Обход SSL Pinning для Flutter-приложений с использованием Ghidra
На волне участившихся вопросов про Flutter-приложения (привет, Stepn) и большого количества людей, кто начинает их реверсить и смотреть в трафик, не могу не поделиться статьёй про снятие пиннинга при помощи Ghidra.
Статья представляет из себя последовательность действий, что делал автор, как искал и что заменял в libflutter.so. Интересно почитать, как он прошел этот путь, чем руководствовался и что в итоге получилось. Как обычно бывает, достаточно много референсов на другие не менее интересные статьи.
Можно попробовать это повторить или попробовать скачать уже модифицированный файл и его заменить в анализируемом приложении.
#Flutter #Android #Ghidra #pinning
На волне участившихся вопросов про Flutter-приложения (привет, Stepn) и большого количества людей, кто начинает их реверсить и смотреть в трафик, не могу не поделиться статьёй про снятие пиннинга при помощи Ghidra.
Статья представляет из себя последовательность действий, что делал автор, как искал и что заменял в libflutter.so. Интересно почитать, как он прошел этот путь, чем руководствовался и что в итоге получилось. Как обычно бывает, достаточно много референсов на другие не менее интересные статьи.
Можно попробовать это повторить или попробовать скачать уже модифицированный файл и его заменить в анализируемом приложении.
#Flutter #Android #Ghidra #pinning
Stepn
STEPN is a Web3 lifestyle app with Social-Fi and Game-Fi elements
In STEPN, your steps are worth more than you think -- exercising and moving outdoors
can now earn anyone tokens anytime, anywhere. We believe this simple design can nudge millions into healthier
lifestyles and bring them to the Web3 world.
can now earn anyone tokens anytime, anywhere. We believe this simple design can nudge millions into healthier
lifestyles and bring them to the Web3 world.
Всем любителям Flutter посвящается
В последнее время из каждого чата доносится Flutter, Flutter,Stepn Flutter.
Вот и исследователю попалось приложение, потенциально похожее на зловредное. А во время анализа выяснилось, что написано оно на платформе Andromo, что на самом деле тот же флаттер.
Статья разделена на несколько частей, анализ таких приложений в целом (подходы, инструменты и т.д.).
И вторая часть про анализ зловредности. Вообще, достаточно познавательная статейка.
Как оказалось в итоге, приложение это не малварь, но что-то мне подсказывает, что в скором времени мы ещё увидим статьи о новых типах зловредов, написанных на Dart..
#malware #flutter #reflutter
В последнее время из каждого чата доносится Flutter, Flutter,
Вот и исследователю попалось приложение, потенциально похожее на зловредное. А во время анализа выяснилось, что написано оно на платформе Andromo, что на самом деле тот же флаттер.
Статья разделена на несколько частей, анализ таких приложений в целом (подходы, инструменты и т.д.).
И вторая часть про анализ зловредности. Вообще, достаточно познавательная статейка.
Как оказалось в итоге, приложение это не малварь, но что-то мне подсказывает, что в скором времени мы ещё увидим статьи о новых типах зловредов, написанных на Dart..
#malware #flutter #reflutter
Medium
Reversing an Android sample which uses Flutter
Flutter is a framework able to build multi-platform apps (e.g. iOS and Android) from a single code base. The same source code is able to…
Розыгрыш на конференцию OFFZONE 2022 #2
Всем привет и с пятницей!
Друзья, как обещал, розыгрыш второй проходки на конференцию OFFZONE 2022, которая пройдет 25-26 августа в Москве!
Сегодня все больше и больше приложений пишут на кроссплатформенных фреймворках вроде React Native, Cordova, Flutter, Ionic и других. Много было статей и боли за последнее время по анализу Flutter (спасибо StepN за это), и много еще интересных статей, багов и блогов, в которых можно найти много полезной информации по анализу таких приложений.
На сегодняшний день, большинство известных мне инструментов (энтерпрайз и опенсорс) умеют хорошо работать только с нативной частью приложений (java/kotlin/swift/objective), но имеют ооочень ограниченную поддержку для всех остальных технологий. И стало интересно очень, а какие специфические баги есть в этих приложениях и как их можно искать?
