Hybrid mobile apps are combination of online web application and native application which is usually web browser wrapper for web application. This concept is commonly used to expose native resources of mobile device to web application and to skip developing web application from scratch as native app. But what to do when Android has no access to web application server? Can you deploy also Java web application to Android device to work offline? In this presentation we will share our experience with building small Java servlet server and with deploying Java servlet application to work on Android. Does it work ok? Are there any limits? Find answers on this presentation.
U Srcu razvijamo, održavamo i dajemo podršku za veliki broj sustava, gdje se svaki sastoji od niza servisa i aplikacija, broj aktivnih korisnika ide i preko 150.000 (uglavnom iz akademske zajednice), a ti sustavi rade na raznim platformama (Java, .Net, PHP, ...). Potrebe i želje korisnika za doradama, nadogradnjama i proširenjima sustava konstantno rastu kako rastu i sami sustavi. Kako bi i dalje uspješno pratili potrebe korisnika smatramo da nam treba Platform as a service (PaaS) kao temelj za daljnji razvoj i održavanje naših sustava. U prezentaciji je prezentirano u kojim segmentima rada nam PaaS može pomoći.
Dev/LiveOps za mobile igrice - CI/CD za Unity projekte putem Gitlab-a i fastlane-a; high availability backend infrastruktura na AWS-u; primena remote config-a na backendu za dinamičke promene game balance-a, A/B testiranje, održavanje nedeljnih game eventova.
Hybrid mobile apps are combination of online web application and native application which is usually web browser wrapper for web application. This concept is commonly used to expose native resources of mobile device to web application and to skip developing web application from scratch as native app. But what to do when Android has no access to web application server? Can you deploy also Java web application to Android device to work offline? In this presentation we will share our experience with building small Java servlet server and with deploying Java servlet application to work on Android. Does it work ok? Are there any limits? Find answers on this presentation.
U Srcu razvijamo, održavamo i dajemo podršku za veliki broj sustava, gdje se svaki sastoji od niza servisa i aplikacija, broj aktivnih korisnika ide i preko 150.000 (uglavnom iz akademske zajednice), a ti sustavi rade na raznim platformama (Java, .Net, PHP, ...). Potrebe i želje korisnika za doradama, nadogradnjama i proširenjima sustava konstantno rastu kako rastu i sami sustavi. Kako bi i dalje uspješno pratili potrebe korisnika smatramo da nam treba Platform as a service (PaaS) kao temelj za daljnji razvoj i održavanje naših sustava. U prezentaciji je prezentirano u kojim segmentima rada nam PaaS može pomoći.
Dev/LiveOps za mobile igrice - CI/CD za Unity projekte putem Gitlab-a i fastlane-a; high availability backend infrastruktura na AWS-u; primena remote config-a na backendu za dinamičke promene game balance-a, A/B testiranje, održavanje nedeljnih game eventova.
Razvoj aplikacija za Google Chromecast - Branimir Conjar, Matija Kovačić, Kre...Five
Uz Google Chromecast korisnici na jednostavan način mogu uživati u online glazbi i filmovima na svom TV-u. U predavanju će najprije biti objašnjeno što je Google Chromecast i kako funkcionira te biti navedene prednosti i nedostaci u usporedbi sa sličnim proizvodima. Nakon uvoda slijedi dio o samom razvoju aplikacija u kojem će se proći kroz postavljanje okoline za razvoj aplikacija, objasniti životni vijek aplikacije koja podržava Chromecast i ukratko proći kroz stvari bitne za razvoj Android i iOS mobilnih aplikacija.
