Защита FMX

[rakhmet]

На одном популярном форуме, как известно, как-то исторически прижились целые варез-зеркала App Store и Google Play (нужно во всём искать позитив: ломают - значит любят ), и в связи с этим возникают закономерные вопросы:

1. Как вы защищаете свои FMX-приложения (нюансы, тонкости, характерные особенности и приёмы)?
2. Когда (т.е. как скоро после первого релиза) вы обнаружили "вылеченную" копию своего приложения?
3. Пытались ли вы изменить степень/уровень защиты вашего приложения после того, как узнали о его успешном взломе?
4. Изменила ли что-нибудь такая "популярность" вашего FMX-приложения (количество покупок, загрузок, платежей)?

Изменено 20 января, 2017 пользователем rakhmet

[Major]

слышал, что взломать apk проще, чем Windows-программы, защищенные например ASProtect или VMProtect, но пока не писал программы для продажи через Google Play,

[kami]

5 часов назад, rakhmet сказал:

Как вы защищаете свои FMX-приложения (нюансы, тонкости, характерные особенности и приёмы)?

клиентскую часть, т.е. непосредственно само приложение - никак. Без доступа к серверу в моем случае оно бесполезно.

Сервер может обладать информацией о всех устройствах, которые когда-либо к нему подключались и может блокировать новые, если лимит используемых устройств превышен. Или блокировать конкретные, если они выведены из эксплуатации. Или  вообще залочить доступ всем устройствам клиента - по усмотрению.

Но это в моем случае, т.к. приложение не общедоступно и не будет выкладываться в AppStore.

Ну и "вылечивать" приложение в моем случае смысла нет - достаточно скоро его функционал просто устареет, и крякнутая программа просто станет не актуальной.

 

В общем и целом, если программе требуется подключение к серверу - защиту нужно реализовывать имено на нем. Но от взлома защищаться бессмысленно - когда приложение станет действительно популярным, его все равно поломают. А до тех пор - можно спать спокойно, взломщики даже не посмотрят в вашу сторону.

[rakhmet]

У меня немного иная задача и условия в целом. В мобильном приложении нужно сохранить пароль. В открытом виде его держать никто не собирается, естественно, но после расшифровки он будет передан компоненту в string-значении - это всё, моментальный конец?

 

И вообще, файлы мобильных приложений - они как, вскрываются сначала как архивы, а потом как текстовые файлы, включая исходники? Или всё же разобрать побайтово скомпилированное приложение пока ещё нереально?

[rakhmet]

Кстати, можно ли как-то 100% распознать, что приложение было взломано? Проверять свою собственную контрольную сумму, например?

[Равиль Зарипов (ZuBy)]

9 минут назад, rakhmet сказал:

У меня немного иная задача и условия в целом. В мобильном приложении нужно сохранить пароль. В открытом виде его держать никто не собирается, естественно, но после расшифровки он будет передан компоненту в string-значении - это всё, моментальный конец?

 

И вообще, файлы мобильных приложений - они как, вскрываются сначала как архивы, а потом как текстовые файлы, включая исходники? Или всё же разобрать побайтово скомпилированное приложение пока ещё нереально?

для таких целей есть одна удобная фишка, наверное часто видели запрос пин-кода при открытии приложения

• авторизация/регистрация на сервере
• сохраняется пароль на устройстве и шифруруете (не нужно его никуда выводить)
• задаете 4-х значный пин-код (пин-код храните локально)
• все последующие открытия приложения будут запрашивать пин-код, если он валиден, то считываете пароль и проходите авторизацию

[rakhmet]

2 минуты назад, Равиль Зарипов (ZuBy) сказал:

для таких целей есть одна удобная фишка, наверное часто видели запрос пин-кода при открытии приложения

• авторизация/регистрация на сервере
• сохраняется пароль на устройстве и шифруруете (не нужно его никуда выводить)
• задаете 4-х значный пин-код (пин-код храните локально)
• все последующие открытия приложения будут запрашивать пин-код, если он валиден, то считываете пароль и проходите авторизацию

А каким образом защищается часть, отвечающая за последние 3 пункта? Если FMX-приложения действительно легко взламываются - что теоретически может помешать закомментировать их атакующему, и просто миновать их при открытии?

