​​Когда начинаешь задумываться о разработке своего приложения, всегда держишь в голове, что делать его придётся для двух платформ iOS и Android. Но зачем два приложения, когда можно "немного" сэкономить и сделать одно, которое будет работать и там, и там?

Для того, что бы это реализовать используются специальные кроссплатформенные фреймворки. Не сказать, чтобы их было великое множество, но они есть и пользуются популярностью даже у крупных компаний. 🤔

Сегодня речь пойдет об одном из таких фреймворков - Flutter. Развивается данный проект компанией Google, и это пока единственный способ запустить ваше приложение на их новой операционной системе Fuchsia. Для написания приложений используется язык Dart, также разработанный Гуглом. В общем - если вы фанат Google - вам точно понравится 🤣

Сложность анализа таких приложений в том, что они могут не использовать системный функционал или библиотеки , так что перехватить вызов различных методов или переопределить возвращаемое значение функций стандартными инструментами будет проблематично. Особенно это касается отключения SSL-Pinning. При первом исследовании такого приложения я потратил немало времени, чтобы добиться-таки адекватного перехвата трафика.

Очень мне помогла вот эта замечательная статья, в которой автор подробно рассказывает, как именно найти нужное место в приложении, отвечающее за проверки сертификата, и как эту проверку отключить. Читается очень легко, содержит подробные инструкции, которые могут не раз вам пригодиться)

#iOS #Android #Analysis #Flutter #MiTM

​​Анализ Flutter приложений

Ранее было несколько статей про обход SSL-Pinning в приложениях, написанных при помощи Flutter. Но гайда, как устроены эти приложения внутри и как их правильно анализировать я не встречал.

Один из подписчиков, спасибо ему большое, поделился подробнейшей статьёй про реверс-инжиниринг таких приложений. Автор описывает, что это за технология, как она устроена, что за что отвечает. Ждём вторую статью с описанием процесса анализа реальных приложений 😉

Крайне полезная вещь, рекомендую всем, кому приходится сталкиваться с анализом таких приложений.

#Flutter #Analisys #Revers

Разбор Flutter

Почему-то очень знакомая статья по виду, но не помню, чтобы я её скидывал.

Введение в реверс flutter приложений, где неплохо расписана вводная часть, про то как он устроен, что мы видим со стороны реверса, основные особенности.

Не так, чтобы это была методичка по анализу, но для понимания как и что устроено подойдёт отлично!

#flutter #android #reverse

Реверс приложений на Flutter

Несколько раз за последнее время в различных чатах всплывал вопрос про анализ приложений на Flutter, как к ним подступиться, как анализировать?

И там же всплыла очень интересная ссылка на инструмент по реверсу Flutter-приложений под названием reFlutter.

Из описания:
Этот фреймворк помогает при реверсе Flutter приложений благодаря пропатченной версии библиотеки Flutter, которая скомпилирована и готова к переупаковке приложения. В этой библиотеке изменен процесс десериализации, для более удобного динамического анализа.

Поддерживает iOS и Android и умеет перехватыватывать трафик приложения и перенаправлять его на прокси без необходимости ставить сертификаты и рутовать устройство. По словам создателя он автоматически умеет снимать некоторые виды Certificate Pinning, который используется во Flutter. Как мне кажется, только ради этого можно его попробовать 😁

Я сам пока не добрался до него, так как не было подходящего случая, но, думаю что в скором поюзаю) Ну и если у вас есть опыт использования - напшите, как этот фреймворк показывает себя в деле)

#tools #flutter #reverse #pinning

Обход SSL Pinning для Flutter-приложений с использованием Ghidra

На волне участившихся вопросов про Flutter-приложения (привет, Stepn) и большого количества людей, кто начинает их реверсить и смотреть в трафик, не могу не поделиться статьёй про снятие пиннинга при помощи Ghidra.

Статья представляет из себя последовательность действий, что делал автор, как искал и что заменял в libflutter.so. Интересно почитать, как он прошел этот путь, чем руководствовался и что в итоге получилось. Как обычно бывает, достаточно много референсов на другие не менее интересные статьи.

