Sulla capacità di decodificare l'API privata di Instagram

1

Mi sono imbattuto in questi post del blog in cui un utente è riuscito a estrarre la chiave privata di Instagram dall'app per Android: link

Che potrebbe quindi essere utilizzato allo scopo di sfruttare l'API privata di Instagram, in questo modo: link

Da questo sono emerse alcune domande personali:

  1. C'è qualcos'altro che gli ingegneri della sicurezza di Instagram avrebbero potuto fare per impedire che ciò accadesse? Presumo che siano ingegneri del software estremamente talentuosi, ma avere un utente in possesso di un'app, in questo caso nella forma di un android .apk , rende sempre più semplice / sempre possibile per le persone scoprire chiavi segrete?
  2. Le app Web sono intrinsecamente più sicure rispetto alle app mobili? Diciamo che l'app web Instagram è identica alla loro app mobile. Sarebbe ancora possibile per qualcuno estrarre le chiavi segrete dell'app Web, oppure è molto più difficile, se non impossibile, da eseguire perché l'utente non sarà mai in possesso del codice sorgente completo dell'app Web.
posta metersk 22.11.2015 - 23:23
fonte

1 risposta

1
  1. Sì, una volta rilasciata un'applicazione, non si ha il controllo su ciò che le persone fanno con essa. Puoi offuscare o pre-elaborare il codice per rendere più difficile trovare le cose, ma per definizione, deve essere eseguibile e accessibile al processore sottostante. Dato abbastanza tempo e fatica, qualcuno può sempre scoprire tutto ciò che è incorporato nell'applicazione. Questo vale per qualsiasi tipo di applicazione: app per dispositivi mobili, app per desktop, app per console. Se tutto il resto fallisce, un attaccante davvero determinato potrebbe emulare il processore e scaricare ciò che accade.

  2. No, ma i metodi di attacco cambiano. Prendendo l'esempio di Instagram, se si dispone di un'app Web, le comunicazioni possono essere inviate su un canale crittografato, ma potrebbero non essere in grado di controllare la fonte delle comunicazioni. Sarebbe difficile distinguere tra l'app legittima e quella di terzi. Per alcune aziende, questo è importante (ad esempio, se mostrano annunci nella loro app ufficiale). D'altra parte, con un'app mobile, sarebbe possibile fornire, ad esempio, la verifica del certificato, in cui il server e il client si verificano reciprocamente. In questo caso, sarebbe possibile rimuovere un certificato compromesso sul lato server, sebbene ciò potrebbe bloccare gli utenti che non hanno aggiornato le loro app.

    Nel primo caso, gli attacchi si concentrerebbero sull'individuazione di chiamate valide al sistema di back-end e quindi sul tentativo di abusarne. Nel secondo caso, inizialmente gli attacchi proverebbero ad estrarre il certificato, ma in quel processo probabilmente troverebbero le chiamate.

risposta data 23.11.2015 - 10:32
fonte

Leggi altre domande sui tag