Меня тут задодосили этим твитом. Я даже полезла отвечать в комменты. Но думаю лучше написать саммари тут👇
В общем, на мой взгляд людей сперва выбесили спорные ответы Cбербанка, ну это очевидно, что техническая поддержка будет отвечать максимально размыто и без технических деталей. Потому что объективно отвечать должны бекенд разработчики сбера, у которых и так NDA.
Лично я считаю, что претензии к Сбербанку очень спорные. Что сложного в том, чтобы захешировать пароль в uppercase, а затем при вводе пароля каждый раз поднимать регистр и сравнивать с хешом в БД. Таким образом, конгломерат хранит один хеш, а пользователь может вводить пароль в любом регистре.
Более сложный вопрос, если речь идет о другой раскладке. Но и тут самая стандартная ситуация, просто при регистрации переводим
Финализируя, хочется сказать, что люди вдруг поняли, что живут в мире полном опасностей. Гопники могут отжать телефон и войти в Mail.Ru почту по SMS, теперь будем писать Mail.Ru, что их можно хакнуть?
Сейчас точно никто не даст ответ на вопрос о том, хеширует ли Сбербанк пароль или нет. Но имеет ли смысл такой активности в сети? Думаю нет.
В общем, на мой взгляд людей сперва выбесили спорные ответы Cбербанка, ну это очевидно, что техническая поддержка будет отвечать максимально размыто и без технических деталей. Потому что объективно отвечать должны бекенд разработчики сбера, у которых и так NDA.
Лично я считаю, что претензии к Сбербанку очень спорные. Что сложного в том, чтобы захешировать пароль в uppercase, а затем при вводе пароля каждый раз поднимать регистр и сравнивать с хешом в БД. Таким образом, конгломерат хранит один хеш, а пользователь может вводить пароль в любом регистре.
Более сложный вопрос, если речь идет о другой раскладке. Но и тут самая стандартная ситуация, просто при регистрации переводим
йцукен -> qwerty. Финализируя, хочется сказать, что люди вдруг поняли, что живут в мире полном опасностей. Гопники могут отжать телефон и войти в Mail.Ru почту по SMS, теперь будем писать Mail.Ru, что их можно хакнуть?
Сейчас точно никто не даст ответ на вопрос о том, хеширует ли Сбербанк пароль или нет. Но имеет ли смысл такой активности в сети? Думаю нет.
Huawei запускает собственную ОС для мобилок HarmonyOS в следующем году
Как мы все помним, с Android, а точнее с гугловыми сервисами для Android у Huawei не заладилось уже давно. Как итог: им надоело быть в подвешенном состоянии и они запускаются свою собственную систему, первый релиз который уже был в прошлом году. И это не новый клон Androiod, не его отросток. Это новая, написанная с нуля система, адаптированная конкретно под железо Huawei и совместимая с Android-приложениями, так что вопрос по привлечению разработчиков отпадаем сам собой.
Один бесспорный плюс HarmonyOS – это то, что она была написана уже с оглядкой на опыт Android и iOS и она достаточно свежая. Набор для разработчиков будет соответствовать Android.
Большой минус HarmonyOS – у них будет собственный магазин приложений и США имеет полное право просто запретить резидентам размещать там их приложения.
Заметка для российских пользователей👇
Возможно вы уже заметили, как часто Huawei стал мелькать в наших новостях, китайцы заселили уже весь Moscow City, а Собянин и все правительство просто дрочит на китайский опыт с их тотальной слежкой и сливом данных. Мне будет весьма интересно посмотреть, как после релиза HarmonyOS она будет продвигаться пророссийскими СМИ, потому что по их рьяности мы сможем сделать вывод, что все наши данные, собранные HarmonyOS напрямую летят куда надо.
Код HarmonyOS открыт и лежит тут.
Как мы все помним, с Android, а точнее с гугловыми сервисами для Android у Huawei не заладилось уже давно. Как итог: им надоело быть в подвешенном состоянии и они запускаются свою собственную систему, первый релиз который уже был в прошлом году. И это не новый клон Androiod, не его отросток. Это новая, написанная с нуля система, адаптированная конкретно под железо Huawei и совместимая с Android-приложениями, так что вопрос по привлечению разработчиков отпадаем сам собой.