Правила этого конкурса просты.
Отправьте в наш чат сообщение с тэгом #offzone2 и ссылкой/описанием/текстом на любые материалы (статьи, инструменты, репозитории, отчеты на H1, научные исследования), которые содержат информацию по анализу таких приложений или рассказывают о каких-то специфичных багах.
На самом деле, интересна любая информация, но, конечно, идеально был бы опыт личного использования инструментов или поиска багов, которые вы описываете, но в целом это не обязательно, так что присылайте материалы, которые вам когда-то помогли приступить к анализу кросс-платформ.
Через неделю-две я соберу все сообщения и выберу победителя! Выбирать буду по самому интересному репорту/новости/тулу, которое мне реально помогло при анализе таких приложений. И соберу большой пост, который будет содержать в себе все ваши ссылки и подборки материалов по этой тематике. Думаю, будет в дальнейшем хорошая шпаргалка =)
Ну и напомню, всем, кто принял участие в конкурсе (но не победил), но все-таки будет на оффзоне, приходите к нам на стенд и получите немного прикольного мерча (да-да, мы все ходим на конференции именно за этим)
Всем удачи и хорошего поиска, встретимся на OFFZONE!
#offzone2 #конкурс #cordova #flutter #reactnative #OFFZONE2022
Всем привет и с пятницей!
Друзья, как обещал, розыгрыш второй проходки на конференцию OFFZONE 2022, которая пройдет 25-26 августа в Москве!
Сегодня все больше и больше приложений пишут на кроссплатформенных фреймворках вроде React Native, Cordova, Flutter, Ionic и других. Много было статей и боли за последнее время по анализу Flutter (спасибо StepN за это), и много еще интересных статей, багов и блогов, в которых можно найти много полезной информации по анализу таких приложений.
На сегодняшний день, большинство известных мне инструментов (энтерпрайз и опенсорс) умеют хорошо работать только с нативной частью приложений (java/kotlin/swift/objective), но имеют ооочень ограниченную поддержку для всех остальных технологий. И стало интересно очень, а какие специфические баги есть в этих приложениях и как их можно искать?
Правила этого конкурса просты.
Отправьте в наш чат сообщение с тэгом #offzone2 и ссылкой/описанием/текстом на любые материалы (статьи, инструменты, репозитории, отчеты на H1, научные исследования), которые содержат информацию по анализу таких приложений или рассказывают о каких-то специфичных багах.
На самом деле, интересна любая информация, но, конечно, идеально был бы опыт личного использования инструментов или поиска багов, которые вы описываете, но в целом это не обязательно, так что присылайте материалы, которые вам когда-то помогли приступить к анализу кросс-платформ.
Через неделю-две я соберу все сообщения и выберу победителя! Выбирать буду по самому интересному репорту/новости/тулу, которое мне реально помогло при анализе таких приложений. И соберу большой пост, который будет содержать в себе все ваши ссылки и подборки материалов по этой тематике. Думаю, будет в дальнейшем хорошая шпаргалка =)
Ну и напомню, всем, кто принял участие в конкурсе (но не победил), но все-таки будет на оффзоне, приходите к нам на стенд и получите немного прикольного мерча (да-да, мы все ходим на конференции именно за этим)
Всем удачи и хорошего поиска, встретимся на OFFZONE!
#offzone2 #конкурс #cordova #flutter #reactnative #OFFZONE2022
Анализ Flutter-приложений
Компания Guardsquare, производитель DexGuard, выпустила занятную статью про внутренности Flutter и подходу к его анализу.
Так как эта первая статья из обещанного цикла, она не очень сильно раскрывает все нюансы и способы реверса приложений, но как обзорная статья с примерами, отсылками на другие работы и некоторыми подсказками доя упрощения работы самое то!
Во второй статье уже намного больше примеров, объяснений и внутренней кухне Flutter. Много отсылок на различные инструменты доя анализа, скрипты и репозитории (в том числе написанные самими исследователями). Весь свой тулинг для демо выложен в открытый доступ. Так что можно не просто прочитать, а попробовать повторить все шаги в статье, что, наверно является наиболее ценным.