Predavači: Branimir Conjar, Matija Kovačić, Krešimir Mišura
Konferencija Javantura Zagreb 2014 by HUJAK
Java na klijentskoj strani – ima li budućnosti? by Ivan Vučak
U proteklih nekoliko godina Java se pozicionirala kao tehnologija izrade serverskih komponenti, ali kao da se zaboravlja da se Java koristila iza izradu Rich Internet aplikacija (RIA). Da li je Java konkurentna na području RIA te koliku ulogu u tome imaju razni sigurnosni standardi? Kako održavati postojeće RIA sustave uz općenito nepovjerenje ostalih sustava prema Java klijentskim aplikacijama? U ovom predavanju bavit ćemo se usporedbom Jave s ostalim tehnologijama te pokazati zašto strepimo kod svakog Java update-a.
[TVZ računarstvo] Dinamičke web aplikacije, predavanje 11. Stipe Predanic
Predavanje iz Dinamičkih web aplikacija, 11. predavanje
Video: https://www.youtube.com/watch?v=0othfQg9AP8&list=PLYqeapOP_CtS0kbdbo_GXFgnS81JGAd8L&index=12
Tema: Izrada web aplikacija za mobilne uređaje
Datum snimanja: 19.5.2016
Razvoj aplikacija za Google Chromecast - Branimir Conjar, Matija Kovačić, Kre...Five
Uz Google Chromecast korisnici na jednostavan način mogu uživati u online glazbi i filmovima na svom TV-u. U predavanju će najprije biti objašnjeno što je Google Chromecast i kako funkcionira te biti navedene prednosti i nedostaci u usporedbi sa sličnim proizvodima. Nakon uvoda slijedi dio o samom razvoju aplikacija u kojem će se proći kroz postavljanje okoline za razvoj aplikacija, objasniti životni vijek aplikacije koja podržava Chromecast i ukratko proći kroz stvari bitne za razvoj Android i iOS mobilnih aplikacija.
Predavači: Branimir Conjar, Matija Kovačić, Krešimir Mišura
Konferencija Javantura Zagreb 2014 by HUJAK
Java na klijentskoj strani – ima li budućnosti? by Ivan Vučak
U proteklih nekoliko godina Java se pozicionirala kao tehnologija izrade serverskih komponenti, ali kao da se zaboravlja da se Java koristila iza izradu Rich Internet aplikacija (RIA). Da li je Java konkurentna na području RIA te koliku ulogu u tome imaju razni sigurnosni standardi? Kako održavati postojeće RIA sustave uz općenito nepovjerenje ostalih sustava prema Java klijentskim aplikacijama? U ovom predavanju bavit ćemo se usporedbom Jave s ostalim tehnologijama te pokazati zašto strepimo kod svakog Java update-a.
[TVZ računarstvo] Dinamičke web aplikacije, predavanje 11. Stipe Predanic
Predavanje iz Dinamičkih web aplikacija, 11. predavanje
Video: https://www.youtube.com/watch?v=0othfQg9AP8&list=PLYqeapOP_CtS0kbdbo_GXFgnS81JGAd8L&index=12
Tema: Izrada web aplikacija za mobilne uređaje
Datum snimanja: 19.5.2016
3. Što čini Android platformu
Application framework:
◦ modularnost, komponentni dizajn, laka
izmjena i/ili nadogradnja komponenti
◦ Views (gradivne jedinice tipa text-boxevi I
sl.), Content Providers (pristup
informacijama i dijeljenje istih), Resource
Manager (pristup datotekama koje nisu
dio koda projekta tipa layouti i sl.),
Notification Manager (notifikacije na
status baru), Activity Manager
(navigacija aplikacije i životni ciklus
aplikacije) Dinko Korunić: Reverzni inženjering Android aplikacija
4. Što čini Android platformu (2)
Dalvik VM
Linux kernel 2.6!