Один бесспорный плюс HarmonyOS – это то, что она была написана уже с оглядкой на опыт Android и iOS и она достаточно свежая. Набор для разработчиков будет соответствовать Android.
Большой минус HarmonyOS – у них будет собственный магазин приложений и США имеет полное право просто запретить резидентам размещать там их приложения.
Заметка для российских пользователей👇
Возможно вы уже заметили, как часто Huawei стал мелькать в наших новостях, китайцы заселили уже весь Moscow City, а Собянин и все правительство просто дрочит на китайский опыт с их тотальной слежкой и сливом данных. Мне будет весьма интересно посмотреть, как после релиза HarmonyOS она будет продвигаться пророссийскими СМИ, потому что по их рьяности мы сможем сделать вывод, что все наши данные, собранные HarmonyOS напрямую летят куда надо.
Код HarmonyOS открыт и лежит тут.
Все мои новости завалены Flutter. Он просто везде и создается ощущение, что действительно много разработчиков переходит на него.
На мой взгляд, разработка Flutter-приложений выходит действительно дешевле, чем нативных. И все больше бизнесов смотрят на него с интересом.
Я уже видела и сложные приложения, которые также выполнены на Flutter. Очень часто используется для таких целей помесь Kotlin Native и Flutter, тк первый позволяет разработчикам привычный способ разработки, а второй упрощает взаимодействие с UI.
Мобильная разработка развивается очень динамично и вполне возможно, что завтра мы, нативные разработчики, проснемся и окажется что мы уже устарели.
Присутствует ли такой страх и у вас?
На мой взгляд, разработка Flutter-приложений выходит действительно дешевле, чем нативных. И все больше бизнесов смотрят на него с интересом.
Я уже видела и сложные приложения, которые также выполнены на Flutter. Очень часто используется для таких целей помесь Kotlin Native и Flutter, тк первый позволяет разработчикам привычный способ разработки, а второй упрощает взаимодействие с UI.
Мобильная разработка развивается очень динамично и вполне возможно, что завтра мы, нативные разработчики, проснемся и окажется что мы уже устарели.
Присутствует ли такой страх и у вас?
Тренды дизайна пользовательских интерфейсов 2020
Разработчики редко задумываются о дизайне приложений. Как правило мы делаем приложение по уже сконструированными для нас макетам. Однако, я все же думаю, что шарить за дизайн должны и сами разработчики, ведь с дизайнером может не повезти, а делать некрасиво – не есть гуд.
Дизайн приложений развивается, можно сказать, что он как мода, каждый сезон – разный. А если вы в курсе что к чему – то вы в топе.
Неоморфизм
В 2020 году неоморфизм стал одним из главных трендов дизайна пользовательских интерфейсов. Этот стиль использует размытие, угол и интенсивность тени объекта для его выделения. Правда, как правило, в чистую неоморфизм использовать не советуется. Лучше всегда комбинировать его с более простыми формами, чтобы пользователю было легче разобраться в нем. А то, мы конечно в будущем, но пока что только одной ногой.
Градиенты!
Думаю тут все очевидно, градиенты уже очень давно присутствуют в мобильных интерфейсах, и еще долго никуда не денутся.
Геометрия
Геометрические формы как правило используются как отдельные элементы. Очень часто с их помощью создают различные мозаики.
Пастельные фоны
Лично я обожаю пастель. Если вспомнить тенденции прошлого, все стремились сделать интерфейс поярче, влепить красную мигающую кнопку на пол экрана, чтобы нельзя было и глаз от нее отвести. А теперь даже если используется красный цвет – то уже в приглушенных тонах. Потому что наконец-то все поняли, что пользователи не хотят напрягать свои глаза. Ведь главное – это контент, а все остальное должно быть лишь приятным глазу фоном.
Иллюстрации, 3D, авторские рисунки
Очень много компаний старается ввести своих персонажей, что весьма повышает узнаваемость бренда. Одно дело, когда вы знаете лого компании, совсем другое, когда вам нравится ее герой.