Ну и я уверен, что в следующих статьях мы ещё услышим о reFlutter ;)
#flutter #reverse #dexguard
Компания Guardsquare, производитель DexGuard, выпустила занятную статью про внутренности Flutter и подходу к его анализу.
Так как эта первая статья из обещанного цикла, она не очень сильно раскрывает все нюансы и способы реверса приложений, но как обзорная статья с примерами, отсылками на другие работы и некоторыми подсказками доя упрощения работы самое то!
Во второй статье уже намного больше примеров, объяснений и внутренней кухне Flutter. Много отсылок на различные инструменты доя анализа, скрипты и репозитории (в том числе написанные самими исследователями). Весь свой тулинг для демо выложен в открытый доступ. Так что можно не просто прочитать, а попробовать повторить все шаги в статье, что, наверно является наиболее ценным.
Ну и я уверен, что в следующих статьях мы ещё услышим о reFlutter ;)
#flutter #reverse #dexguard
Guardsquare
Reverse Engineering Flutter Apps | Guardsquare
Doing Flutter reverse engineering can be hard without proper tooling. Learn about the current state and future of reverse engineering flutter apps.
Mobile AppSec World
👟 #Таск 2022-08-12: Android Reverse (автор: @rozetkinrobot) Нынче достаточно популярны всякие Play-to-Earn проекты. Ыж решил попытать удачу в одном из таких под названием StepOFF. Как оказалось, для регистрации нужен инвайт-код, а те, что он смог найти в…
Решение задачи с Flutter
А вот и решение этого таска, кому интересно.
В видео рассказывают про то, как можно было решить задание и в целом, что можно сделать с флаттером, как его анализировать, что смотреть и прочие интересные вещи. Тут нам и reFlutter (❤️) и статья по реверсу от GuardSquare пригодилась и вообще неплохая демо анализа подобных приложений.
Советую всем, кто начинает знакомиться с анализом кроссплатформ и любитStepn Flutter 😁
#flutter #ctf
А вот и решение этого таска, кому интересно.
В видео рассказывают про то, как можно было решить задание и в целом, что можно сделать с флаттером, как его анализировать, что смотреть и прочие интересные вещи. Тут нам и reFlutter (❤️) и статья по реверсу от GuardSquare пригодилась и вообще неплохая демо анализа подобных приложений.
Советую всем, кто начинает знакомиться с анализом кроссплатформ и любит
#flutter #ctf
YouTube
Разбор Ыжедневных тасков и розыгрыш мерча
Участники и авторы Ыжедневных тасков рассказали, как всё решалось. В конце разыгрываем мерч среди участников.
Задания на https://tasks.blzh.fr/tasks
0:00 Заставка
0:37 Начало
2:06 Разбор Web (Злобный хейтер Ыжа), Александр Миронов
12:10 Разбор Forensics…
Задания на https://tasks.blzh.fr/tasks
0:00 Заставка
0:37 Начало
2:06 Разбор Web (Злобный хейтер Ыжа), Александр Миронов
12:10 Разбор Forensics…
Больше Flutter'a богу Flutter!
Всем привет!
Я наконец-то отошел от конференции, осознал себя, долечился и готов снова поставлять новости и контент по мобилкам, как и раньше. А накопилось его за это время порядком уже, месяц как-никак прошел... 😳
Ну и начнем мы слюбимого всеми Flutter, его особенностей, способа анализа и прочего-прочего-прочего. По стопам доклада с OFFZONE (надеюсь, скоро будут и видео), вышла большая статья от @impact_l посвященная особенностям архитектуры, компиляции и, конечно анализу подобных приложений.
Очень подробная и качественная статья полностью раскрывающая нюансы, которые не были упомянуты в докладе из-за ограничений по времени. Так что, надеюсь, утренний кофе сегодня будет намного вкуснее и интереснее, чем обычно. Приятного чтения!
