SlideShare ist ein Scribd-Unternehmen logo

Реверс-инжиниринг мобильных приложений

Iurii Ageev
Iurii Ageev

Небольшая порция информация о том как легко добраться до данных приложений, несмотря на то что их разработчики совсем этого не хотят. И несколько советов по предотвращению этого. South Fest 2014. 6.09.14

Software
1 von 30
Downloaden Sie, um offline zu lesen
Реверс-инжиниринг мобильных приложений #SouthFest2014 Юрий Агеев Точка Кипения
Кто? Зачем? Когда? #SouthFest2014 их ломает • пока ты спишь, конкурент качается изучает тебя • хакеры/любопытные/любители халявы • исследователи
#SouthFest2014 Защита? Абсолютной защиты нет!
#SouthFest2014 Не делать приложение вовсе!
Можно сделать так! #SouthFest2014
Что мы защищаем? • данные пользователя • backend • транзакции • алгоритмы #SouthFest2014
Основные компоненты • файлы • сеть • код #SouthFest2014
#SouthFest2014 Файлы • зашитые в приложение файлы • файлы базы данных • строковые файлы • файлы конфигурации
#SouthFest2014 Инструменты • iExplorer • iTools • Терминал/CMD
#SouthFest2014
Поможет - здравый смысл • добавлять в сборку только те файлы, которые «не жалко» • следовать ТБ по работы с данными для авторизации • не хранить важные данные в открытом виде в настройках #SouthFest2014
#SouthFest2014 Сеть • прослушка траффика • прослушка защищенного траффика (SSL) • подмена запросов на сервер • например, с помощью Charles
#SouthFest2014 SSL 1.Сниффер с поддержкой SSL Proxy 2.Установка сертификата на устройства 3.Настройка сети на свой ПК 4.Сезам откройся!
#SouthFest2014 SSL Pinning
#SouthFest2014 Код • токены • механизмы авторизации • восстановление алгоритмов • инструменты использованные в разработке
#SouthFest2014 Обфускация
С Android проще! • легче декомпилировать и деобфусцировать* • легче пересобрать приложение и установить его на устройство* • изучение ресурсов • аналогичные возможности по прослушке трафика #SouthFest2014
#SouthFest2014 И это все без… Jailbreak
А если сделать? #SouthFest2014
Новый дивный мир • Обход SSL pinning (iOS SSL Kill Switch/Android SSL Bypass) • Runtime Debugging • Хардкор - внесение изменений в код приложения (дизассемблирование/ ассемблирование) #SouthFest2014
#SouthFest2014
• файлы - RTFM! • корректное использование SSL • обфускация • проверка на jailbreak • anti-debug check #SouthFest2014
#SouthFest2014 А что закон?
Статья 1280 ГК РФ. Свободное воспроизведение программ для ЭВМ и баз данных. Декомпилирование программ для #SouthFest2014 ЭВМ
Лицо, правомерно владеющее экземпляром программы …, вправе без разрешения автора или иного правообладателя и без выплаты дополнительного вознаграждения: #SouthFest2014
• внести изменения, если не работает • изготовить копию для архивных целей • воспроизвести и преобразовать объектный код в исходный текст (декомпилировать программу для ЭВМ) #SouthFest2014
… не должно наносить неоправданный ущерб нормальному использованию программы для ЭВМ или базы данных и не должно ущемлять необоснованным образом законные интересы автора или #SouthFest2014 иного правообладателя.
#SouthFest2014 Спасибо за внимание! Вопросы? @wert1go ageev@tochkak.ru

Empfohlen

11 HappyDev-lite'14 Андрей Казимиров. Особенности разработки по для встраива...
11 HappyDev-lite'14 Андрей Казимиров. Особенности разработки по для встраива...11 HappyDev-lite'14 Андрей Казимиров. Особенности разработки по для встраива...
11 HappyDev-lite'14 Андрей Казимиров. Особенности разработки по для встраива...
HappyDev
 
Инсайдерские атаки: нападение и защита
Инсайдерские атаки: нападение и защитаИнсайдерские атаки: нападение и защита
Инсайдерские атаки: нападение и защита
Positive Hack Days
 
Тестирование безопасности мобильных приложений
Тестирование безопасности мобильных приложенийТестирование безопасности мобильных приложений
Тестирование безопасности мобильных приложений
Igor Bondarenko
 
