Prismaアプリケーションを調べましたが、私がそこに見つけたものは信じられません

2016年はまだ終わっていませんが、クールな画像処理製品で私たちを喜ばせ続けています。 最初は誰もがFaceSwapにうんざりしていましたが、 MSQRDが登場し、今ではPrismaができました 。 もちろん、最後の2つの製品がネイティブのものであるという事実から、さらに多くの喜び/プライドがあります。 ベラルーシ出身の人はMSQRDを行いますが、プリズマは一般的にモスクワ出身です。 競合他社が一般的な製品で繁殖し始めることは論理的です。 この点で、プリズムは最も幸運でした-状況の組み合わせにより、Mail.ruグループはプリズムの主要な競争相手になり、 Vinci （vk.comチームから）とArtisto （my.comチームから）のほぼ同じ機能を持つ2つの類似製品をほとんどすぐにリリースしました）







そして個人的には、これらの「クローン」を内側から見るのが面白くなってきました。 なぜこれがすべて必要なのか、私はどのような結論に至ったのか-roem.ruでそれについて話しましたが 、繰り返す必要はありません。 Habréでは、Prismaの例を使用して、iOS用アプリケーションの詳細な分析手法を共有したいと思います。



私たちは何をしなければなりませんか？ まず、iOS用のアプリケーションがあり、それが何で構成され、そこからどのような情報を抽出できるかを学びます。 次に、作成者が実際にこれを望んでいない場合でも、クライアントサーバーアプリケーションのトラフィックをスニッフィングする方法を説明します。 実際、新しいことはお伝えしませんが、ノウハウは思いつきませんでした。これは、アプリケーションの有名なテクニックとスキルの単なるベクターです。 しかし、それは面白いでしょう。 追われた。

iOSアプリケーション、IPAファイル

iOSアプリケーションは.ipaファイルです。 実際、それはzipアーカイブであり、どのアーカイバーでも開くことができます（はい、そうです、mobilzはアプリケーションの破壊方法を教えることを約束しましたが、実際にはアーカイバーの使用方法を示します）。 .ipaファイル自体は、iTunesを使用して取得するのが最も簡単です。「プログラム」セクションには、iPhoneのAppStoreに似た「AppStore」タブがあります。 したがって、アカウント（AppleID）が必要です。 iTunesを使用してアプリケーションをダウンロードすると、そのディレクトリに移動できます。









さらに、私が言ったように、.ipaファイルはアーカイバによって開かれます。 内部には、特にPayloadディレクトリとiTunesMetadata.plistファイルがあります。 アプリケーションは、ペイロード、または.app拡張子のディレクトリにあり、MacOSはこれを起動しようとしますが、コンテンツを開くだけで十分です。 iTunesMetadataには、AppStoreからのメタ情報が含まれています。 どのアカウントがアプリケーションをダウンロードしたか、アプリケーションのどのセクションにあるかなど。 など。分析には興味深いものは何もありません。直接.appに移動します。 特定のアプリケーション、Prisma 2.3-Payload / Prisma.appですぐに分析します。



異なるプロジェクトでは、異なる構造を見ることができますが、Info.plist（Payload / Prisma.app / Info.plist）は常に存在します。 これらは、実行する最小バージョン、サポートされる向き、iPadサポートなど、アプリケーションの基本設定です。 ここではもっと面白いです。