И да, подписывайтесь на канал от автора статьи, он публикует классный контент (и не только по мобилкам)!
С возвращением меня и хорошей недели всем!
#return #flutter #reflutter
Всем привет!
Я наконец-то отошел от конференции, осознал себя, долечился и готов снова поставлять новости и контент по мобилкам, как и раньше. А накопилось его за это время порядком уже, месяц как-никак прошел... 😳
Ну и начнем мы с
Очень подробная и качественная статья полностью раскрывающая нюансы, которые не были упомянуты в докладе из-за ограничений по времени. Так что, надеюсь, утренний кофе сегодня будет намного вкуснее и интереснее, чем обычно. Приятного чтения!
И да, подписывайтесь на канал от автора статьи, он публикует классный контент (и не только по мобилкам)!
С возвращением меня и хорошей недели всем!
#return #flutter #reflutter
PT SWARM
Fork Bomb for Flutter
Flutter applications can be found in security analysis projects or bugbounty programs. Most often, such assets are simply overlooked due to the lack of methodologies and ways to reverse engineer them. I decided not to skip this anymore and developed the reFlutter…
Снова анализируем Flutter
Сколько было уже сказано и написано про Flutter и сложность его анализа.
А вот ещё несколько статей на тему того, как анализировать приложения, собранные в release режиме. Весьма полезно и информативно.
Первая часть статьи знакомит нас с особенностями Flutter, его структурой и режимами сборки.
Вторая часть уже более практическая, с примерами кода и тестовым приложением для анализа.
Рекомендую тем, кто сталкивается с анализом Flutter приложений и хочет узнать что-то новое про способы взаимодействия с ними.
#flutter #analisys
Сколько было уже сказано и написано про Flutter и сложность его анализа.
А вот ещё несколько статей на тему того, как анализировать приложения, собранные в release режиме. Весьма полезно и информативно.
Первая часть статьи знакомит нас с особенностями Flutter, его структурой и режимами сборки.
Вторая часть уже более практическая, с примерами кода и тестовым приложением для анализа.
Рекомендую тем, кто сталкивается с анализом Flutter приложений и хочет узнать что-то новое про способы взаимодействия с ними.
#flutter #analisys
Medium
Flutter Hackers: Uncovering the Dev’s Myopia (Part 1)
Life hack for understanding Flutter Application through source code leaks
Всем привет!
Давно не было интересных новостей и вот самая актуальная тема всех чатов -
На этот раз это видео про обход этого во Flutter-based приложениях. И это весьма интересно, так как Flutter внутри себя использует несколько другие подходы и стандартные скрипты по снятию защиты не работают.
К сожалению, это видно на английском от индуса с классическим акцентом, который надо уметь слушать, моего терпения не хватает, а сожалению.
А вообще в канале достаточно много интересных видео на тему анализа мобильных приложений и использования Frida и других инструментов. Тае что, кому заходит видео-инструкции и кто выдерживает индусский акцент, может быть достаточно интересно.
#android #pinning #flutter
YouTube
Bypass SSL Pinning for Flutter apps using Frida
Hello everyone,
In this video we're diving deep into the world of SSL traffic interception in Flutter Android applications. Flutter handles SSL/TLS differently from your typical Android apps, and in this video, we're going to explore the inner workings.…
In this video we're diving deep into the world of SSL traffic interception in Flutter Android applications. Flutter handles SSL/TLS differently from your typical Android apps, and in this video, we're going to explore the inner workings.…
Как обеспечить безопасность flutter-приложений
Статья, которая не как все, рассказывает о применении reFlutter для анализа таких приложений, а наоборот, объясняет как их можно защитить от угроз, описанных в OWASP Mobile.
В статье описаны, на самом деле, базовые техники и общие рекомендации, иногда с примерами кода и советами по используемым плагинам.
Иногда я бы не стал им сильно доверять, например, совету с использованием Flutter-secure-storage, но все равно, отправная точка есть.
Да, пусть статья и не самая подробная и имеет только общие рекомендации, но все равно такого материала часто сильно не хватает. И я очень рекомендую ее пролистать и отправить почитать разработчикам кроссплатформенных приложений.