Темная тема
Темная тема, как правило, это версия интерфейса приложения с инвертированными цветами, что позволяет сделать его более доступным в темное время суток. Однако многие пользователи предпочитают использовать темный режим ежедневно.
Простые шрифты
Была как-то тенденция, когда приложения стремились встроить свои шрифты, то слишком тонкие, то слишком толстые. Особенно это критично для Android, потому что просто невозможно на всех возможных устройствах убедиться в том, что нестандартный шрифт будет смотреться нормально. Сейчас эта тенденция ушла и все приложения вновь вернулись к лаконичным и признанным шрифтам, ура!
Разработчики редко задумываются о дизайне приложений. Как правило мы делаем приложение по уже сконструированными для нас макетам. Однако, я все же думаю, что шарить за дизайн должны и сами разработчики, ведь с дизайнером может не повезти, а делать некрасиво – не есть гуд.
Дизайн приложений развивается, можно сказать, что он как мода, каждый сезон – разный. А если вы в курсе что к чему – то вы в топе.
Неоморфизм
В 2020 году неоморфизм стал одним из главных трендов дизайна пользовательских интерфейсов. Этот стиль использует размытие, угол и интенсивность тени объекта для его выделения. Правда, как правило, в чистую неоморфизм использовать не советуется. Лучше всегда комбинировать его с более простыми формами, чтобы пользователю было легче разобраться в нем. А то, мы конечно в будущем, но пока что только одной ногой.
Градиенты!
Думаю тут все очевидно, градиенты уже очень давно присутствуют в мобильных интерфейсах, и еще долго никуда не денутся.
Геометрия
Геометрические формы как правило используются как отдельные элементы. Очень часто с их помощью создают различные мозаики.
Пастельные фоны
Лично я обожаю пастель. Если вспомнить тенденции прошлого, все стремились сделать интерфейс поярче, влепить красную мигающую кнопку на пол экрана, чтобы нельзя было и глаз от нее отвести. А теперь даже если используется красный цвет – то уже в приглушенных тонах. Потому что наконец-то все поняли, что пользователи не хотят напрягать свои глаза. Ведь главное – это контент, а все остальное должно быть лишь приятным глазу фоном.
Иллюстрации, 3D, авторские рисунки
Очень много компаний старается ввести своих персонажей, что весьма повышает узнаваемость бренда. Одно дело, когда вы знаете лого компании, совсем другое, когда вам нравится ее герой.
Темная тема
Темная тема, как правило, это версия интерфейса приложения с инвертированными цветами, что позволяет сделать его более доступным в темное время суток. Однако многие пользователи предпочитают использовать темный режим ежедневно.
Простые шрифты
Была как-то тенденция, когда приложения стремились встроить свои шрифты, то слишком тонкие, то слишком толстые. Особенно это критично для Android, потому что просто невозможно на всех возможных устройствах убедиться в том, что нестандартный шрифт будет смотреться нормально. Сейчас эта тенденция ушла и все приложения вновь вернулись к лаконичным и признанным шрифтам, ура!
Кстати, мои друзья сейчас активно ищут мобильных разработчиков (Android/iOS) на интересный проект.
Если хотите разрабатывать приложение с нуля, в движовой команде, с возможностью развития, то вся информация тут.
Ламповая удаленка и приятная зп в наличии 😄
Заинтересовались? Пишите либо сюда, либо в @mother_paradisecurity_bot.
#вакансии
Если хотите разрабатывать приложение с нуля, в движовой команде, с возможностью развития, то вся информация тут.
Ламповая удаленка и приятная зп в наличии 😄
Заинтересовались? Пишите либо сюда, либо в @mother_paradisecurity_bot.
#вакансии
This media is not supported in your browser
VIEW IN TELEGRAM
Обесценивание опыта
Иногда мне кажется, что я занимаюсь какой-то ерундой и зачем об этом рассказывать, ведь все очевидно и все итак все это знают. И я каждый раз удивляюсь, когда выясняется, что нет, не знают. Такое часто происходит, когда очень долго варишься в одной теме и вокруг тебя люди тоже идут в таком же направлении 🤷♀️
Кстати, вот хороший ресурс, где есть почти все что нужно, чтобы писать безопасные приложения.
