Reverse Engineering & Secure Your Android Code

Transcript

1. Reverse Engineering & Secure Your Android Code Otniel Victory

2. Reverse? Reverse engineering is the process of understanding how things

   work and reusing the information to do something. Ketika apps sudah di publish di playstore = semua orang bisa melakukan apapun
3. None

4. Aplikasi Mod adalah salah satu produk dari reverse engineering yang

   melakukan perubahan pada code aplikasi asli untuk tujuan tertentu. ex : mod spotify, whatsapp, vsco gratisan dll Aplikasi Mod ? How it could be?

5. Step Sederhananya Android App.apk Decompile Get Source Code HTML, CSS,JS

   Action Recompile New Android App.apk

6. Get Android APK File 1. Pakai aplikasi backup di smartphone

   2. Download langsung di google search

7. Decompile Tujuan umum Decompile => proses merubah paket aplikasi (.apk)

   jadi source code yang bisa dibaca manusia Read another’s code Find vulnerabilities in the code Search for sensitive data hardcoded in the code Malware Analysis Modifying the functionality of an existing application tujuan kali ini hanya untuk education (karena decompile bisa menjadi hal yang ilegal bila digunakan untuk membuat app tiruan, mencuri algoritma dll)

8. Decompile Beberapa tools untuk decompile : 1. APK Tool 2.

   Dex2jar & JdGui 3. APK Studio 4. Online decompiler 5. JADX

9. Decompile Cara decompile dengan JADX 1. install JADX = https://github.com/skylot/jadx

   2. buka JADX GUI 3. open .apk file 4. u got the code

10. Yang Didapat Dari Decompile dengan JADX 1. Asset (icon,drawable,custom asset)

    2. Layout (.xml) 3. Value (Color, String, Style) 4. Setting Android Manifest 5. Java File (sometime susah dibaca) 6. Other Note : Hasil tergantung setting yang dilakukan developer saat build aplikasi

11. Gimana biar 100% aman? Nggak Ada

12. 1. Aktifkan ProGuard / R8 Android Build Gradle < 3.4.0

    use ProGuard Android Build Gradle > 3.4.0 use R8

13. Kenalan sebentar sama proses compile di android

14. ProGuard or R8 Android Build Gradle < 3.4.0 use ProGuard

    Android Build Gradle > 3.4.0 use R8 Code shrinking Why u should proguard or r8 : removes unused classes, fields, methods, attributes, library Resource shrinking removes unused resources Obfuscation shortens the name of classes and members ex : androidx.appcompat.app.ActionBarDrawerToggle.DelegateProvider -> a.a.a.b String nama_ayam = “ayam betutu” -> String z = “ayam betutu” Optimization inspects and rewrites your code

15. How to config Keuntungan tambahan, file size lebih kecil

16. Kenapa disarankan pada buildType Release Build Time R8 true R8

    false

17. Perbedaan Ketika Di Decompile

18. 2. Jangan Hardcode Many such APIs comes with subscription plans

    and can be accessed using API keys which we get during the subscription process Masih sering terjadi di negara +62 developer menulis langsung secret key pada appsnya 2.1 Storing keys in the native C/C++ (existing apps) 1. Create folder jni on main menyembunyikan, bukan menghilangkan

19. 2. create Android.mk inside jni 3. create file Application.mk inside

    jni

20. 4. Create keys.c

21. 5. get the key

22. 6. tambahkan pada build gradle

23. tapi ini juga punya kelemahan, bisa ditemukan jika yang mencari

    benar2 jeli

24. 2.2 Storing keys in cloud bisa pakai firebase, atau cloud

    sendiri (untuk apps yang harus online) 3. Don’t store raw format ex: saved Coin on SharedPreference Daripada save langsung var coin = 300 mending save 1,208 didapat dari (coin/2+1)/125

25. 4. Put Logic on BackEnd Sebisa mungkin kurangi logic pada

    front end (android) pilih menu, saat button `Beli` ditekan ada validasi if (harga < saldo) { pindah halaman }

26. Better rule

27. 5. Bayar DexGuard https://www.guardsquare.com/en/products/dexguard

28. None

29. NOTE : 1. Jika app error setelah penerapan R8 (kode

    yg digunakan ternyata dihapus) gunakan -keep public class MyClass pada file proguard-rules.pro cara melihat code yg terhapus r8 Link 2. Resource Shrinking hanya dapat dilakukan bersama dengan penyusutan kode, jika ingin mempertahankan resource agar tidak dihapus bisa mengakses Link 3.

30. Pustaka https://www.guardsquare.com/en/blog/comparison-proguard-vs-r8-october-2019-edition https://developer.android.com/studio/build/shrink-code#enable https://developer.android.com/studio/build/shrink-code#shrink-resources https://developer.android.com/studio/build/shrink-code#shrink-code https://medium.com/@abhi007tyagi/storing-api-keys-using-android-ndk-6abb0adcadad https://developer.android.com/ndk/guides/android_mk.html https://developer.android.com/ndk/guides/application_mk.html