Хороших выходных!
#flutter #secure #owasp
Статья, которая не как все, рассказывает о применении reFlutter для анализа таких приложений, а наоборот, объясняет как их можно защитить от угроз, описанных в OWASP Mobile.
В статье описаны, на самом деле, базовые техники и общие рекомендации, иногда с примерами кода и советами по используемым плагинам.
Иногда я бы не стал им сильно доверять, например, совету с использованием Flutter-secure-storage, но все равно, отправная точка есть.
Да, пусть статья и не самая подробная и имеет только общие рекомендации, но все равно такого материала часто сильно не хватает. И я очень рекомендую ее пролистать и отправить почитать разработчикам кроссплатформенных приложений.
Хороших выходных!
#flutter #secure #owasp
8kSec - 8kSec is a cybersecurity research & training company. We provide high-quality training & consulting services.
How to Secure Flutter Applications Against the OWASP Mobile Top 10 for 2024 - 8kSec
Explore best practices for securing a Flutter application using OWASP Mobile Top 10 2024 list and look into crucial areas like credential mishandling, communication vulnerabilities, data storage pitfalls, and binary protection weaknesses and also steps to…
Реверс Flutter-приложений
И снова речь пойдёт о Reflutter и как с ним работать!
Шутка :)
Это презентация с nullcoin, в которой рассказывают о внутреннем строении таких приложений и о том, как их можно разреверсить. В качестве подопытного взяли приложение на Flutter из GreHack CTF 2023.
Достаточно продвинутый и подробный доклад, можно очень много нового и интересного почерпнуть, если занимаетесь реверсом. Для меня немного сложновато, но думаю, найдутся те, кому он будет по душе.
К сожалению, в статье только презентация, но я нашел еще и видео выступления. Так что можно ознакомиться полностью.
#flutter #reverse
И снова речь пойдёт о Reflutter и как с ним работать!
Шутка :)
Это презентация с nullcoin, в которой рассказывают о внутреннем строении таких приложений и о том, как их можно разреверсить. В качестве подопытного взяли приложение на Flutter из GreHack CTF 2023.
Достаточно продвинутый и подробный доклад, можно очень много нового и интересного почерпнуть, если занимаетесь реверсом. Для меня немного сложновато, но думаю, найдутся те, кому он будет по душе.
К сожалению, в статье только презентация, но я нашел еще и видео выступления. Так что можно ознакомиться полностью.
#flutter #reverse
FortiGuard Labs
Publications | FortiGuard Labs
Flutter is a cross-platform application development platform. With the same codebase, developers write and compile native applications for Android,...
Настраиваем проксирование Windows-Flutter приложений
И снова про флаттер) Как-тов моей копилке собралось много материала по нему…
Но на этот раз это будут приложения, которые написаны под Windows. Весьма необычно и крайне мало информации про это.
Статья рассказывает, как устроены Flutter приложения, когда они собраны в exe файл. И главное, как настроить перехват трафика и как отключить SSL Pinning при помощи Frida. Автор любезно выложил проект на гитхаб, помимо детального описания работы в самой статье.
Конечно, не все так гладко у автора прошло и он не смог решить несколько вещей, которые (возможно), оставил на потом. Но как минимум одно рабочее решение точно есть 😅
Быть может, кому-то это будет полезно, особенно, если нужно собрать трафик, но нет опыта работы с мобильными приложениями.
Приятного чтения!
#flutter #windows #proxy #sslpinning
И снова про флаттер) Как-тов моей копилке собралось много материала по нему…
Но на этот раз это будут приложения, которые написаны под Windows. Весьма необычно и крайне мало информации про это.
Статья рассказывает, как устроены Flutter приложения, когда они собраны в exe файл. И главное, как настроить перехват трафика и как отключить SSL Pinning при помощи Frida. Автор любезно выложил проект на гитхаб, помимо детального описания работы в самой статье.