Мобильная разработка: как начать и продолжить
Мобильная разработка: как начать и продолжитьМобильная разработка: как начать и продолжить
Мобильная разработка: как начать и продолжить
Iurii Ageev
 
Workshop start up_weekend
Workshop start up_weekendWorkshop start up_weekend
Workshop start up_weekend
Oleg Afanasyev
 
MobiAds. Мобильная реклама — это просто!
MobiAds. Мобильная реклама — это просто!MobiAds. Мобильная реклама — это просто!
MobiAds. Мобильная реклама — это просто!
Ivan Kostrov
 
Cайт Allmalls.ru для торговых центров
Cайт Allmalls.ru для торговых центровCайт Allmalls.ru для торговых центров
Cайт Allmalls.ru для торговых центров
PavelLarkin
 
стартап как дипломный проект (концепция)
стартап как дипломный проект (концепция)стартап как дипломный проект (концепция)
стартап как дипломный проект (концепция)
Michael Egorov
 

Empfohlen

11 HappyDev-lite'14 Андрей Казимиров. Особенности разработки по для встраива...
11 HappyDev-lite'14 Андрей Казимиров. Особенности разработки по для встраива...11 HappyDev-lite'14 Андрей Казимиров. Особенности разработки по для встраива...
11 HappyDev-lite'14 Андрей Казимиров. Особенности разработки по для встраива...
HappyDev
 
Инсайдерские атаки: нападение и защита
Инсайдерские атаки: нападение и защитаИнсайдерские атаки: нападение и защита
Инсайдерские атаки: нападение и защита
Positive Hack Days
 
Тестирование безопасности мобильных приложений
Тестирование безопасности мобильных приложенийТестирование безопасности мобильных приложений
Тестирование безопасности мобильных приложений
Igor Bondarenko
 
Мобильная разработка: как начать и продолжить
Мобильная разработка: как начать и продолжитьМобильная разработка: как начать и продолжить
Мобильная разработка: как начать и продолжить
Iurii Ageev
 
Workshop start up_weekend
Workshop start up_weekendWorkshop start up_weekend
Workshop start up_weekend
Oleg Afanasyev
 
MobiAds. Мобильная реклама — это просто!
MobiAds. Мобильная реклама — это просто!MobiAds. Мобильная реклама — это просто!
MobiAds. Мобильная реклама — это просто!
Ivan Kostrov
 
Cайт Allmalls.ru для торговых центров
Cайт Allmalls.ru для торговых центровCайт Allmalls.ru для торговых центров
Cайт Allmalls.ru для торговых центров
PavelLarkin
 
стартап как дипломный проект (концепция)
стартап как дипломный проект (концепция)стартап как дипломный проект (концепция)
стартап как дипломный проект (концепция)
Michael Egorov
 
Обучение сотрудников
Обучение сотрудников Обучение сотрудников
Обучение сотрудников
Системные Технологии
 
AgileBaseCamp 2013 - Start Up and Get Done
AgileBaseCamp 2013 - Start Up and Get DoneAgileBaseCamp 2013 - Start Up and Get Done
AgileBaseCamp 2013 - Start Up and Get Done
Max Klymyshyn
 
Решение для мобильной торговли
Решение для мобильной торговлиРешение для мобильной торговли
Решение для мобильной торговли
SystemGroup
 
Carola Neugebauer
Carola NeugebauerCarola Neugebauer
Carola Neugebauer
vveshka
 
презентация высокого полета Slideshare
презентация высокого полета Slideshareпрезентация высокого полета Slideshare
презентация высокого полета Slideshare
ProstoPreza.ru
 
Автоматизация "мобильных" сотрудников с помощью Android приложений и 1С
Автоматизация "мобильных" сотрудников с помощью Android приложений и 1САвтоматизация "мобильных" сотрудников с помощью Android приложений и 1С
Автоматизация "мобильных" сотрудников с помощью Android приложений и 1С
tabtabus
 
Smartup - Автоматизация Мобильной Торговли
Smartup - Автоматизация Мобильной ТорговлиSmartup - Автоматизация Мобильной Торговли
Smartup - Автоматизация Мобильной Торговли
Green White Solutions
 
БИТ.МЕД Презентация
БИТ.МЕД ПрезентацияБИТ.МЕД Презентация
БИТ.МЕД Презентация
chel1cbit
 