Иногда мне кажется, что я занимаюсь какой-то ерундой и зачем об этом рассказывать, ведь все очевидно и все итак все это знают. И я каждый раз удивляюсь, когда выясняется, что нет, не знают. Такое часто происходит, когда очень долго варишься в одной теме и вокруг тебя люди тоже идут в таком же направлении 🤷♀️
Кстати, вот хороший ресурс, где есть почти все что нужно, чтобы писать безопасные приложения.
Интересненько 🧐
Решила залезть в Google Trends, посмотреть как там поживает популярность языков программирования. Аналитика выходит наизабавнейшая 😎
К слову на графике изменения за последние 5 лет. И что же мы видим?
Популярность Java снижается. В то время как интерес к Python – уверенно растет. Несмотря на это, Kotlin до Java – как до Китая.
И еще интересная тенденция. Интерес ко всем языкам программирования в преддверии новогодних праздников падает, в то время как к Dart наоборот возрастает. Типа все решают в следующем году резко изменить свою жизнь что ли и попробовать таки Flutter?
Решила залезть в Google Trends, посмотреть как там поживает популярность языков программирования. Аналитика выходит наизабавнейшая 😎
К слову на графике изменения за последние 5 лет. И что же мы видим?
Популярность Java снижается. В то время как интерес к Python – уверенно растет. Несмотря на это, Kotlin до Java – как до Китая.
И еще интересная тенденция. Интерес ко всем языкам программирования в преддверии новогодних праздников падает, в то время как к Dart наоборот возрастает. Типа все решают в следующем году резко изменить свою жизнь что ли и попробовать таки Flutter?
Apple убьет миллиардную рекламную индустрию с помощью диалога
Когда стартовало WWDC 2020, посвященное только цифровым технологиям, все внимание было приковано к новой MacOS и амбициозным чипам Apple Silicon.
Но, с точки зрения рекламных агентств, именно новые функции iOS 14, основанные на конфиденциальности, вызвали шок в их отрасли и стали главной темой для разговоров.
Когда релизился Android 11, мы с вами уделили много внимания обновлениям конфиденциальности, которых было чуть ли не больше, чем всех остальных. И iOS 14 не стала исключением.
Для непосвященных, сегодня многие приложения используют рекламный идентификатор (IDFA). Это позволяет разработчикам и маркетологам отслеживать активность в рекламных целях.
Сегодня в App Store более 100 тысяч приложений интегрированы с Facebook или Google SDK, которые отслеживают и отправляют ваши данные техническим гигантам и сторонним брокерам.
Но iOS 14 все изменит.
Весь мир сейчас трясется над конфиденциальностью и безопасностью, но чем больше данных становится – тем сложнее их защищать. К тому же становится сложно разграничивать, что должно считаться конфиденциальным, а что нет. В некоторых случаях даже время публикации моих постов тут можно считать конфиденциальной информацией, в то же время, мы сами авторизируемся под настоящими именами в социальных сетях, с радостью заполняем бесконечное множество данных о себе, в виде возраста, вуза в котором учились, публикуем линки на своих друзей.
Этим пользуются, а чаще злоупотребляют рекламные агентства. Мало кто задумывается о том, как в действительности зарабатывает тот же Facebook, Вконтакте или TikTok. Мы знаем, что потенциально они собирают все наши данные, до которых могут дотянуться, потом что-то с ними делают и вуаля, мы уже смотрим рекламу нового что-то там пролистывая ленту в Инстаграме. Ох уж эта персонализированная реклама.
Вроде ничего страшного, но почему же не посмотреть на практическую составляющую? Проблема персонализированной рекламы только в том, что никто не гарантирует, что вам показывают качественные продукты. А из-за того что между запросом и вашим контактом с рекламой проходит так мало времени – вы заряжены покупать прямо сейчас. Так что, о да, это безумно выгодно!
