывает, как устроены Flutter приложения, когда они собраны в exe файл. И главное, как настроить перехват трафика и как отключить SSL Pinning при помощи Frida. Автор любезно выложил проект на гитхаб, помимо детального описания работы в самой статье.
Конечно, не все так гладко у автора прошло и он не смог решить несколько вещей, которые (возможно), оставил на потом. Но как минимум одно рабочее решение точно есть 😅
Быть может, кому-то это будет полезно, особенно, если нужно собрать трафик, но нет опыта работы с мобильными приложениями.
Приятного чтения!
#flutter #windows #proxy #sslpinning
И снова про флаттер) Как-тов моей копилке собралось много материала по нему…
Но на этот раз это будут приложения, которые написаны под Windows. Весьма необычно и крайне мало информации про это.
Статья рассказывает, как устроены Flutter приложения, когда они собраны в exe файл. И главное, как настроить перехват трафика и как отключить SSL Pinning при помощи Frida. Автор любезно выложил проект на гитхаб, помимо детального описания работы в самой статье.
Конечно, не все так гладко у автора прошло и он не смог решить несколько вещей, которые (возможно), оставил на потом. Но как минимум одно рабочее решение точно есть 😅
Быть может, кому-то это будет полезно, особенно, если нужно собрать трафик, но нет опыта работы с мобильными приложениями.
Приятного чтения!
#flutter #windows #proxy #sslpinning
Medium
Flutter Windows Thick Client SSL Pinning Bypass
I recently worked on a Flutter-based application and learned that it is different from other hybrid frameworks like React Native or…
Flutter и биометрия, как сделать лучше?
Всем привет!
Не так давно я рассказывал вебинар и доклад на OFFZone про безопасность мобилок и упоминал там про Flutter.
Упоминал я его в негативном ключе, так как очень часто при реализации аутентификации допускаются стандартные ошибки.
В первую очередь это касается биометрии и подсчета неправильных попыток для ввода пин кода:
1. Отсутствие реакции на изменение биометрических данных (когда меняем/добавляем отпечаток/FaceId, по новому можно зайти в приложение)
2. Бесконечный перебор пинкода (из-за того, что счетчик это переменная внутри Flutter, которая хранится в памяти)
3. Использование Event-bound подхода, когда есть возможность на скомпрометированном устройстве подменить ответ системы и всегда возвращать true на запрос о совпадении биометрии.
Для перебора пинкода все понятно, нужно просто вынести счетчик куда-то в постоянное хранилище, а не держать его в памяти, чтобы он не обнулялся с каждым перезапуском приложения.
До недавнего времени по двум другим проблемам я не знал решения, так как практически все Flutter-приложения с биометрией имели подобную проблему.
Но, сегодня мне подсказали один замечательный плагин, который позволяет отслеживать изменение биометрии на устройстве и очень круто!
Я теперь всем его буду рекомендовать) То есть, это библиотечка для Flutter, которая позволяет приложению отслеживать и реагировать на изменение биометрических данных на устройстве. И при их изменении можно будет попросить пользователя снова пройти аутентификацию по паролю(например) и в случае успеха перерегистрировать биометрию! Класс!
Однако, по проблеме обхода есть еще вопросы.. Может кто-то знает хорошую библиотеку для Flutter, которая бы делала биометрию корректно и безопасно?)
Поделитесь, пожалуйста)
#flutter #biometric #bypass
Всем привет!
Не так давно я рассказывал вебинар и доклад на OFFZone про безопасность мобилок и упоминал там про Flutter.
Упоминал я его в негативном ключе, так как очень часто при реализации аутентификации допускаются стандартные ошибки.
В первую очередь это касается биометрии и подсчета неправильных попыток для ввода пин кода:
1. Отсутствие реакции на изменение биометрических данных (когда меняем/добавляем отпечаток/FaceId, по новому можно зайти в приложение)
2. Бесконечный перебор пинкода (из-за того, что счетчик это переменная внутри Flutter, которая хранится в памяти)
3. Использование Event-bound подхода, когда есть возможность на скомпрометированном устройстве подменить ответ системы и всегда возвращать true на запрос о совпадении биометрии.
Для перебора пинкода все понятно, нужно просто вынести счетчик куда-то в постоянное хранилище, а не держать его в памяти, чтобы он не обнулялся с каждым перезапуском приложения.
До недавнего времени по двум другим проблемам я не знал решения, так как практически все Flutter-приложения с биометрией имели подобную проблему.
Но, сегодня мне подсказали один замечательный плагин, который позволяет отслеживать изменение биометрии на устройстве и очень круто!
Я теперь всем его буду рекомендовать) То есть, это библиотечка для Flutter, которая позволяет приложению отслеживать и реагировать на изменение биометрических данных на устройстве. И при их изменении можно будет попросить пользователя снова пройти аутентификацию по паролю(например) и в случае успеха перерегистрировать биометрию! Класс!
Однако, по проблеме обхода есть еще вопросы.. Может кто-то знает хорошую библиотеку для Flutter, которая бы делала биометрию корректно и безопасно?)
Поделитесь, пожалуйста)
#flutter #biometric #bypass
Dart packages
did_change_authlocal | Flutter package
The package check did change authlocal