การ Sign ไฟล์ .apk โดยใช้ uber-apk-signer

เมื่อเราทำการแก้ไข ฺBinary ของไฟล์ Apk แล้วนั้น บางครั้งเกิด Error ไม่สามารถลงบนเครื่อง Android หรือ Emulator ได้ โดยพบข้อผิดพลาดของของ “No Certificate” เราจำเป็นต้องนำ Apk ดังกล่าวมา Sign ให้เรียบร้อย ก่อนนำไปติดตั้ง

อ่านเพิ่มเติม

ดึงไฟล์ .apk จาก Play Store

เมื่อต้องการไฟล์ apk จาก Play Store เราสามารถดึง application ได้เลยโดยไม่จำเป็นต้องติดตั้งบนเครื่อง Android ก่อนและค่อยดึง ออกมาเป็น apk จากเครื่องอีกครั้ง เพื่อลดระยะเวลาแจกจ่าย app สำหรับการทำทดสอบ หรือการไป Reverse Engineering และ Patching

อ่านเพิ่มเติม

How to setup Frida for Android Studio Emulator (AVD)

สำหรับการใช้งาน Android Virtual Device (AVD) ในงาน Penetration Test นอกจากการ Root AVD แล้วยังมีการติดตั้ง Frida Server บน AVD อีกด้วย ในบทความนี้จะกล่าวถึงขั้นตอนการการติดตั้ง Frida Server บน AVD ที่ได้ทำการ Root เป็นที่เรียบร้อยแล้ว How to root Android Studio Emulator (AVD) with Magisk รวมถึงการติดตั้ง Frida Client ที่เครื่อง Host ที่เป็น Windows

อ่านเพิ่มเติม

Flutter – TLS Certificate Pinning Sample

TLS Certificate Pinning ช่วยทำให้แอปสามารถตรวจสอบได้ว่าบริการ TLS/SSL ที่กำลังจะเชื่อมต่อนั้นเป็นเป็นบริการที่รันอยู่บน server เดียวกันกับที่แอปรู้จักไหม เพื่อป้องกันการดัก traffic ด้วย proxy ในเบื้องต้นก่อน (ความเป็นจริงแล้วการ implement security control ฝั่ง client side มันย่อมมีแนวโน้มว่าจะถูก bypass ได้ แต่ทำไว้ยังดีกว่าไม่ทำเลย) หลายครั้งที่ต้องเรสประเด็นว่าแอปไม่มีการตรวจสอบ TLS certificate ของบริการ TLS/SSL ที่ตัวมันต้องเชื่อมต่อยิ่งเป็นแอปที่มีความสำคัญพวก financial app แล้วยิ่งต้องถูกกำกับด้วยข้อบังคับต่าง ๆ นานา ผู้พัฒนาแอปจึงจำเป็นที่ต้องพัฒนาแอปให้สอดคล้องกับข้อบังคับเหล่านั้น

อ่านเพิ่มเติม

How to bypass certificate pinning using TrustMeAlready

ภายหลัง Android Version 6 ขึ้นไป ผู้ทดสอบจะติดปัญหาไม่สามารถการดักข้อมูล HTTP request และ Response ผ่านโปรแกรม Burp suites วิธีแก้เบื้องต้นคือการ Bypass Certificate Pinning ก็สามารถที่จะดักข้อมูลได้อย่างปกติ

อ่านเพิ่มเติม