@dimakovalenko24 окт 2012 в 21:50

Как мирный reverse engineering помог чуть-чуть улучшить приложение Яндекс.Деньги

12 мин

51K

Информационная безопасность * Отладка * Реверс-инжиниринг *

+160

Комментарии 35

@zloool 24 окт 2012 в 22:08

Приятно видеть людей которые безвозмездно делают мир чуточку лучше.

@dimakovalenko 24 окт 2012 в 22:13

Спасибо :)

@vyacheslav_ka 24 окт 2012 в 22:15

Надо было баг-репорт отправлять прям на dmitriyap.dyndns.org, разработчики немного бы удивились :)

@dimakovalenko 24 окт 2012 в 22:20

В момент исследования dmitriyap.dyndns.org был в глухом офлайне :) Да и моей целью было не показать разработчикам Яндекс.Денег какой я типа крутой хакер, а помочь сделать их продукт чуть лучше. Вроде получилось :)

@Indexator 24 окт 2012 в 22:34

Награду то пообещали?)

@dimakovalenko 24 окт 2012 в 22:41

Если Вы о конкурсе «Охота за ошибками», то Яндекс.Деньги в нем не участвуют (странно, да?). Так что нет, награды мне не будет. Ну да мне и плевать если честно )

@Finn75th 25 окт 2012 в 04:57

В конкурсе Яндекс.Деньги уже участвуют. Но вот мобильные приложения Денег, пока нет, к сожалению.

@dimakovalenko 25 окт 2012 в 07:08

Да, я собственно это и имел ввиду. Наверное просто неясно выразился.

@McBernar 24 окт 2012 в 22:58

Вас не попытались захантить? :)

@dimakovalenko 24 окт 2012 в 23:02

Яндекс? Нет :)

@Dyr 25 окт 2012 в 15:06

А кто да? Г...? ;)

@dimakovalenko 25 окт 2012 в 16:22

Нет, Г… тоже не :)

@BugMaker 24 окт 2012 в 23:24

Я не очень понимаю, любой нормальный компилятор отбрасывает неиспользуемый код, попутно выводя warning. Чей косяк, Android SDK, JDK?

@darked 25 окт 2012 в 03:21

Или этот метод всё же где-то вызывается...? Поэтому в версии 1.80 весь код и обсфуцировали. (Пробую найти теорию заговора ))

@dimakovalenko 25 окт 2012 в 07:43

Думаю этот код не был отброшен из-за (пишу псевдокодом, так короче и понятнее, кому интересно — сам посмотрит как это выглядит в Smali):

public class CoreApplication implements LocationListener {
 
  // ...неинтересный код был тут

  public static CoreApplication getCoreApplication() {
    if (coreApplication == null)
      throw new RuntimeException("here CoreApplication must exists!");
    return coreApplication;
  }
  
  private static void onNativeCrashed() {
    Class localClass = getCoreApplication().params.getCrashHandlerClass();
    if ((localClass != null) && (!getAppBuildIdFromNative().contains("master_market"))) {
      new RuntimeException("crashed here (native trace should follow after the Java trace)");
      new StringBuilder("App name is ").append(getAppNameFromNative());
      new StringBuilder("Build ID is ").append(getAppBuildIdFromNative());
      if (getAppBuildIdFromNative().length() > 32)
        applicationContext.startActivity(new Intent(applicationContext, localClass).setFlags(268435456));
    }
	
	// ...неинтересный код был тут
}

Обратите внимание на метод onNativeCrashed(). Он вызывается при краше native библиотеки которая работает с Яндекс.Картами. Метод получает класс, унаследованный от CrashHandler (в котором и как раз и живет тот самый безобразный метод sendBug(String paramString)) путём вызова

Class localClass = getCoreApplication().params.getCrashHandlerClass();

Если класс получен успешно (см. дальше условия if ((localClass != null)...) и если native-библиотека которая отвечает за взаимодействие с Яндекс.Картами вернула правильный пароль :) — стартует activity, из которой потом можно будет вызвать этот самый гадкий sendBug(String paramString).

Но есть одно «но»! Если посмотреть на метод getCrashHandlerClass(), то мы увидим что он всегда возвращает null:

public class MapsCoreApplicationParams extends CoreApplicationParams
{
  // ...ля-ля-ля, не важно
  
  public Class getCrashHandlerClass()
  {
    return null;
  }
  
  // ...ля-ля-ля, тоже не важно
}

Поэтому класс никогда не будет получен, а следовательно activity не стартует и метод sendBug(String paramString) никогда не будет вызван. Как видите, тут все запутано как бразильском сериале :) Думаю поэтому компилятор не смог до конца вкурить все эти связи и стремный код на всякий случай оставил.

