Комментарии 29
В смартфонах Blackberry в платных приложениях часто делают привязку к PIN устройства, думаю у playbook есть он (PIN)
На самом деле проблема актуальна не только для BlackBerry, но и для всех мобильных и десктопных платформ с поддержкой Air. Все основные способы защиты можно глянуть тут.
Для того чтоб исходники нельзя было просмотреть так просто с использованием декомпиляторов стоит обфусцировать флеш файл. После него код становиться практически не читаемым. От кражи и замены ресурсов это конечно не спасёт, но вашим кодом уже никто не воспользуется.
Одна из лучших программ для этого secureSWF.
Одна из лучших программ для этого secureSWF.
Я правильно понимаю, что основную мысль статьи можно выразить следующими пунктами:
1. если подключиться к сети через прокси, на котором установлен сниффер, то трафик может быть перехвачен
2. swf может быть декомпилирован
?
1. если подключиться к сети через прокси, на котором установлен сниффер, то трафик может быть перехвачен
2. swf может быть декомпилирован
?
Необязательно подключаться к сети через прокси (это частный случай у автора статьи). Пока BlackBerry не шифрует соединение, трафик может быть перехвачен.
Основная мысль в том, что эти два пункта приводят к нас к размышлению о защите приложения, чтобы вышеперечисленные действия злоумышленника ни к чему не привели
Основная мысль в том, что эти два пункта приводят к нас к размышлению о защите приложения, чтобы вышеперечисленные действия злоумышленника ни к чему не привели
Самое занятно, что половина статьи это сизифов труд. Если зайти на устройство по ssh, то все приложения, ресурсы и т.д. должны быть доступны.
И проблема тут, похоже, не в BB, а в SWF.
И проблема тут, похоже, не в BB, а в SWF.
Не поделитесь информацией о том, как же все таки зайти на устройство по ssh, не взламывая устройство?
Насколько мне известно, ssh сервер не входит в предустановленный набор программ и не может быть установлен. И мне казалось, на данный момент нет никакого jailbreak for Playbook.
Суть статьи именно в том, что без jailbreak и без каких-то специфичных знаний, практически любой продвинутый юзер может получить исходники любой платной программы.
По моему мнению проблема тут именно в BB. Достаточно добиться того, чтобы трафик общения устройства и магазина нельзя было расшифровать. И до тех пор, пока не появился доступ по ssh (он же root доступ), можно было бы не беспокоиться.
Насколько мне известно, ssh сервер не входит в предустановленный набор программ и не может быть установлен. И мне казалось, на данный момент нет никакого jailbreak for Playbook.
Суть статьи именно в том, что без jailbreak и без каких-то специфичных знаний, практически любой продвинутый юзер может получить исходники любой платной программы.
По моему мнению проблема тут именно в BB. Достаточно добиться того, чтобы трафик общения устройства и магазина нельзя было расшифровать. И до тех пор, пока не появился доступ по ssh (он же root доступ), можно было бы не беспокоиться.
В сети легко найти информацию о том, как перевести устройство в development mode и зайти на него по ssh. Например:
corlan.org/2011/01/17/making-ssh-connections-to-playbook-simulator/
И Вы не путайте, пожалуйста, доступ по ssh и права root. Это вещи совершенно разные.
corlan.org/2011/01/17/making-ssh-connections-to-playbook-simulator/
И Вы не путайте, пожалуйста, доступ по ssh и права root. Это вещи совершенно разные.
По вашей ссылке указано, как подключиться к симулятору (причем опреденной версии). Симулятор не имеет доступа к магазину.
Я не нашел упоминания о возможности подключиться к реальному устройству и получить доступ хотя бы на чтение к файлам приложений. Возможно, я плохо искал. Помогите мне.
Я не путаю ssh и права root. Вы же подключаетесь по ssh как некий юзер. Если это не root, и вы не можете попасть в папки сторонних приложений, само по себе ssh подключение вам ничего не дает.
Я не нашел упоминания о возможности подключиться к реальному устройству и получить доступ хотя бы на чтение к файлам приложений. Возможно, я плохо искал. Помогите мне.
Я не путаю ssh и права root. Вы же подключаетесь по ssh как некий юзер. Если это не root, и вы не можете попасть в папки сторонних приложений, само по себе ssh подключение вам ничего не дает.
Если у вас есть PlayBook, то просто попробуйте.
Сейчас у меня PlayBook нет под рукой. Но на работе мы с ним «баловались». В devmode есть доступ по ssh от пользователя, найти папки с приложениями несложно.
Судя по Вашему комментарию, Вы путаете root-доступ с ssh-доступом, Вы же писали: «И до тех пор, пока не появился доступ по ssh (он же root доступ)...» Но, наверное, я Вас неправильно понял. Вам, конечно, виднее, путаете Вы что-то с чем-то или нет. Я же просто прокомментировал, чтобы другие пользователи не были введены в заблуждение.
Сейчас у меня PlayBook нет под рукой. Но на работе мы с ним «баловались». В devmode есть доступ по ssh от пользователя, найти папки с приложениями несложно.