Можно попробовать это повторить или попробовать скачать уже модифицированный файл и его заменить в анализируемом приложении.

#Flutter #Android #Ghidra #pinning

Всем любителям Flutter посвящается

В последнее время из каждого чата доносится Flutter, Flutter, Stepn Flutter.

Вот и исследователю попалось приложение, потенциально похожее на зловредное. А во время анализа выяснилось, что написано оно на платформе Andromo, что на самом деле тот же флаттер.

Статья разделена на несколько частей, анализ таких приложений в целом (подходы, инструменты и т.д.).
И вторая часть про анализ зловредности. Вообще, достаточно познавательная статейка.

Как оказалось в итоге, приложение это не малварь, но что-то мне подсказывает, что в скором времени мы ещё увидим статьи о новых типах зловредов, написанных на Dart..

#malware #flutter #reflutter

Розыгрыш на конференцию OFFZONE 2022 #2

Всем привет и с пятницей!

Друзья, как обещал, розыгрыш второй проходки на конференцию OFFZONE 2022, которая пройдет 25-26 августа в Москве!

Сегодня все больше и больше приложений пишут на кроссплатформенных фреймворках вроде React Native, Cordova, Flutter, Ionic и других. Много было статей и боли за последнее время по анализу Flutter (спасибо StepN за это), и много еще интересных статей, багов и блогов, в которых можно найти много полезной информации по анализу таких приложений.

На сегодняшний день, большинство известных мне инструментов (энтерпрайз и опенсорс) умеют хорошо работать только с нативной частью приложений (java/kotlin/swift/objective), но имеют ооочень ограниченную поддержку для всех остальных технологий. И стало интересно очень, а какие специфические баги есть в этих приложениях и как их можно искать?

Правила этого конкурса просты.
Отправьте в наш чат сообщение с тэгом #offzone2 и ссылкой/описанием/текстом на любые материалы (статьи, инструменты, репозитории, отчеты на H1, научные исследования), которые содержат информацию по анализу таких приложений или рассказывают о каких-то специфичных багах.

На самом деле, интересна любая информация, но, конечно, идеально был бы опыт личного использования инструментов или поиска багов, которые вы описываете, но в целом это не обязательно, так что присылайте материалы, которые вам когда-то помогли приступить к анализу кросс-платформ.

Через неделю-две я соберу все сообщения и выберу победителя! Выбирать буду по самому интересному репорту/новости/тулу, которое мне реально помогло при анализе таких приложений. И соберу большой пост, который будет содержать в себе все ваши ссылки и подборки материалов по этой тематике. Думаю, будет в дальнейшем хорошая шпаргалка =)

Ну и напомню, всем, кто принял участие в конкурсе (но не победил), но все-таки будет на оффзоне, приходите к нам на стенд и получите немного прикольного мерча (да-да, мы все ходим на конференции именно за этим)

Всем удачи и хорошего поиска, встретимся на OFFZONE!

#offzone2 #конкурс #cordova #flutter #reactnative #OFFZONE2022

Анализ Flutter-приложений

Компания Guardsquare, производитель DexGuard, выпустила занятную статью про внутренности Flutter и подходу к его анализу.

Так как эта первая статья из обещанного цикла, она не очень сильно раскрывает все нюансы и способы реверса приложений, но как обзорная статья с примерами, отсылками на другие работы и некоторыми подсказками доя упрощения работы самое то!

Во второй статье уже намного больше примеров, объяснений и внутренней кухне Flutter. Много отсылок на различные инструменты доя анализа, скрипты и репозитории (в том числе написанные самими исследователями). Весь свой тулинг для демо выложен в открытый доступ. Так что можно не просто прочитать, а попробовать повторить все шаги в статье, что, наверно является наиболее ценным.

Ну и я уверен, что в следующих статьях мы ещё услышим о reFlutter ;)

#flutter #reverse #dexguard

Решение задачи с Flutter

А вот и решение этого таска, кому интересно.