Конечно, не все так гладко у автора прошло и он не смог решить несколько вещей, которые (возможно), оставил на потом. Но как минимум одно рабочее решение точно есть 😅
Быть может, кому-то это будет полезно, особенно, если нужно собрать трафик, но нет опыта работы с мобильными приложениями.
Приятного чтения!
#flutter #windows #proxy #sslpinning
Medium
Flutter Windows Thick Client SSL Pinning Bypass
I recently worked on a Flutter-based application and learned that it is different from other hybrid frameworks like React Native or…
Flutter и биометрия, как сделать лучше?
Всем привет!
Не так давно я рассказывал вебинар и доклад на OFFZone про безопасность мобилок и упоминал там про Flutter.
Упоминал я его в негативном ключе, так как очень часто при реализации аутентификации допускаются стандартные ошибки.
В первую очередь это касается биометрии и подсчета неправильных попыток для ввода пин кода:
1. Отсутствие реакции на изменение биометрических данных (когда меняем/добавляем отпечаток/FaceId, по новому можно зайти в приложение)
2. Бесконечный перебор пинкода (из-за того, что счетчик это переменная внутри Flutter, которая хранится в памяти)
3. Использование Event-bound подхода, когда есть возможность на скомпрометированном устройстве подменить ответ системы и всегда возвращать true на запрос о совпадении биометрии.
Для перебора пинкода все понятно, нужно просто вынести счетчик куда-то в постоянное хранилище, а не держать его в памяти, чтобы он не обнулялся с каждым перезапуском приложения.
До недавнего времени по двум другим проблемам я не знал решения, так как практически все Flutter-приложения с биометрией имели подобную проблему.
Но, сегодня мне подсказали один замечательный плагин, который позволяет отслеживать изменение биометрии на устройстве и очень круто!
Я теперь всем его буду рекомендовать) То есть, это библиотечка для Flutter, которая позволяет приложению отслеживать и реагировать на изменение биометрических данных на устройстве. И при их изменении можно будет попросить пользователя снова пройти аутентификацию по паролю(например) и в случае успеха перерегистрировать биометрию! Класс!
Однако, по проблеме обхода есть еще вопросы.. Может кто-то знает хорошую библиотеку для Flutter, которая бы делала биометрию корректно и безопасно?)
Поделитесь, пожалуйста)
#flutter #biometric #bypass
Всем привет!
Не так давно я рассказывал вебинар и доклад на OFFZone про безопасность мобилок и упоминал там про Flutter.
Упоминал я его в негативном ключе, так как очень часто при реализации аутентификации допускаются стандартные ошибки.
В первую очередь это касается биометрии и подсчета неправильных попыток для ввода пин кода:
1. Отсутствие реакции на изменение биометрических данных (когда меняем/добавляем отпечаток/FaceId, по новому можно зайти в приложение)
2. Бесконечный перебор пинкода (из-за того, что счетчик это переменная внутри Flutter, которая хранится в памяти)
3. Использование Event-bound подхода, когда есть возможность на скомпрометированном устройстве подменить ответ системы и всегда возвращать true на запрос о совпадении биометрии.
Для перебора пинкода все понятно, нужно просто вынести счетчик куда-то в постоянное хранилище, а не держать его в памяти, чтобы он не обнулялся с каждым перезапуском приложения.
До недавнего времени по двум другим проблемам я не знал решения, так как практически все Flutter-приложения с биометрией имели подобную проблему.
Но, сегодня мне подсказали один замечательный плагин, который позволяет отслеживать изменение биометрии на устройстве и очень круто!
Я теперь всем его буду рекомендовать) То есть, это библиотечка для Flutter, которая позволяет приложению отслеживать и реагировать на изменение биометрических данных на устройстве. И при их изменении можно будет попросить пользователя снова пройти аутентификацию по паролю(например) и в случае успеха перерегистрировать биометрию! Класс!
Однако, по проблеме обхода есть еще вопросы.. Может кто-то знает хорошую библиотеку для Flutter, которая бы делала биометрию корректно и безопасно?)
Поделитесь, пожалуйста)
#flutter #biometric #bypass
Dart packages
did_change_authlocal | Flutter package
The package check did change authlocal