Однако если убрать идентификаторы – то вся эта индустрия сразу же перестает быть эффективной. Хорошо это или плохо сейчас сказать затруднительно. Реклама – это полезная штука, на самом деле. Но не когда рынок перенасыщен и нам в мозг пытаются запихнуть ненужную нам фигню просто из-за того что мы сейчас в готовом для покупки настроении.
Когда стартовало WWDC 2020, посвященное только цифровым технологиям, все внимание было приковано к новой MacOS и амбициозным чипам Apple Silicon.
Но, с точки зрения рекламных агентств, именно новые функции iOS 14, основанные на конфиденциальности, вызвали шок в их отрасли и стали главной темой для разговоров.
Когда релизился Android 11, мы с вами уделили много внимания обновлениям конфиденциальности, которых было чуть ли не больше, чем всех остальных. И iOS 14 не стала исключением.
Для непосвященных, сегодня многие приложения используют рекламный идентификатор (IDFA). Это позволяет разработчикам и маркетологам отслеживать активность в рекламных целях.
Сегодня в App Store более 100 тысяч приложений интегрированы с Facebook или Google SDK, которые отслеживают и отправляют ваши данные техническим гигантам и сторонним брокерам.
Но iOS 14 все изменит.
Весь мир сейчас трясется над конфиденциальностью и безопасностью, но чем больше данных становится – тем сложнее их защищать. К тому же становится сложно разграничивать, что должно считаться конфиденциальным, а что нет. В некоторых случаях даже время публикации моих постов тут можно считать конфиденциальной информацией, в то же время, мы сами авторизируемся под настоящими именами в социальных сетях, с радостью заполняем бесконечное множество данных о себе, в виде возраста, вуза в котором учились, публикуем линки на своих друзей.
Этим пользуются, а чаще злоупотребляют рекламные агентства. Мало кто задумывается о том, как в действительности зарабатывает тот же Facebook, Вконтакте или TikTok. Мы знаем, что потенциально они собирают все наши данные, до которых могут дотянуться, потом что-то с ними делают и вуаля, мы уже смотрим рекламу нового что-то там пролистывая ленту в Инстаграме. Ох уж эта персонализированная реклама.
Вроде ничего страшного, но почему же не посмотреть на практическую составляющую? Проблема персонализированной рекламы только в том, что никто не гарантирует, что вам показывают качественные продукты. А из-за того что между запросом и вашим контактом с рекламой проходит так мало времени – вы заряжены покупать прямо сейчас. Так что, о да, это безумно выгодно!
Однако если убрать идентификаторы – то вся эта индустрия сразу же перестает быть эффективной. Хорошо это или плохо сейчас сказать затруднительно. Реклама – это полезная штука, на самом деле. Но не когда рынок перенасыщен и нам в мозг пытаются запихнуть ненужную нам фигню просто из-за того что мы сейчас в готовом для покупки настроении.
Кек, утёк Windows XP. Скачала исходники, сижу изучаю 😛
Вот, наверно, чуваки из ReactOS радуются. Раньше им приходилось все это реверсить, а тут уже все готовенькое.
Вот, наверно, чуваки из ReactOS радуются. Раньше им приходилось все это реверсить, а тут уже все готовенькое.
Раз вы следите за моим каналом, то наверняка вам интересно как защищать ваши приложения от взлома. В большинстве книг эта тема игнорируется, поэтому разработчики вынуждены искать информацию самостоятельно и это большая проблема. Потому что не каждый разработчик готов тратить свое личное время на изучение темы, применение которой ему кажется сомнительным или он просто не понимает ее необходимость. К сожалению, безопасность оказывается нужна только когда уже поздно.