Web preglednik – WebKit
grafički custom 2D i 3D (OpenGL ES)
podsustav
SQLite za spremište
multimedija (MPEG4, H.264, MP3,
AAC, AMR, JPG, PNG, GIF)
GSM, Bluetooth, EDGE, 3G, WiFi
Dinko Korunić: Reverzni inženjering Android aplikacija
5. Što čini Android platformu (3)
kamera, GPS, kompas,
akcelerometar
IDE, alati za debugiranje, profiliranje,
emulator (Qemu)
dodaci za Eclipse, Netbeans
CLI alati: adb, fastboot, zipalign, itd.
niz gotovih Google aplikacija (Gapps)
u svakoj standardnoj instalaciji
Dinko Korunić: Reverzni inženjering Android aplikacija
7. Biblioteke
Java classlib:
◦ Apache Harmony
◦ clean-room implementacija
System C lib / libc:
◦ Bionic
◦ BSD derivat (dlmalloc, itd.)
◦ Glibc prevelik, uClibc ima LGPL “problem”
◦ nije POSIX compliant!
◦ vrlo lagan i optimiziran za ARM i x86
◦ djelomična / nepotpuna multicore podrška
Dinko Korunić: Reverzni inženjering Android aplikacija
8. Biblioteke (2)
System C lib / libc:
◦ nešto Linux kernel headera zbog ioctl-ova
◦ nema C++ exceptiona, nema STL
◦ poseban libpthread (kernel futexi!)
◦ nema passwd i groups datoteke
◦ UID/GID >10000 za svaku pojedinu
aplikaciju, <10000 su sistemski servisi
◦ properties kao globalni key/value store
umjesto environment varijabli
◦ poseban DNS resolver (nema NSS, npr.)
Dinko Korunić: Reverzni inženjering Android aplikacija
9. Biblioteke (3)
Media libs:
◦ PacketVideo OpenCORE
◦ različiti audio/video formati, statičke
datoteke, itd.
LibWebCore:
◦ WebKit baziran WebView i preglednik
ostalo:
◦ SGL, OpenGL ES
◦ FreeType, SQLite
Dinko Korunić: Reverzni inženjering Android aplikacija
10. Dalvik VM
process VM
◦ instancira i gasi se sa aplikacijom
register-based VM
aplikacije
◦ u Dalvik EXecutable .dex obliku
◦ optimizirano za mali prostor i spori CPU
dx alat:
◦ prevodi iz Java u .dex format (kompresija,
4-bajtno poravnanje + Dalvik bytecode)
◦ više klasa u jednoj .dex datoteci
Dinko Korunić: Reverzni inženjering Android aplikacija
11. Dalvik VM (2)
16-bitni instrukcijski set i radi
isključivo na lokalnim varijablama
varijable – 4-bitni virtualni registar
JIT – od 2.2 Androida naviše
VM ne odlučuje o sigurnosti već samo
OS, jedino provjerava bytecode radi
optimizacija
Gabor Paller: Understanding the
Dalvik bytecode with the Dedexer
tool: http://goo.gl/ck16Dinko Korunić: Reverzni inženjering Android aplikacija
13. Android aplikacije
SDK – Java kao frontend
NDK – C/C++ & Bionic
sastoje se od kompiliranog koda i
resursa
komponente:
◦ komuniciraju kroz Intentove
◦ Activity, Broadcast Receiver, Service,
Content Provider
Reference Monitor – MAC enforce
◦ komponente imaju različite dozvoleDinko Korunić: Reverzni inženjering Android aplikacija
14. Android aplikacije (2)
komunikacija
◦ aplikacija provjerava listu dozvola za
odredište
◦ među komponentama ili broadcast
(globalno slanje poruke) koju framework
prenosi prema pojedinoj komponenti
◦ ovisno o akciji sistem poziva pojedine
komponente za izvršenje
AndroidManifest.xml
◦ razvijatelj: Permission, Intent-Filters
◦ za PackageManager i ActivityManagerDinko Korunić: Reverzni inženjering Android aplikacija
15. Sigurnosni model
jedinstveni UID i GID za svaku
aplikaciju prilikom instalacije
dozvole kroz korisnikovu ručnu
potvrdu ili negaciju (ili sve ili ništa)