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0">  <dict>    <key>UIRequiredDeviceCapabilities</key>    <array>      <string>armv7</string>    </array>    <key>DTCompiler</key>    <string>com.apple.compilers.llvm.clang.1_0</string>    <key>CFBundleInfoDictionaryVersion</key>    <string>6.0</string>    <key>DTPlatformVersion</key>    <string>9.3</string>    <key>DTSDKName</key>    <string>iphoneos9.3</string>    <key>CFBundleName</key>    <string>prisma</string>    <key>UIViewControllerBasedStatusBarAppearance</key>    <true/>    <key>CFBundleIcons</key>    <dict>      <key>CFBundlePrimaryIcon</key>      <dict>        <key>CFBundleIconFiles</key>        <array>          <string>AppIcon29x29</string>          <string>AppIcon40x40</string>          <string>AppIcon60x60</string>        </array>      </dict>    </dict>    <key>UIStatusBarStyle</key>    <string>UIStatusBarStyleLightContent</string>    <key>LSRequiresIPhoneOS</key>    <true/>    <key>CFBundleDisplayName</key>    <string>Prisma</string>    <key>LSApplicationQueriesSchemes</key>    <array>      <string>instagram</string>      <string>fb</string>      <string>fbauth2</string>      <string>fbshareextension</string>      <string>fbapi</string>      <string>fb-profile-expression-platform</string>      <string>vk</string>      <string>vk-share</string>      <string>vkauthorize</string>    </array>    <key>DTSDKBuild</key>    <string>13E230</string>    <key>CFBundleShortVersionString</key>    <string>2.3</string>    <key>CFBundleSupportedPlatforms</key>    <array>      <string>iPhoneOS</string>    </array>    <key>UISupportedInterfaceOrientations</key>    <array>      <string>UIInterfaceOrientationPortrait</string>    </array>    <key>Pushwoosh_APPID</key>    <string>46F12-BE2E4</string>    <key>BuildMachineOSBuild</key>    <string>15G31</string>    <key>DTPlatformBuild</key>    <string>13E230</string>    <key>CFBundlePackageType</key>    <string>APPL</string>    <key>MinimumOSVersion</key>    <string>8.0</string>    <key>CFBundleDevelopmentRegion</key>    <string>en</string>    <key>DTXcodeBuild</key>    <string>7D1014</string>    <key>CFBundleVersion</key>    <string>40</string>    <key>UIStatusBarHidden</key>    <true/>    <key>FacebookAppID</key>    <string>582433738573752</string>    <key>UILaunchStoryboardName</key>    <string>LaunchScreen</string>    <key>UIDeviceFamily</key>    <array>      <integer>1</integer>    </array>    <key>Fabric</key>    <dict>      <key>Kits</key>      <array>        <dict>          <key>KitName</key>          <string>Crashlytics</string>          <key>KitInfo</key>          <dict/>        </dict>      </array>      <key>APIKey</key>      <string>8e17945e7d29d1c775f321348caef29075f5ab9a</string>    </dict>    <key>FacebookDisplayName</key>    <string>Prisma.AI</string>    <key>CFBundleIdentifier</key>    <string>com.prisma-ai.app</string>    <key>DTXcode</key>    <string>0731</string>    <key>NSAppTransportSecurity</key>    <dict>      <key>NSExceptionDomains</key>      <dict>        <key>vk.com</key>        <dict>          <key>NSExceptionRequiresForwardSecrecy</key>          <false/>          <key>NSExceptionAllowsInsecureHTTPLoads</key>          <true/>          <key>NSIncludesSubdomains</key>          <true/>        </dict>        <key>cdninstagram.com</key>        <dict>          <key>NSExceptionAllowsInsecureHTTPLoads</key>          <true/>          <key>NSIncludesSubdomains</key>          <true/>        </dict>      </dict>    </dict>    <key>CFBundleExecutable</key>    <string>prisma</string>    <key>CFBundleSignature</key>    <string>????</string>    <key>DTPlatformName</key>    <string>iphoneos</string>    <key>CFBundleURLTypes</key>    <array>      <dict>        <key>CFBundleURLSchemes</key>        <array>          <string>fb582433738573752</string>        </array>      </dict>      <dict>        <key>CFBundleURLSchemes</key>        <array>          <string>vk5530956</string>        </array>      </dict>      <dict>        <key>CFBundleURLSchemes</key>        <array>          <string>prisma</string>        </array>      </dict>    </array>  </dict> </plist>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

キーの詳細については、 公式ドキュメントを参照してください。ただし、それらの一部にのみ関心があります。



まず、サードパーティ製品（crashlyticsなど）のAPIキー、vk / facebookのグループ/ページ識別子を取得できます。 第二に、アプリケーションが行く詳細なURL設定を確実に知ることができます：



LSApplicationQueriesSchemes

 <key>LSApplicationQueriesSchemes</key> <array> <string>instagram</string> <string>fb</string> <string>fbauth2</string> <string>fbshareextension</string> <string>fbapi</string> <string>fb-profile-expression-platform</string> <string>vk</string> <string>vk-share</string> <string>vkauthorize</string> </array>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

