Мини reverse engineering и модификация Windows Phone приложений

[exvel]

При разработке игр и приложений на Windows Phone разработчикам не следует забывать о том, что их код можно будет просмотреть и после компиляции.

Ну, дык пускай смотрят. Мне, например, не жалко бы было.

[polhovskiy]

Вопрос всегда о данных… Не думаю, что банк будет рад тому, что их код можно легко «почитать».

[Razaz]

До определенной степени спасет обфускатор, самое главное это валидация сборки. Но, к сожалению, не в курсе как это на WP.

[polhovskiy]

Подписать сборку есть возможность. Это не происходит во вкладке в свойствах, но с консолью и постбилд событиями можно автоматизировать. Не помню как называется, но есть гибридные библиотеки для сервелата, винфона и дотнета — там, возможно, есть вкладка для подписи.

[Razaz]

В смысле я могу использовать strong named сборки и хранить ключик в своем сейфе?

[Funbit]

После хорошей обфускации даже вышеупомянутый пример было бы уже не так просто подредактировать. А банковский софт вообще не должен никуда уходить за пределы здания, если уж на то пошло…

[polhovskiy]

В маркете есть достаточно много банковских приложений, в которых можно посмотреть код. Причем эти банковские приложения выполняют функции перевода денег.

[VenomBlood]

Так это UI обертка над банковским API, по идее никаких вредительских операций вы не сможете сделать даже имея все сорцы клиента.

[exvel]

Но все равно данные могут прочесть. Обфускация тут, максимум, даст ложную уверенность, что данные в безопасности.

[novoselov]

Насколько я понимаю после выхода WP8 все это будет уже не актуально, т.к. обещали «Cloud Compile» в Native Code.

[Razaz]

Обещали NGen в облаке?

[novoselov]

Да, в том числе для тех приложений которые уже опубликованы (при условии запуска на wp8).

[Razaz]

Сам код особой ценности не имеет. От того что вы прочитаете код, тот же SAML токен вам не расшифровать.
Нормальный обфускатор устроит такую лапшу, что будет очень сложно что-то понять.

[polhovskiy]

Вспомнил! В Portable Library Tools есть вкладка подписи в свойствах:

[XuMiX]

Эта вкладка есть во всех проектах .net

[polhovskiy]

Спешу вас огорчить:

[XuMiX]

Вот ведь! Интересно, в связи с чем это.

[Vladek]

Зачем мучаться с обфускацией, защищаясь от ничтожного количества пользователей-хакеров?

[Fedcomp]

достаточно одного который уведет у банка кое что что ему не принадлежит.

[Razaz]

Можете перечислить то, что можно увести из приложения? Может я чего не понимаю, но приложение на трубке — low trust, что автоматом выливается в невозможность хранения ценных данных в открытом виде и передачу чего либо по незащищенным каналам, предварительно не пройдясь шифрованием?

[Agent_Smith]

Какая чушь, что ж это за банк который не делает дополнительные проверки на сервере. И не использует https для общения с клиентом?

[ArtRoman]

Обфускация производится не только для защиты. Это ещё и оптимизация (в зависимости от возможностей обфускатора): например, вынос (или, наоборот, инлайн) методов, удаление неиспользуемых переменных и мёртвого кода, сокращение названий классов, методов и свойств, сортировка классов и методов и пр. На мобильных устройствах пусть даже мелкая оптимизация, но для миллионов устройств, выливается в значительную экономию ресурсов.

[d1g1]

Могу сказать, что уже существуют способы обхода проверки подписи для приложений WP7 — правда пока только для запуска их на эмуляторе. Но нам динамического анализа приложений на текущий момент и эмулятора хватает.

[d1g1]

Что такое «чисто анализ»? Мы производим статическую инструментацию скомпилированного приложения для WP7 и анализируем его в процессе его работы на эмуляторе. При желании и логику работы приложения изменить можно.

[d1g1]

Это всего лишь вопрос времени — работаем в данном направлении. Для этого либо уязвимость в ОС WP7 нужна или ослабление безопасности ОС WP7 (по аналогии с jailbreak в iOS), что в принципе и реализует цепочку уязвимостей.

[z130]

Есть программы, которые тупо срубают подпись с пакета

[andreycha]

Так погодите, автор же запустил приложение у себя. Правда, у него developer unlocked устройство.

[andreycha]

А заливали вы как? Application Deployment'ом? По идее он и должен ее переподписывать.

[polhovskiy]

Что имеется ввиду под подписью? Если подпись маркета — то ее просто удаляем (WMAppPRHeader.xml)
Если именно подпись каждой сборки — от этого тоже умеет спасать рефлексил. У меня обычный моцарт с самой стандартной прошивкой :)

[ArtRoman]

Приложения без подписи ставятся и работают? Андроид, например, требует подпись. Но, удалив оригинальное приложение, подписав его своей, можно поставить и оно будет успешно работать (если оно или другое не будет проверять ключ).

[polhovskiy]

На разлоченом девайсе, редактированое приложение удаляет старое ставит себя. Тут нет подписки как в Android. Как я понял — вся подпись маркета — это файл WMAppPRHeader.xml содержимое которого выглядит следующим образом:

<WRMHEADER xmlns="http://schemas.microsoft.com/DRM/2007/03/PlayReadyHeader" version="4.0.0.0">
<DATA>
  <PROTECTINFO>
    <KEYLEN>16</KEYLEN>
    <ALGID>AESCTR</ALGID>
  </PROTECTINFO>
  <KID>lds1jRP2aDeWpl8X+H+MsA==</KID>
  <LA_URL>http://microsoft.com/</LA_URL>
  <CUSTOMATTRIBUTES xmlns="">
    <S>dfGxu4ileP4+LWZdE6ds4wQ==</S>
    <KGV>0</KGV>
  </CUSTOMATTRIBUTES>
  <CHECKSUM>tXG3tIfoarY=</CHECKSUM>
</DATA>
</WRMHEADER>

[polhovskiy]

Цифровая подпись чего?
Сборки со Strong Name?

Просто весь .xap никто кроме майкрософта не подписывает. Я такого и не встречал даже :(

[polhovskiy]

Только что стянул geoDefense, удалил подпись маркета — и не работает, гад.

[polhovskiy]

Это скорее делается для платных приложений. Хотя на XDA много хакнутых платных игр :)

[egormerkushev]

Реквестиру статью об общих методах защиты от такого воздействия.

[Razaz]

Хранить зашифрованные сборки в СУБД, проверяя подписи везде и вся? :)

[egormerkushev]

Нет, я имел ввиду практические приемы защиты, например, игр от накруток счета или т.п.