"Агент Плюс"
"Агент Плюс""Агент Плюс"
"Агент Плюс"
Agent Plus
 
Автоматизируйте свой бизнес!
Автоматизируйте свой бизнес!Автоматизируйте свой бизнес!
Автоматизируйте свой бизнес!
Системные Технологии
 
Solit 2014, Как создать продукт, как запустить стартап?, Граков Алексей
Solit 2014, Как создать продукт, как запустить стартап?, Граков АлексейSolit 2014, Как создать продукт, как запустить стартап?, Граков Алексей
Solit 2014, Как создать продукт, как запустить стартап?, Граков Алексей
solit
 
2015-12-12 | AzovDevMeetup 2015 | Мобильная разработка: Native, Hybrid, Cross...
2015-12-12 | AzovDevMeetup 2015 | Мобильная разработка: Native, Hybrid, Cross...2015-12-12 | AzovDevMeetup 2015 | Мобильная разработка: Native, Hybrid, Cross...
2015-12-12 | AzovDevMeetup 2015 | Мобильная разработка: Native, Hybrid, Cross...
JSC “Arcadia Inc”
 
Mobile Developer & Business Day 2012
Mobile Developer & Business Day 2012Mobile Developer & Business Day 2012
Mobile Developer & Business Day 2012
InfoShell
 
Semenchuk Vyacheslav, My-apps
Semenchuk Vyacheslav, My-appsSemenchuk Vyacheslav, My-apps
Semenchuk Vyacheslav, My-apps
Mobile VAS & Apps Conference
 
Особенности разработки мобильных приложений на платформе «1С-Битрикс: Мобильн...
Особенности разработки мобильных приложений на платформе «1С-Битрикс: Мобильн...Особенности разработки мобильных приложений на платформе «1С-Битрикс: Мобильн...
Особенности разработки мобильных приложений на платформе «1С-Битрикс: Мобильн...
1С-Битрикс
 
Единый Семинар 1С 12.10.2016 г.
Единый Семинар 1С 12.10.2016 г.Единый Семинар 1С 12.10.2016 г.
Единый Семинар 1С 12.10.2016 г.
chel1cbit
 
Mobile SMARTS для ЕГАИС
Mobile SMARTS для ЕГАИСMobile SMARTS для ЕГАИС
Mobile SMARTS для ЕГАИС
Сергей Баженов
 
СМС-сервис
СМС-сервисСМС-сервис
СМС-сервис
estaxi
 
Сервисные и продуктовые IT-компании
Сервисные и продуктовые IT-компанииСервисные и продуктовые IT-компании
Сервисные и продуктовые IT-компании
Sam Faktorovich
 
СТАРТАП: от идеи до IPO
СТАРТАП: от идеи до IPOСТАРТАП: от идеи до IPO
СТАРТАП: от идеи до IPO
Глеб Герасимович
 
Device lock codeib - екатеринбург 2014
Device lock codeib - екатеринбург 2014Device lock codeib - екатеринбург 2014
Device lock codeib - екатеринбург 2014
Expolink
 
Pt infosec - 2014 - импортозамещение
Pt infosec - 2014 - импортозамещениеPt infosec - 2014 - импортозамещение
Pt infosec - 2014 - импортозамещение
qqlan
 

Weitere ähnliche Inhalte

Andere mochten auch

Автоматизация "мобильных" сотрудников с помощью Android приложений и 1С
Автоматизация "мобильных" сотрудников с помощью Android приложений и 1САвтоматизация "мобильных" сотрудников с помощью Android приложений и 1С
Автоматизация "мобильных" сотрудников с помощью Android приложений и 1С
tabtabus
 
Solit 2014, Как создать продукт, как запустить стартап?, Граков Алексей
Solit 2014, Как создать продукт, как запустить стартап?, Граков АлексейSolit 2014, Как создать продукт, как запустить стартап?, Граков Алексей
Solit 2014, Как создать продукт, как запустить стартап?, Граков Алексей
solit
 
2015-12-12 | AzovDevMeetup 2015 | Мобильная разработка: Native, Hybrid, Cross...
2015-12-12 | AzovDevMeetup 2015 | Мобильная разработка: Native, Hybrid, Cross...2015-12-12 | AzovDevMeetup 2015 | Мобильная разработка: Native, Hybrid, Cross...
2015-12-12 | AzovDevMeetup 2015 | Мобильная разработка: Native, Hybrid, Cross...
JSC “Arcadia Inc”
 