Я не стал включать все эти исследования в статью — решил ограничится общей фразой про то что мол тщательное исследование кода приложения заставляет думать что ля-ля-ля…

@ivanra 25 окт 2012 в 05:25

Возможно, нормальный компилятор так и делает, если это сильно связанный код, но писать такой код сейчас не принято.
А принимать решение за разработчика, и выкидывать public и protected методы нормальный компилятор не должен.

@dimakovalenko 25 окт 2012 в 07:48

Возможную причину я написал выше, но может Вы и правы — дело действительно в том, что Java не склонна выкидывать public и protected методы. Честно говоря точно не знаю.

@Stiver 25 окт 2012 в 10:43

Компилятор в принципе не может определить, вызывается ли метод. По причине Reflection например в случае Явы. Неиспользуемый код убирается только в пределах одного метода (и то бывает чревато).

@bormotov 25 окт 2012 в 05:28

Хм, а в SDK нет штатного механизма отправки багрепортов? Мне кажется довольно логичным иметь возможность получить из системных логов все записи своего приложения за предыдущие N минут, и как-то через гугель закинуть их разработчику приложив к traceback'у с места падения.

@uranik 28 окт 2012 в 07:45

Видимо яндекс решил не делиться с гуглем незашифрованными персональными данными в логах.

@bormotov 28 окт 2012 в 07:49

данные перед отправкой в штатный механизм можно и зашифровать, не должно быть проблемой.

@WillyVel 25 окт 2012 в 07:13

Небольшой поиск в Google дает — а поиск Яндекс не дает?))

@dimakovalenko 25 окт 2012 в 07:51

Вроде бы тоже даёт (ну по крайней мере нужный твиттер в первой десятке). Но с Google у меня как-то лучше любовь складывается, поэтому пользуюсь в основном им :)

@WillyVel 25 окт 2012 в 08:39

Извиняюсь, проглядел абзац, мне показалось, что вы работаете в Яндексе. Троллинг не получился.

@dimakovalenko 25 окт 2012 в 08:43

Нет, я свободный художник. Если бы я работал в Яндексе, то наверное я бы имел исходный код этого приложения и не было бы смысла заморачиваться с дизассемблированием и дебаггингом. Но так даже лучше — без исходного кода ковырять программу интереснее :)

НЛО прилетело и опубликовало эту надпись здесь

@dimakovalenko 25 окт 2012 в 09:17

Да, он. Помнится, там ещё во время взлома какая-то девушка хакеру делала мине… ну в общем отвлекала хакера от процесса :)

НЛО прилетело и опубликовало эту надпись здесь

@dimakovalenko 25 окт 2012 в 17:05

А та девушка видимо была HR-менеджер :)

НЛО прилетело и опубликовало эту надпись здесь

@Seekeer 30 окт 2012 в 11:57

Это была не Хэлли Берри, кстати;)
Там какая то другая белая подружка глав террориста была.
*чёрт, какую же фигню мой мозг помнит*

@achekalin 28 ноя 2012 в 06:51

В «Социальной сети», помнится, конкурс для программистов включал работу после выпивания спиртного.

Осталось объединить идеи :)

@iFrolov 25 окт 2012 в 09:20

Так вот для чего каждое второе приложение из гуглплея хочет смотреть логкат. Правда я такие приложения все равно не ставлю.

@dimakovalenko 25 окт 2012 в 09:31

Ну в logcat логе только системный лог (например такая-то activity стартовала, такой-то процесс завершился и т.п.) и то что приложения сами пишут туда с помощью методов из android.util.Log. По идее приложение не должно писать в лог никакой конфиденциальной информации, но на практике разработчики часто используют методы из android.util.Log в процессе разработки с целью отладки, а потом забывают убрать вызовы этих методов из релиза. Я подозреваю что с Яндекс.Деньгами 1.71 так и получилось. В версии 1.80 это пофиксили.

@plr 13 авг 2015 в 08:57

Дима, напишите мне в личку или по job.rabota@gmail.com есть вопрос, а то не могу найти контактных данных в профиле. Спасибо

Зарегистрируйтесь на Хабре, чтобы оставить комментарий