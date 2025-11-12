Содержание статьи
Это исследование получило второе место на Pentest Award 2025 в категории «Мобильный разлом». Соревнование ежегодно проводится компанией Awillix.
Выбор цели
Исследование проводилось в рамках апрельского ивента Bugs Zone 4.0. Скоуп программы одного из вендоров‑участников включал в себя веб‑приложение, API-интерфейс к нему и мобильные приложения на iOS и Android.
Исторически так сложилось, что веб всегда смотрят в разы активнее, чем мобилки. И, на мой взгляд, это прекрасно, так как для исследователей, готовых закопаться, к примеру, в откручивание нестандартной реализации пиннинга в приложении на Flutter, это открывает возможность находить множество интересных вещей в условиях не такой активной конкуренции. Понимая это и устав от периодического купания в потоке дубликатов, я решил начать изучение именно с мобильного приложения.
Приложение
Скачиваем установочный APK на Android, используя плагин APKLab для VS Code, быстро и просто разбираем приложение до кода на Smali и местами Java, снимаем SSL-пиннинг — с целью дальнейшего перехвата трафика и его анализа в Burp Suite.
Подписав и установив приложение на устройство для тестирования, закручиваем трафик через наш прокси‑сервер и исследуем сетевую активность при работе с приложением. В ходе исследования я нашел несколько уязвимостей прожарки medium — когда мне открылся весь процесс взаимодействия приложения с мобильным API. Но я охотился за критами, поэтому не стал останавливаться на достигнутом и занырнул глубже.
Погружаемся в код
Начнем исследование кода, в который плагин APKLab превратил наш APK. На самом деле под капотом плагина работает несколько утилит, одна из которых — многим известный JADX, поэтому проделать то же самое можно было и используя его напрямую.