Andere mochten auch (20)

Обучение сотрудников
Обучение сотрудников Обучение сотрудников
Обучение сотрудников
 
AgileBaseCamp 2013 - Start Up and Get Done
AgileBaseCamp 2013 - Start Up and Get DoneAgileBaseCamp 2013 - Start Up and Get Done
AgileBaseCamp 2013 - Start Up and Get Done
 
Решение для мобильной торговли
Решение для мобильной торговлиРешение для мобильной торговли
Решение для мобильной торговли
 
Carola Neugebauer
Carola NeugebauerCarola Neugebauer
Carola Neugebauer
 
презентация высокого полета Slideshare
презентация высокого полета Slideshareпрезентация высокого полета Slideshare
презентация высокого полета Slideshare
 
Автоматизация "мобильных" сотрудников с помощью Android приложений и 1С
Автоматизация "мобильных" сотрудников с помощью Android приложений и 1САвтоматизация "мобильных" сотрудников с помощью Android приложений и 1С
Автоматизация "мобильных" сотрудников с помощью Android приложений и 1С
 
Smartup - Автоматизация Мобильной Торговли
Smartup - Автоматизация Мобильной ТорговлиSmartup - Автоматизация Мобильной Торговли
Smartup - Автоматизация Мобильной Торговли
 
БИТ.МЕД Презентация
БИТ.МЕД ПрезентацияБИТ.МЕД Презентация
БИТ.МЕД Презентация
 
"Агент Плюс"
"Агент Плюс""Агент Плюс"
"Агент Плюс"
 
Автоматизируйте свой бизнес!
Автоматизируйте свой бизнес!Автоматизируйте свой бизнес!
Автоматизируйте свой бизнес!
 
Solit 2014, Как создать продукт, как запустить стартап?, Граков Алексей
Solit 2014, Как создать продукт, как запустить стартап?, Граков АлексейSolit 2014, Как создать продукт, как запустить стартап?, Граков Алексей
Solit 2014, Как создать продукт, как запустить стартап?, Граков Алексей
 
2015-12-12 | AzovDevMeetup 2015 | Мобильная разработка: Native, Hybrid, Cross...
2015-12-12 | AzovDevMeetup 2015 | Мобильная разработка: Native, Hybrid, Cross...2015-12-12 | AzovDevMeetup 2015 | Мобильная разработка: Native, Hybrid, Cross...
2015-12-12 | AzovDevMeetup 2015 | Мобильная разработка: Native, Hybrid, Cross...
 
Mobile Developer & Business Day 2012
Mobile Developer & Business Day 2012Mobile Developer & Business Day 2012
Mobile Developer & Business Day 2012
 
Semenchuk Vyacheslav, My-apps
Semenchuk Vyacheslav, My-appsSemenchuk Vyacheslav, My-apps
Semenchuk Vyacheslav, My-apps
 
Особенности разработки мобильных приложений на платформе «1С-Битрикс: Мобильн...
Особенности разработки мобильных приложений на платформе «1С-Битрикс: Мобильн...Особенности разработки мобильных приложений на платформе «1С-Битрикс: Мобильн...
Особенности разработки мобильных приложений на платформе «1С-Битрикс: Мобильн...
 
Единый Семинар 1С 12.10.2016 г.
Единый Семинар 1С 12.10.2016 г.Единый Семинар 1С 12.10.2016 г.
Единый Семинар 1С 12.10.2016 г.
 
Mobile SMARTS для ЕГАИС
Mobile SMARTS для ЕГАИСMobile SMARTS для ЕГАИС
Mobile SMARTS для ЕГАИС
 
СМС-сервис
СМС-сервисСМС-сервис
СМС-сервис
 
Сервисные и продуктовые IT-компании
Сервисные и продуктовые IT-компанииСервисные и продуктовые IT-компании
Сервисные и продуктовые IT-компании
 
СТАРТАП: от идеи до IPO
СТАРТАП: от идеи до IPOСТАРТАП: от идеи до IPO
СТАРТАП: от идеи до IPO
 

Ähnlich wie Реверс-инжиниринг мобильных приложений

Device lock codeib - екатеринбург 2014
Device lock codeib - екатеринбург 2014Device lock codeib - екатеринбург 2014
Device lock codeib - екатеринбург 2014
Expolink
 