Linux Process Sandbox – po
aplikaciji
multi-process system
dijeljenje informacija / komunikacija –
jedino kroz interakciju komponenti
odnosno Intentove (asinkroni IPC)Dinko Korunić: Reverzni inženjering Android aplikacija
16. Sigurnosni model (2)
nema pristupa datotekama između
aplikacija (osim za specifične ovlasti)
potpisane developerovim ključem,
nažalost može biti self-signed
dozvole se provjeravaju tijekom:
◦ sistemskih poziva
◦ početka aktivnosti (Activity)
◦ upravljanjem javne objave (Broadcast)
◦ povezivanjem ili startanjem servisa
◦ pristupanja/korištenja Content Providera
Dinko Korunić: Reverzni inženjering Android aplikacija
18. Potencijalni problemi
Activity
◦ problem sa “zlim” podacima iz Intentova
◦ sa predavanjem osjetljivih podataka
Intent Filter
◦ nije sigurnosna granica - problem izvora
◦ nužna je ručna validacija ulaza
◦ kategorije sužuju skup za dostavu,
međutim ne garantiraju sigurnost
Pending Intents
◦ kasnije izvršavanje pod originalnim ID-jem
Dinko Korunić: Reverzni inženjering Android aplikacija
19. Potencijalni problemi (2)
aplikacije
◦ self-signed, ne koristi se PKI/CA
◦ ne postoji samoprovjera potpisa
◦ aplikacije “rade” i prepakirane,
modificirane, potpisane testnim ključevima
◦ problem crnih izvorišta: Applanet,
Mobilism, BlackMart, SnappzMarket,
ApkTor
◦ Google nema automatizirani malware
scan svih uploadanih aplikacija
kao i uvijek... PEBKAC!Dinko Korunić: Reverzni inženjering Android aplikacija
20. Potencijalni problemi (3)
nužnost ručnih provjera IPC-a
razno:
◦ curenje osjetljivih informacija u log ring
◦ curenje informacija kroz IPC i
broadcastove
VFAT
◦ vanjsko spremište
◦ nema pristupne kontrole
◦ osjetljivi podaci iz aplikacija bi se morali
kriptirati
Dinko Korunić: Reverzni inženjering Android aplikacija
21. Statička analiza: Dex2Jar
koristi se sa Java decompilerom
poput JD-Core/JD-GUI/JD-Eclipse
translacija iz dex u jar
(http://goo.gl/Qd4MZ), optimizacija,
prikaz
trivijalni dolazak do praktički izvornog
koda aplikacije, malwarea, itd.
što sa modifikacijama, editiranjem,
repakiranjem?
Dinko Korunić: Reverzni inženjering Android aplikacija
25. Statička analiza: Androguard
švicarski nož za rev engineering:
◦ interaktivna analiza class, dex, apk, jar i
axml datoteka – dakle koda i resursa
◦ direktno manipuliranje iz interaktivnog
shella
◦ usporedba sličnosti/diff, izračun potpisa,
mjerenje rizika, vizualizacija, ...
jednostavan i brz, radi iz prompta,
nema GUI
daleko najpotpuniji alat za analizu
Dinko Korunić: Reverzni inženjering Android aplikacija
28. Dinamička analiza: Atrace
potencijalno koristan ali nedovršen
projekt
omogućava syscall trace kroz
posebno patchirani Android
emulator/Qemu
općenito praćenje ponašanja
aplikacije, nema filtera,
poluupotrebljivo
Dinko Korunić: Reverzni inženjering Android aplikacija
30. Dinamička analiza: TaintDroid
projekt: http://goo.gl/TDLe9
praćenje ponašanja aplikacija
(curenje informacija i sl.) u realnom
vremenu
komunikacija dobiva oznake (taint
marking) i prati se kroz aplikaciju te
između aplikacija na razini varijabli,
metoda, poruka i datoteka
praćenje na razini instrukcija
platforme: emulator i NexusOneDinko Korunić: Reverzni inženjering Android aplikacija