アプリケーションは、Instagram、Facebook、VKontakteで動作することを望んでいることがわかります。 もちろん、この情報は決してアプリケーションを「破壊」するのに役立ちませんが、追加情報を提供します。



NSAppTransportSecurity

 <key>NSAppTransportSecurity</key> <dict> <key>NSExceptionDomains</key> <dict>   <key>vk.com</key>   <dict>     <key>NSExceptionRequiresForwardSecrecy</key>     <false/>     <key>NSExceptionAllowsInsecureHTTPLoads</key>     <true/>     <key>NSIncludesSubdomains</key>     <true/>   </dict>   <key>cdninstagram.com</key>   <dict>     <key>NSExceptionAllowsInsecureHTTPLoads</key>     <true/>     <key>NSIncludesSubdomains</key>     <true/>   </dict> </dict> </dict>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

間違っていなければ、フラグはiOSの9番目のバージョンから現れました。 アプリケーションがhttpプロトコルを突破する場所を示します（httpsはどのドメインでも利用可能です）。 つまり NSAppTransportSecurityが設定されていない場合、アプリケーションはすべての要望でhttpにアクセスできません。



キーは全体として、情報を除いて特別なものは何も与えません。 しかし、穀物の雌鶏。 アプリケーションがvk.comおよびcdninstagram.comのhttpを突破したいと考えています。 わかった



CFBundleURLTypes

 <key>CFBundleURLTypes</key> <array> <dict>   <key>CFBundleURLSchemes</key>   <array>     <string>fb582433738573752</string>   </array> </dict> <dict>   <key>CFBundleURLSchemes</key>   <array>     <string>vk5530956</string>   </array> </dict> <dict>   <key>CFBundleURLSchemes</key>   <array>     <string>prisma</string>   </array> </dict> </array>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

おそらく最も役に立たないキー。 繰り返しますが、彼は特に有用なものは何も提供していませんが、この特定のアプリケーションに登録されているURLについて話しています。 たとえば、モバイルサファリでfb582433738573752と入力した場合：//アプリケーションに転送されます（インストールされている場合はもちろん）。 繰り返しますが、この情報は条件付きで役に立たないと分類することもできます。 しかし、標準的なソーシャルネットワークのURLに加えて、「app-admin」や「app-dev」などのURLを見つけたアプリケーションに何度か遭遇しました。 非表示のアプリケーション設定を取得できるように切り替えたとき。 あるアプリケーションでは、記事を公開したり、メインページに押し込んだり、削除したり、並べ替えたりすることができる1つの出版物への編集アクセスがありました。



次に、Frameworksディレクトリに注目します： Payload / Prisma.app / Frameworks



その中には、使用されている外部フレームワークとSDKについてのさらに有用な情報があります。





各フレームワークについて以下で詳しく説明しますが、たとえば、ここから興味深い情報を引き出すこともできます。 他のフレームワークの中でも、アニメーションGIFで動作するFLAnimatedImageがあります-結論は、Prismaがまだビデオであるということを思わず示唆しています。



また、メタファイルでは、多くの場合、開発者が忘れたゴミを見つけることができます。 多くの場合、README.md、.gitignore、ライセンスなどがあります。 繰り返しますが、Prismaは良い例です。 バージョン2.3から、開発者によって忘れられた友人の1人の写真がそこに現れました。 一番下に達した人は、コメントで人の名前を投稿しないでください、彼は本当に尋ねました。



また、USERTrustRSAAddTrustCA.cerを見つけました-すでに興味深いものです。 これがパスワードで保護された証明書であることを理解している限り、アナログのブルートフォースは利益を上げませんでした。



バイナリには、隠されたplistが直接含まれていることが多く、興味深い場合があります。 また、アプリケーションがwebviewテクノロジー（Cordovaなど）に基づいて構築されている場合、cord.conf.xmlと実際にはアプリケーションソースが見つかります。 たとえば、ユーザーに追加のビデオレッスンの支払いを提供するSworkitアプリケーションは、便利な.mp4形式で既にソースに含まれています。 あなたがそれを便利にしたい場合-支払う。 不便ですが、無料です-Habréのこの記事を読んでください。



おそらく、これはアプリケーションのパッケージから取得できる主なものです。 もっと正確に言えば、私が得た主なもの。 皆さんは賢く、さらに便利なものを見つけると確信しています。コメントを書いてください。これを記事に追加します。 しかし、再び、すべてが個々です。 一部のアプリケーションでは、ソースコード全体を含め、多くを見つけることができます。