Многие заблуждаются, что им достаточно изучить то, как работает реверс инжиниринг чтобы не допускать глупых ошибок во время разработки. Но вот в чем проблема, пентестер, которому попадется в руки ваше приложение – не разработчик. И выходит так, что для того чтобы взломать ваше приложение не обязательно быть разработчиком. Соответственно и все обучающие материалы для мобильных реверс инженеров сформированы НЕ для разработчиков. Там не будет каких-то конкретных решений, для того чтобы поправить ваш код или изначально избежать ошибок. Есть какие-то обрывки, по которым вам самостоятельно придется изобретать собственное решение и что самое печальное, появится желания поместить его под замок и никому не рассказывать, тк будет казаться, что вы сразу же начинаете рисковать тем самым безопасностью вашего приложения. Так и делает большинство крупных и не очень компаний, которым кажется что они изобрели какую-то невероятную защиту, а на самом деле сделали кривой велосипед. А ведь можно было просто взять нормальный аудит? 🙂
К тому же, большинство разработчиков с которыми я общаюсь на тему информационной безопасности приложений просто не уверены в том насколько верно они реализовали задачу, а еще большее раздражение у них начинает вызывать “информационная безопасность”, когда я говорю им, что все что они сделали: потратили время на изучение темы, написание и тестирование кода и сделали его менее удобным для своей команды ради обеспечения этой пресловутой безопасности, можно отключить, уничтожить, обойти или обмануть.
Потому что когда ваше приложение поставили на чужой смартфон – вы уже не можете ему доверять.
Многие заблуждаются, что им достаточно изучить то, как работает реверс инжиниринг чтобы не допускать глупых ошибок во время разработки. Но вот в чем проблема, пентестер, которому попадется в руки ваше приложение – не разработчик. И выходит так, что для того чтобы взломать ваше приложение не обязательно быть разработчиком. Соответственно и все обучающие материалы для мобильных реверс инженеров сформированы НЕ для разработчиков. Там не будет каких-то конкретных решений, для того чтобы поправить ваш код или изначально избежать ошибок. Есть какие-то обрывки, по которым вам самостоятельно придется изобретать собственное решение и что самое печальное, появится желания поместить его под замок и никому не рассказывать, тк будет казаться, что вы сразу же начинаете рисковать тем самым безопасностью вашего приложения. Так и делает большинство крупных и не очень компаний, которым кажется что они изобрели какую-то невероятную защиту, а на самом деле сделали кривой велосипед. А ведь можно было просто взять нормальный аудит? 🙂
К тому же, большинство разработчиков с которыми я общаюсь на тему информационной безопасности приложений просто не уверены в том насколько верно они реализовали задачу, а еще большее раздражение у них начинает вызывать “информационная безопасность”, когда я говорю им, что все что они сделали: потратили время на изучение темы, написание и тестирование кода и сделали его менее удобным для своей команды ради обеспечения этой пресловутой безопасности, можно отключить, уничтожить, обойти или обмануть.
Потому что когда ваше приложение поставили на чужой смартфон – вы уже не можете ему доверять.
Простой реверс Android-приложения
🥕 Создайте каталог для работы
🥕 Скачайте и распакуйте dex2jar
🥕 Скачайте JD-GUI
🥕 Выберите приложение для реверса
🥕 Скачайте apk-файл с помощью apkpure и поместите его в каталог
🥕 Откройте терминал и перейдите в целевой каталог ->
🥕 Перейдите в
🥕 Перетащите
🌟 Вуаля, можно ковырять!
В разделе
К сожалению, большинство разработчиков приложений для Android до сих пор не знают о реверс-инжиниринге, а мы легко можем перепроектировать приложение.
🥕 Создайте каталог для работы
🥕 Скачайте и распакуйте dex2jar
🥕 Скачайте JD-GUI
🥕 Выберите приложение для реверса
🥕 Скачайте apk-файл с помощью apkpure и поместите его в каталог
dex2jar-2.0🥕 Откройте терминал и перейдите в целевой каталог ->
cd /Users/ololo/Desktop/your_directory/dex2jar-2.0
chmod 0777 *
./d2j-dex2jar.sh your_apk.apk🥕 Перейдите в
jd-gui->build->libs и запустите jd-gui-1.6.1.jar🥕 Перетащите
your_apk.com-dex2jar.jar в интерфейс🌟 Вуаля, можно ковырять!