Судя по Вашему комментарию, Вы путаете root-доступ с ssh-доступом, Вы же писали: «И до тех пор, пока не появился доступ по ssh (он же root доступ)...» Но, наверное, я Вас неправильно понял. Вам, конечно, виднее, путаете Вы что-то с чем-то или нет. Я же просто прокомментировал, чтобы другие пользователи не были введены в заблуждение.
Я полагаю, что видны только папки общего доступа. Те же папки, что видны при использовании file manager app. Вечером я это перепроверю и отпишу сюда для полноты информации.
Что вы подразумеваете под «папками общего доступа»? Файлменеджером отлично видно и /etc, и /usr/lib, и прочие каталоги от самого корня.
Раз вы так уверенно говорите, скорее всего, это так и есть.
У меня приложение AIR Browser и я не вижу корневой папки. Я вижу bookmarks, books, camera, print, documents, downloads, misc, music, photos, videos, voice, protected_media и все.
Но если честно, учитывая комментарий drodin, дальнейшее уточнение возможностей ssh и file manager уже не так интересно.
У меня приложение AIR Browser и я не вижу корневой папки. Я вижу bookmarks, books, camera, print, documents, downloads, misc, music, photos, videos, voice, protected_media и все.
Но если честно, учитывая комментарий drodin, дальнейшее уточнение возможностей ssh и file manager уже не так интересно.
Вот этот файл-менеджер показывает всю файловую систему.
Как бы то не было — народ все равно найдет способы ставить приложения в обход App World (на iOS это называется «джейлбрейк», на Андроиде «root доступ»), но тогда он не сможет им пользоваться (App World при его работе будет чистить «левые» приложения"), тут юзеры будут выбирать — юзать ТОЛЬКО App World либо юзать ТОЛЬКО приложения в обход оного — но тогда они не смогут получать новые приложения с онлайн авторизацией, и не смогут обновлять бесплатные, штатные приложения ББ (именно поэтому я перешел на «светлую» сторону силы — лучше платить чем все время мучаться :). )
Так что ну все верно, надо — «добавить постоянный online контроль, отсылать динамически меняющиеся ключи», ну и конечно обфусцировать код.
Так что ну все верно, надо — «добавить постоянный online контроль, отсылать динамически меняющиеся ключи», ну и конечно обфусцировать код.
Такая анальная огороженость на высококонкурентном рынке? Тем более абсолютно бесполезная, т.к. все равно прошьют так, что все будет работать как надо.
«добавить постоянный online контроль» угу, пытались тут для игрушек ввести такое — как то «непокатило» :)
проще деньги, потраченные на такую псевдозащиту потратить на полировку апликухи / дорабатывание API магазина.
«добавить постоянный online контроль» угу, пытались тут для игрушек ввести такое — как то «непокатило» :)
проще деньги, потраченные на такую псевдозащиту потратить на полировку апликухи / дорабатывание API магазина.
Ок, вы вдруг (внезапно) в 2011 году узнали, что swf файлы можно декомпилировать. В чем ужас ситуации? Достаточно известный факт в узких кругах (*trollface*), но панику, вроде никто не поднимал до вас. о_О
Да причем тут это? Как мне кажется основной момент в статье это то, КАК именно добыть скомпиленные файлы.
А про декомпиляцию написано для тех, кто не в курсе для чего это может понадобиться.
Такое чувство, что большинство комментаторов вообще не читали статью, или читали её через абзац…
А про декомпиляцию написано для тех, кто не в курсе для чего это может понадобиться.
Такое чувство, что большинство комментаторов вообще не читали статью, или читали её через абзац…
«Вариант 2. Хакер программист. Все то же самое, но перед этим взять swf декомпиллятор, получить полные исходники, отключить демо ограничения или просто украсть код. Была демо, стала полная версия. „
Как я понял автора удручает больше это.
Как я понял автора удручает больше это.
Способ анализировать скомпилированный файл был всегда, для разных языком и платформ он различается по методу декомпиляции/дизассемблирования и сложности.
С другой стороны если бы не было способа получить «на руки» саму программу, то не было бы и возможности декомпиляции.
С другой стороны если бы не было способа получить «на руки» саму программу, то не было бы и возможности декомпиляции.
Есть так же более простой «официальный» способ получить все установленные приложения, показывающий что никакие защищенные соединения не помогут, и RIM просто-напросто наплевать на защиту ваших приложений.
Качаете с офф сайта BlackBerry Desktop Software, подключаете Playbook, бэкапите. Полученный файл.bbb — zip архив, внутри в Archive/app.tar/app все приложения и данные.
Качаете с офф сайта BlackBerry Desktop Software, подключаете Playbook, бэкапите. Полученный файл.bbb — zip архив, внутри в Archive/app.tar/app все приложения и данные.
Отличный способ пропиарить своё приложение. Все бы так делали.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Защита от несанкционированного копирования приложений Blackberry PlayBook