さて、アプリケーション自体についてもう少し。 プリズム（2.3）17.6Mb ネイティブスウィフト、ロシア語と英語のサポート。 フレームワーク

Alamofire.framework-HTTPクライアント

AlamofireImage.framework

AlamofireNetworkActivityIndi​​cator.framework

Bolts.framework-開発者向けの補助ツールキット

FBSDKCoreKit.framework-facebook

FBSDKShareKit.framework-facebook

FLAnimatedImage.framework-ビデオを操作するためのライブラリ

KeychainAccess.framework-許可ラッパー。 最も頻繁にtouchidで動作するように使用

Obfuscator.framework-難読化ツール、ここでは、説明する必要はないと思う

PINCache.framework-さまざまなスレッドでの作業をサポートするラージオブジェクトのキー/値ストレージ。

PINRemoteImage.framework-Picacheモジュール

pop.framework-アニメーションを操作するためのライブラリ。 UIアニメーションに最もよく使用されます。

RHBOrientationObjC.framework-加速度計、より正確には、デバイスの向きを操作します。

SDWebImage.framework-別のhttp_client /画像のキャッシュ

SwiftyJSON.framework-JSONを使用した便利な作業

Swinject.framework-DI開発パターン

VK_ios_sdk.framework-vk.com

最後に何がありますか？ アプリケーションに関する多くの情報を収集し、アプリケーションに何を期待すべきかを理解しています。 証明書を見つけて保存しました。 ビデオがすぐに私たちを待っていることを知り、プリズマの創設者の友人のクールな写真を見つけました。 先に進みます。

Sniffem HTTP

ここでのプリズマは、この記事の良い例であることが判明しました。 同じArtistoとVinciが素のhttpを使用し、それらをスニッフィングするのに困難がない場合、Prismaは証明書認証を使用してhttpsを使用します。 そして、ここからタンバリンとのダンスが始まります。 しかし、順番に見てみましょう。



1.最初に、http（s）プロキシが必要です。 私はCharlesを使用していますが、これは非常にシンプルで機能的です。

2. iOSデバイスが必要です。 エミュレーターは機能しません。

3.デバイス間に1つのネットワークが必要です。 最も簡単なのはWi-Fiです。



ターミナルでプロキシを起動すると同時に、httpsプロキシをオンにします。 デバイスでは、それぞれWi-Fiネットワーク設定で、手でプロキシを設定します（端末とポートのIP）：









さらに、ほとんどの場合、iOSで証明書をスリップするだけで十分です。 これを行う方法は、同じCharles Webサイトに詳しく記載されています。 しかし、Prismaの場合、これはうまくいきませんでした-開発者は不安定ではなく、証明書の信頼性をチェックします。 しかし、これはデバイスによって行われ、私たちもまだunningです。 ただし、iOSが真正性の証明書を検証しないようにするには、ジェイルブレイクが必要です。



行為は、バージョンiOS 9.3.3よりも前に行うことができますが、その後、独自の危険とリスクを伴います。オプションとして、 テーマリソースを使用し、コメントを注意深く読んでください。 特に、一部の「ジェイルブレイクタイプ」ソフトウェアは、AppleIDとパスワードを要求する場合があり、リンクされたカードからデータとお金が消失する可能性があります。 これらすべての微妙な点について詳しく説明します。



どうやってやったかは説明しません ロック解除は、デバイスのバージョンとiOSによって大きく異なります。 この場合に必要な唯一の理由は、 https：//github.com/nabla-c0d3/ssl-kill-switch2/releases-ssl killスイッチの最新バージョンです。 Cydiaを使用して（再び、すべての情報をネットワーク上で見つけることができます）、iFileなどのファイルビューアーを配置します。 そして、最新のssl killスイッチリリースの.debファイルに入力します。 電話を再起動した後、ssl killスイッチを実行します。 すべての操作の後、オフにすることを忘れないことが重要です。 そうしないと、デバイスがSSLを認証しなくなるため、リスクがあります。