В разделе
com будут находиться сторонние библиотеки, которые использует приложение. Можете посмотреть что происходит в файлах .class, фактически, это код приложения. Правда если приложение защищено каким-либо инструментом премиум-класса или даже просто обфусцировало код перед выпуском, мы не смогли бы так легко понять код после реверса. Однако он все равно остался бы более менее читаемым, к тому же есть инструменты, которые помогают это обойти 😉К сожалению, большинство разработчиков приложений для Android до сих пор не знают о реверс-инжиниринге, а мы легко можем перепроектировать приложение.
iPhone 12 mini — 699$
iPhone 12 — 799 $
Ура, есть 5G, но использовать его вы, конечно же, не сможете.
iPhone 12 — 799 $
Ура, есть 5G, но использовать его вы, конечно же, не сможете.
Инструменты для реверса Android-приложений
После публикации предыдущего небольшого поста мне полетели предложения и просьбы рассказать еще о парочке инструментов, которые способны облегчить вам жизнь при реверсе приложений.
⚡️ javadecompilers позволит декомпилировать apk или jar файлы онлайн (иногда правда отваливается или приходится ждать пока подойдет очередь);
⚡️ jadx – декомпелятор dex -> java. Пожалуй, сейчас единственный более менее живой инструмент в этой нише;
⚡️ bytecodeviewer – тоже самое что и jadx, правда непонятно поддерживается ли на данный момент;
⚡️ wireshark – бесплатный анализатор сетевых пакетов с открытым исходным кодом.
Конечно же, инструментов для реверса много. Но, на мой взгляд, не все из них действительно заслуживают внимания, тем более на начальном этапе 😎
После публикации предыдущего небольшого поста мне полетели предложения и просьбы рассказать еще о парочке инструментов, которые способны облегчить вам жизнь при реверсе приложений.
⚡️ javadecompilers позволит декомпилировать apk или jar файлы онлайн (иногда правда отваливается или приходится ждать пока подойдет очередь);
⚡️ jadx – декомпелятор dex -> java. Пожалуй, сейчас единственный более менее живой инструмент в этой нише;
⚡️ bytecodeviewer – тоже самое что и jadx, правда непонятно поддерживается ли на данный момент;
⚡️ wireshark – бесплатный анализатор сетевых пакетов с открытым исходным кодом.
Конечно же, инструментов для реверса много. Но, на мой взгляд, не все из них действительно заслуживают внимания, тем более на начальном этапе 😎
Довелось мне тут поковыряться в ios-ном коде. Что я могу сказать…
Apple – ты пиздец.
Apple – ты пиздец.
Реверс-инжиниринг и Право
Сейчас информационная безопасность мобильных приложений набрала обороты. Я давно в этой сфере и четко вижу изменения в индустрии. Раньше вакансий по реверсу приложений и днем с огнем было не сыскать. Теперь же их становится все больше. Компании предлагают за такие услуги лучшие условия и готовы бороться за кадры. Забавно, но сейчас быть реверсером приложений может быть даже выгоднее, чем их разработчиком 😊
Для меня удивительно, что на моем канале набралось столько людей, которым все это интересно. Раньше мне казалось что 200 человек – это предел. Но с тем как растет интерес, многие забывают об ответственности. Сейчас объясню о чем я.
Большинство контрактов которые заключаются на реверс/аудит приложений конкретной компании никогда не будут содержать слово “реверс”. Это слово аккуратно заменяется на “тестирование”. Уже догадываетесь о чем я?
Реверс – это весьма серая сфера, но многие даже не задумываются о ее законности. Ревес, любая декомпиляция и нарушение целостности конечного пакета приложения, даже с согласия его автора – это не законно. А все потому что автор приложения – на самом деле не является его настоящим владельцем. А Apple и Google имеют все права на то, чтобы заблочить вас на всех своих площадках и выписать любой штраф – это написано в их лицензиях, с которой вы соглашаетесь, когда регистрируетесь на Develop-площадках. Правда всегда есть оговорки, поэтому я сделаю небольшую сноску чтобы вы понимали что к чему.
