How to setup Frida for Android Studio Emulator (AVD)

สำหรับการใช้งาน Android Virtual Device (AVD) ในงาน Penetration Test นอกจากการ Root AVD แล้วยังมีการติดตั้ง Frida Server บน AVD อีกด้วย ในบทความนี้จะกล่าวถึงขั้นตอนการการติดตั้ง Frida Server บน AVD ที่ได้ทำการ Root เป็นที่เรียบร้อยแล้ว How to root Android Studio Emulator (AVD) with Magisk รวมถึงการติดตั้ง Frida Client ที่เครื่อง Host ที่เป็น Windows

อ่านเพิ่มเติม

Flutter – TLS Certificate Pinning Sample

TLS Certificate Pinning ช่วยทำให้แอปสามารถตรวจสอบได้ว่าบริการ TLS/SSL ที่กำลังจะเชื่อมต่อนั้นเป็นเป็นบริการที่รันอยู่บน server เดียวกันกับที่แอปรู้จักไหม เพื่อป้องกันการดัก traffic ด้วย proxy ในเบื้องต้นก่อน (ความเป็นจริงแล้วการ implement security control ฝั่ง client side มันย่อมมีแนวโน้มว่าจะถูก bypass ได้ แต่ทำไว้ยังดีกว่าไม่ทำเลย) หลายครั้งที่ต้องเรสประเด็นว่าแอปไม่มีการตรวจสอบ TLS certificate ของบริการ TLS/SSL ที่ตัวมันต้องเชื่อมต่อยิ่งเป็นแอปที่มีความสำคัญพวก financial app แล้วยิ่งต้องถูกกำกับด้วยข้อบังคับต่าง ๆ นานา ผู้พัฒนาแอปจึงจำเป็นที่ต้องพัฒนาแอปให้สอดคล้องกับข้อบังคับเหล่านั้น

อ่านเพิ่มเติม

How to bypass certificate pinning using TrustMeAlready

ภายหลัง Android Version 6 ขึ้นไป ผู้ทดสอบจะติดปัญหาไม่สามารถการดักข้อมูล HTTP request และ Response ผ่านโปรแกรม Burp suites วิธีแก้เบื้องต้นคือการ Bypass Certificate Pinning ก็สามารถที่จะดักข้อมูลได้อย่างปกติ

อ่านเพิ่มเติม

How to bypass Touch ID authentication (Frida)

บทความนี้กล่าวถึงวิธีการ Bypass การ login ที่ใช้ Touch ID ของโปรแกรมที่มีการเขียนอย่างไม่รัดกุม ทำให้ผู้ใช้งานสามารถใช้งาน นิ้วที่ไม่ได้ลงทะเบียน หรือลายนิ้วมืออะไรก็ได้เข้าถึงโปรแกรม

อ่านเพิ่มเติม