Pt infosec - 2014 - импортозамещение
Pt infosec - 2014 - импортозамещениеPt infosec - 2014 - импортозамещение
Pt infosec - 2014 - импортозамещение
qqlan
 
SearchInform. Николай Сорокин. "Нестандартные методы применения DLP-систем в ...
SearchInform. Николай Сорокин. "Нестандартные методы применения DLP-систем в ...SearchInform. Николай Сорокин. "Нестандартные методы применения DLP-систем в ...
SearchInform. Николай Сорокин. "Нестандартные методы применения DLP-систем в ...
Expolink
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
 
Device Fingerprint — лекарство от мошенничества. Все дело в дозировке
Device Fingerprint — лекарство от мошенничества. Все дело в дозировкеDevice Fingerprint — лекарство от мошенничества. Все дело в дозировке
Device Fingerprint — лекарство от мошенничества. Все дело в дозировке
Positive Hack Days
 
Device lock 7 2013 code ib нн
Device lock 7 2013 code ib ннDevice lock 7 2013 code ib нн
Device lock 7 2013 code ib нн
Expolink
 
Хорошо поддерживаемое в продакшне приложение / Николай Сивко (okmeter.io)
Хорошо поддерживаемое в продакшне приложение / Николай Сивко (okmeter.io)Хорошо поддерживаемое в продакшне приложение / Николай Сивко (okmeter.io)
Хорошо поддерживаемое в продакшне приложение / Николай Сивко (okmeter.io)
Ontico
 
Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"
Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"
Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"
Expolink
 
Device lock (code-ib пермь)
Device lock (code-ib пермь) Device lock (code-ib пермь)
Device lock (code-ib пермь)
Expolink
 

Ähnlich wie Реверс-инжиниринг мобильных приложений (20)

Device lock codeib - екатеринбург 2014
Device lock codeib - екатеринбург 2014Device lock codeib - екатеринбург 2014
Device lock codeib - екатеринбург 2014
 
Pt infosec - 2014 - импортозамещение
Pt infosec - 2014 - импортозамещениеPt infosec - 2014 - импортозамещение
Pt infosec - 2014 - импортозамещение
 
Размещение баз данных 1С во внешней инфраструктуре
Размещение баз данных 1С во внешней инфраструктуреРазмещение баз данных 1С во внешней инфраструктуре
Размещение баз данных 1С во внешней инфраструктуре
 
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
 
SearchInform. Евгений Юдов. "Нестандартные методы применения DLP-систем в биз...
SearchInform. Евгений Юдов. "Нестандартные методы применения DLP-систем в биз...SearchInform. Евгений Юдов. "Нестандартные методы применения DLP-систем в биз...
SearchInform. Евгений Юдов. "Нестандартные методы применения DLP-систем в биз...
 
SearchInform. Николай Сорокин. "Нестандартные методы применения DLP-систем в ...
SearchInform. Николай Сорокин. "Нестандартные методы применения DLP-систем в ...SearchInform. Николай Сорокин. "Нестандартные методы применения DLP-систем в ...
SearchInform. Николай Сорокин. "Нестандартные методы применения DLP-систем в ...
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
 
Device Lock - Построение эффективной системы защиты от утечек данных
Device Lock - Построение эффективной системы защиты от утечек данныхDevice Lock - Построение эффективной системы защиты от утечек данных
Device Lock - Построение эффективной системы защиты от утечек данных
 
Device Fingerprint — лекарство от мошенничества. Все дело в дозировке
Device Fingerprint — лекарство от мошенничества. Все дело в дозировкеDevice Fingerprint — лекарство от мошенничества. Все дело в дозировке
Device Fingerprint — лекарство от мошенничества. Все дело в дозировке
 
Хорошо поддерживаемое приложение
Хорошо поддерживаемое приложениеХорошо поддерживаемое приложение
Хорошо поддерживаемое приложение
 
Device lock: построение эффективной системы от утечек данных
Device lock: построение эффективной системы от утечек данныхDevice lock: построение эффективной системы от утечек данных
Device lock: построение эффективной системы от утечек данных
 
Device lock 7 2013 code ib нн
Device lock 7 2013 code ib ннDevice lock 7 2013 code ib нн
Device lock 7 2013 code ib нн
 
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
 
SearchInform. Николай Сорокин. "Нестандартные методы применения DLP-систем в ...
SearchInform. Николай Сорокин. "Нестандартные методы применения DLP-систем в ...SearchInform. Николай Сорокин. "Нестандартные методы применения DLP-систем в ...
SearchInform. Николай Сорокин. "Нестандартные методы применения DLP-систем в ...
 
