Zadanie 3 – zmiana, podpisanie i ponowna instalacjia aplikacji
Po dekompilacji pliku three.apk widzimy kod, który niezależnie od wyniku wywołuje metodę nope(), kawałek niżej widzimy też metodę yep()
Po dekompilacji pliku three.apk widzimy kod, który niezależnie od wyniku wywołuje metodę nope(), kawałek niżej widzimy też metodę yep()
Jakiś czas temu wystartowaliśmy w picoCTF 2019 i jako drużyna AvaHack zajęliśmy 381 miejsce na 23 tysiące zgłoszonych drużyn. Zawody CTF (capture the flag) polegają na grzebaniu w aplikacjach i wyszukiwaniu ich słabych punktów. W skrócie chodzi o to, żeby zdobyć flagę (którą jest ciąg znaków), które organizatorzy sprytnie pochowali w różnych miejscach aplikacji (używając do tego różnych sposobów ukrywania lub szyfrowania tychże flag).
Chcę się podzielić rozwiązaniami zadań z działu reverse engineering aplikacji Androida. Jest to o tyle ważne dla testerów, że właśnie te zawody uświadomiły mi na jakie problemy (bezpieczeństwa i jakości) możemy natrafić podczas testowania aplikacji mobilnych.
Wszystkie 5 zadań (aplikacji androida) można pobrać stąd: http://scvconsultants.com/apk/.
Trochę czasu minęło od zawodów TestingCup, w których brałem udział (z bardzo przeciętnym skutkiem). Regulamin zabawy mówi wyraźnie, że nie można używać debuggerów ani dekompilatorów. Co innego po zawodach, w celach czysto edukacyjnych. Pełne informacje przesłałem do organizatora (Radka Smilgina), który odpowiedział w mailu, że następny Mr. Buggy będzie lepiej zabezpieczony. Liczę na to, że wszystkie potencjalne wektory ataku zostaną załatane.