В видео рассказывают про то, как можно было решить задание и в целом, что можно сделать с флаттером, как его анализировать, что смотреть и прочие интересные вещи. Тут нам и reFlutter (❤️) и статья по реверсу от GuardSquare пригодилась и вообще неплохая демо анализа подобных приложений.

Советую всем, кто начинает знакомиться с анализом кроссплатформ и любит Stepn Flutter 😁

#flutter #ctf

Больше Flutter'a богу Flutter!

Всем привет!
Я наконец-то отошел от конференции, осознал себя, долечился и готов снова поставлять новости и контент по мобилкам, как и раньше. А накопилось его за это время порядком уже, месяц как-никак прошел... 😳

Ну и начнем мы с любимого всеми Flutter, его особенностей, способа анализа и прочего-прочего-прочего. По стопам доклада с OFFZONE (надеюсь, скоро будут и видео), вышла большая статья от @impact_l посвященная особенностям архитектуры, компиляции и, конечно анализу подобных приложений.

Очень подробная и качественная статья полностью раскрывающая нюансы, которые не были упомянуты в докладе из-за ограничений по времени. Так что, надеюсь, утренний кофе сегодня будет намного вкуснее и интереснее, чем обычно. Приятного чтения!

И да, подписывайтесь на канал от автора статьи, он публикует классный контент (и не только по мобилкам)!

С возвращением меня и хорошей недели всем!

#return #flutter #reflutter

Снова анализируем Flutter

Сколько было уже сказано и написано про Flutter и сложность его анализа.

А вот ещё несколько статей на тему того, как анализировать приложения, собранные в release режиме. Весьма полезно и информативно.

Первая часть статьи знакомит нас с особенностями Flutter, его структурой и режимами сборки.

Вторая часть уже более практическая, с примерами кода и тестовым приложением для анализа.

Рекомендую тем, кто сталкивается с анализом Flutter приложений и хочет узнать что-то новое про способы взаимодействия с ними.

#flutter #analisys

Обход SSL Pinning во Flutter-приложениях

Всем привет!
Давно не было интересных новостей и вот самая актуальная тема всех чатов - обход пиннинга!

На этот раз это видео про обход этого во Flutter-based приложениях. И это весьма интересно, так как Flutter внутри себя использует несколько другие подходы и стандартные скрипты по снятию защиты не работают.

К сожалению, это видно на английском от индуса с классическим акцентом, который надо уметь слушать, моего терпения не хватает, а сожалению.

А вообще в канале достаточно много интересных видео на тему анализа мобильных приложений и использования Frida и других инструментов. Тае что, кому заходит видео-инструкции и кто выдерживает индусский акцент, может быть достаточно интересно.

#android #pinning #flutter

Как обеспечить безопасность flutter-приложений

Статья, которая не как все, рассказывает о применении reFlutter для анализа таких приложений, а наоборот, объясняет как их можно защитить от угроз, описанных в OWASP Mobile.

В статье описаны, на самом деле, базовые техники и общие рекомендации, иногда с примерами кода и советами по используемым плагинам.

Иногда я бы не стал им сильно доверять, например, совету с использованием Flutter-secure-storage, но все равно, отправная точка есть.

Да, пусть статья и не самая подробная и имеет только общие рекомендации, но все равно такого материала часто сильно не хватает. И я очень рекомендую ее пролистать и отправить почитать разработчикам кроссплатформенных приложений.

Хороших выходных!

#flutter #secure #owasp

Реверс Flutter-приложений

И снова речь пойдёт о Reflutter и как с ним работать!

Шутка :)

Это презентация с nullcoin, в которой рассказывают о внутреннем строении таких приложений и о том, как их можно разреверсить. В качестве подопытного взяли приложение на Flutter из GreHack CTF 2023.

Достаточно продвинутый и подробный доклад, можно очень много нового и интересного почерпнуть, если занимаетесь реверсом. Для меня немного сложновато, но думаю, найдутся те, кому он будет по душе.

К сожалению, в статье только презентация, но я нашел еще и видео выступления. Так что можно ознакомиться полностью.

#flutter #reverse