Быстрое прототипирование iOS приложений
Быстрое прототипирование iOS приложенийБыстрое прототипирование iOS приложений
Быстрое прототипирование iOS приложений
 
Хорошо поддерживаемое в продакшне приложение / Николай Сивко (okmeter.io)
Хорошо поддерживаемое в продакшне приложение / Николай Сивко (okmeter.io)Хорошо поддерживаемое в продакшне приложение / Николай Сивко (okmeter.io)
Хорошо поддерживаемое в продакшне приложение / Николай Сивко (okmeter.io)
 
Как компания Cisco защищает сама себя
Как компания Cisco защищает сама себяКак компания Cisco защищает сама себя
Как компания Cisco защищает сама себя
 
Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"
Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"
Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"
 
Device lock (code-ib пермь)
Device lock (code-ib пермь) Device lock (code-ib пермь)
Device lock (code-ib пермь)
 

Реверс-инжиниринг мобильных приложений

  • 1. Реверс-инжиниринг мобильных приложений #SouthFest2014 Юрий Агеев Точка Кипения
  • 2. Кто? Зачем? Когда? #SouthFest2014 их ломает • пока ты спишь, конкурент качается изучает тебя • хакеры/любопытные/любители халявы • исследователи
  • 4. #SouthFest2014 Не делать приложение вовсе!
  • 5.
  • 7. Что мы защищаем? • данные пользователя • backend • транзакции • алгоритмы #SouthFest2014
  • 8. Основные компоненты • файлы • сеть • код #SouthFest2014
  • 9. #SouthFest2014 Файлы • зашитые в приложение файлы • файлы базы данных • строковые файлы • файлы конфигурации
  • 10. #SouthFest2014 Инструменты • iExplorer • iTools • Терминал/CMD
  • 12. Поможет - здравый смысл • добавлять в сборку только те файлы, которые «не жалко» • следовать ТБ по работы с данными для авторизации • не хранить важные данные в открытом виде в настройках #SouthFest2014
  • 13. #SouthFest2014 Сеть • прослушка траффика • прослушка защищенного траффика (SSL) • подмена запросов на сервер • например, с помощью Charles
  • 14. #SouthFest2014 SSL 1.Сниффер с поддержкой SSL Proxy 2.Установка сертификата на устройства 3.Настройка сети на свой ПК 4.Сезам откройся!
  • 15.
  • 17. #SouthFest2014 Код • токены • механизмы авторизации • восстановление алгоритмов • инструменты использованные в разработке
  • 19. С Android проще! • легче декомпилировать и деобфусцировать* • легче пересобрать приложение и установить его на устройство* • изучение ресурсов • аналогичные возможности по прослушке трафика #SouthFest2014
  • 20. #SouthFest2014 И это все без… Jailbreak
  • 21. А если сделать? #SouthFest2014
  • 22. Новый дивный мир • Обход SSL pinning (iOS SSL Kill Switch/Android SSL Bypass) • Runtime Debugging • Хардкор - внесение изменений в код приложения (дизассемблирование/ ассемблирование) #SouthFest2014
  • 24. • файлы - RTFM! • корректное использование SSL • обфускация • проверка на jailbreak • anti-debug check #SouthFest2014
  • 26. Статья 1280 ГК РФ. Свободное воспроизведение программ для ЭВМ и баз данных. Декомпилирование программ для #SouthFest2014 ЭВМ
  • 27. Лицо, правомерно владеющее экземпляром программы …, вправе без разрешения автора или иного правообладателя и без выплаты дополнительного вознаграждения: #SouthFest2014
  • 28. • внести изменения, если не работает • изготовить копию для архивных целей • воспроизвести и преобразовать объектный код в исходный текст (декомпилировать программу для ЭВМ) #SouthFest2014
  • 29. … не должно наносить неоправданный ущерб нормальному использованию программы для ЭВМ или базы данных и не должно ущемлять необоснованным образом законные интересы автора или #SouthFest2014 иного правообладателя.
  • 30. #SouthFest2014 Спасибо за внимание! Вопросы? @wert1go ageev@tochkak.ru