Реверс-инжиниринг и Российское право, когда он незаконен:
🔥 Если вы получили доступ к приложению неправомерно (торрент, скачали на форуме);
🔥 Если цель реверс-инжиниринга изучить продукт конкурента для разработки своего собственного;
🔥 Отсутствие документации или тз к реверс-инжинирингу;
🔥 Любая другая причина, потому что нефиг лезть.
Помимо этого почти все приложения крупных компаний также имеют лицензионное соглашение с пользователем примерно такого содержания:
“Запрещается декомпилировать, дизассемблировать, модифицировать или выполнять производные работы, основанные на ПО, целиком или частично за исключением случаев, предусмотренных применимым законодательством.”
Скажу честно, в России еще не было громких дел в данном направлении. Но за рубежом – достаточно. Это связано с тем что Российское право весьма размытое, особенно когда оно касается авторского права и работы с ПО и ЭВМ. Однако это и не хорошо, потому что реверсера за уши могут притянуть за что угодно. А потом бегай по судам и доказывай что ты не верблюд. К тому же, будет куда печальнее если вы по незнанию расскажете публично, а что такого интересного вы нашли в инстаграме и фейсбуке, когда его разреверсили, это взлетит и дойдет до компаний, и вам потом запретят въезд в EC и Америку 😁
Be safe 💔
Сейчас информационная безопасность мобильных приложений набрала обороты. Я давно в этой сфере и четко вижу изменения в индустрии. Раньше вакансий по реверсу приложений и днем с огнем было не сыскать. Теперь же их становится все больше. Компании предлагают за такие услуги лучшие условия и готовы бороться за кадры. Забавно, но сейчас быть реверсером приложений может быть даже выгоднее, чем их разработчиком 😊
Для меня удивительно, что на моем канале набралось столько людей, которым все это интересно. Раньше мне казалось что 200 человек – это предел. Но с тем как растет интерес, многие забывают об ответственности. Сейчас объясню о чем я.
Большинство контрактов которые заключаются на реверс/аудит приложений конкретной компании никогда не будут содержать слово “реверс”. Это слово аккуратно заменяется на “тестирование”. Уже догадываетесь о чем я?
Реверс – это весьма серая сфера, но многие даже не задумываются о ее законности. Ревес, любая декомпиляция и нарушение целостности конечного пакета приложения, даже с согласия его автора – это не законно. А все потому что автор приложения – на самом деле не является его настоящим владельцем. А Apple и Google имеют все права на то, чтобы заблочить вас на всех своих площадках и выписать любой штраф – это написано в их лицензиях, с которой вы соглашаетесь, когда регистрируетесь на Develop-площадках. Правда всегда есть оговорки, поэтому я сделаю небольшую сноску чтобы вы понимали что к чему.
Реверс-инжиниринг и Российское право, когда он незаконен:
🔥 Если вы получили доступ к приложению неправомерно (торрент, скачали на форуме);
🔥 Если цель реверс-инжиниринга изучить продукт конкурента для разработки своего собственного;
🔥 Отсутствие документации или тз к реверс-инжинирингу;
🔥 Любая другая причина, потому что нефиг лезть.
Помимо этого почти все приложения крупных компаний также имеют лицензионное соглашение с пользователем примерно такого содержания:
“Запрещается декомпилировать, дизассемблировать, модифицировать или выполнять производные работы, основанные на ПО, целиком или частично за исключением случаев, предусмотренных применимым законодательством.”
Скажу честно, в России еще не было громких дел в данном направлении. Но за рубежом – достаточно. Это связано с тем что Российское право весьма размытое, особенно когда оно касается авторского права и работы с ПО и ЭВМ. Однако это и не хорошо, потому что реверсера за уши могут притянуть за что угодно. А потом бегай по судам и доказывай что ты не верблюд. К тому же, будет куда печальнее если вы по незнанию расскажете публично, а что такого интересного вы нашли в инстаграме и фейсбуке, когда его разреверсили, это взлетит и дойдет до компаний, и вам потом запретят въезд в EC и Америку 😁
Be safe 💔
Как думаете, мне уже пора начинать бороться за права реверсеров? 🤣