プロキシがオンになり、証明書の検証がオフになり、アプリケーションを確認するために運転しました。 最初の起動-ご覧のとおり、アプリケーションは最初に設定を収集します。 どこから入手できますか？ Twitches https://cdn.neuralprisma.com/config.jsonと通常のGET、標準設定がありますが、面白くないです。 それからapi3.neuralprisma.com/styles POSTを体でジャークします

 { "codes": ["public"] }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

出力はフィルターのリストです。 すでにもっと面白い、配列["public"]で遊んだ。 そこに「開発者」、「新規」などの何かを代用しようとして、私は利益を得ませんでしたが、おそらくあなたの一人が成功するでしょう。 これにはPostmanを使用することをお勧めします。







では、先に進みましょう。 写真をアップロードするときの次のリクエストは、URL api3.neuralprisma.com/upload/imageに再度POSTされます







そして、バイナリmd5のbase64を含むprisma-image-signヘッダーを見るまで、私の人生はすべて順調でした。 人生は苦痛です。 私は今プリズムのトラフィックをキャッチし、アプリケーションと同じことを行うことを学びますが、http ...だけでクラッシュするという私の夢。 これはどういう意味ですか？ したがって、開発者は私のような人々から保護されています。 http経由で画像を送信することにより、アプリケーションは、ソルトを使用してハッシュを計算し、このハッシュをヘッダーに追加します。 ハッシュの生成方法を知っているのはアプリケーションとサーバーのみです。 写真はサーバーに送信され、サーバーは同じアルゴリズムを使用して写真からハッシュを生成し、ハッシュが異なる場合はチェックし、リクエストが偽造されます。 アセンブラが得意であれば、これを回避する方法があります。 このヘッダーを生成するというトピックに関するバイナリの暗殺+分析により、アルゴリズムが得られます。 しかし、md5（最小）+ base64があることを考えると、これには多くの時間がかかります。 まあ、Obfuscator.frameworkフレームワークの存在によってすべてが複雑になることを忘れないでください。 一般に、私が書いたように、人生は苦痛です。



アプリケーションの以降の作業はすべて非常に簡単です。 写真がサーバーに送信され、特定の画像名が返されます。 スタイルを選択すると、リクエストはこのアプリケーション名+スタイル名で送信され、出力は利益になります。 しかし、勝利はとても近かった。



さて、さて、絶望せず、別の同様のVinciアプリケーションの例を使用してAPIをインターセプトする可能性を考えてみましょう。 既に述べたように、すべてがそこにある裸のhttpで行われるため、デバイスを歪める必要さえありません。 プロキシサーバーを登録するだけで、アプリケーションを使用してどこに行くかを確認できます。 すべてのリクエストは、すでに書いたPostmanでエミュレートするか、サーバー言語で実装できます。







すべてが非常に簡単です。 最初のリクエストで起動すると、Vinci は使用可能なスタイルを収集し 、デバイスを登録しますが、気にしません。 次に、写真をアップロードし、写真のハッシュを取得するために、POSTリクエストを送信し、写真とともに写真をプリロードします。







さらに、ご覧の2_gNmHxDdthLsmPtuXGxRzQnKjbbspfO



、URL http://vinci.camera/process/2_gNmHxDdthLsmPtuXGxRzQnKjbbspfO/21にアクセスして完成した画像を取得します。ここで、 2_gNmHxDdthLsmPtuXGxRzQnKjbbspfO



は21です。カメラ/リスト







以上です。 それで、今日何を学びましたか？ API全体が証明書認証でhttpsを使用している場合でも、アプリケーション自体のメタファイルに従ってアプリケーションに関する情報を収集する方法と、アプリケーショントラフィックをスニッフィングする方法を学びました。 APIから情報を収集する方法を学びました：何、どこで、なぜ、またいくつかの「行き止まり」を示しました。



シムについては、アプリケーションの魅力的な分析から気を散らすことはありません。誰かが何か面白いものを見つけたら、コメントを捨てて、一緒に笑ってください。



ところで、興味深い事実。 同じSQLinj。 ウェブ上でそれらに会うことはすでに困難であり、開発者は注射の危険性を理解しています。 しかし、ここでは、Webからではなくモバイル開発に頻繁にアクセスするモバイル開発者がいます（Webからでも-「APIを知っているのはアプリケーションだけです！」などのAPIを信頼しています）。リモートユーザーによるデータベースへのフルアクセスを待ちます。