[Равиль Зарипов (ZuBy)]

кто вам сказал что именно fmx приложения легко взламываются?

[rakhmet]

Просто ещё не видел ни одного сообщения о том, что FMX-приложения устойчивы ко взлому. Вокруг все только и твердят, что "от взлома защищаться бессмысленно", и всё в таком же духе.

Л - логика

 

 

А если серьёзно - FMX-приложение чем-то хуже/лучше, чем приложение, скомпилированное в той же Java? Кроме размера и скорости работы. Меня сейчас интересует исключительно пассивная стойкость ко взлому.

[rareMax]

1 час назад, rakhmet сказал:

А если серьёзно - FMX-приложение чем-то хуже/лучше, чем приложение, скомпилированное в той же Java? Кроме размера и скорости работы. Меня сейчас интересует исключительно пассивная стойкость ко взлому.

Нуу... его чуть дольше придется декомпилировать, т.к. намного больше кода будет в приложении

[kami]

1 час назад, rakhmet сказал:

Просто ещё не видел ни одного сообщения о том, что FMX-приложения устойчивы ко взлому.

Вы подменяете терминологию. Никакое приложение само по себе не является устойчивым к взлому, если оно не содержит средства защиты от этого взлома. На каком бы языке ни было написано.

Более того, нужно отличать хак приложения (чтобы оно запустилось вне зависимости от наличия лицензии) и получение данных, с которыми работает это приложение.

[rakhmet]

Зачитался сейчас о способах взлома - голова кругом 

 

Прошу уточнить детали из того, что я понял в прочитанном: если мобильное приложение (и Android, и iOS) взламывается - его для дальнейшего распространения в любом случае обязательно требуется переподписать. Скажем, моего (оригинального - авторского) сертификата у атакующего, понятное дело, быть не может, поэтому ему придётся использовать свой собственный (купленный или созданный на коленке). Всё верно?

Если всё верно - могу ли я, автор, по ходу работы своего мобильного приложения проверить, валидный ли сертификат используется?

[kami]

11 минут назад, rakhmet сказал:

сли мобильное приложение (и Android, и iOS) взламывается

Давайте сперва уточним, что именно вы подразумеваете под взломом?

Потому что если рассматривать взлом, как его понимаю я - то всякие "проверки сертификатов" будут убраны в ходе этого взлома. Поскольку являются неотъемлимой частью хака приложения. Взлом и дальнейшее распространение на мой взгляд - это "сделать так, чтобы программа всегда считала себя лицензионной и работала как ни в чем ни бывало".

[rakhmet]

Да, придётся мне повременить с публикацией - архитектура в том виде, в каком она сейчас есть, вообще не годится.

[Error]

Взлом FMX приложения скорее всего более сложен чем взлом Java приложения.

Хотя бы по причине кучи декомпиляторов Java байткода, с Delphi же сложнее, придеться копаться в бинарнике каким-нибудь отладчиком/дизассемблером.

[GASCHE]

3 часа назад, rakhmet сказал:

Да, придётся мне повременить с публикацией - архитектура в том виде, в каком она сейчас есть, вообще не годится.

Сколько не видел хороших приложений, почти всегда есть взломанные.

[Rusland]

В 20.01.2017 в 19:51, GASCHE сказал:

Сколько не видел хороших приложений, почти всегда есть взломанные.

Хорошие взломанные приложения написанные на FMX видели? )

[GASCHE]

Нет, но думаю что если FMX настолько устойчива к взлому и примерно представляя как пытаются защитить свой софт некоторые компании, то  Kitty  не поднимала бы вопрос о дальнейшей судьбе FMX.

Изменено 21 января, 2017 пользователем GASCHE

[rareMax]

1 час назад, GASCHE сказал:

Нет, но думаю что если FMX настолько устойчива к взлому и примерно представляя как пытаются защитить свой софт некоторые компании, то  Kitty  не поднимала бы вопрос о дальнейшей судьбе FMX.

ууу кипишь. Прими как должное: если взломают - значит любят. Я б даже радовался если мой софт стал столь популярен что его ломать хотят

[Error]

Когда(если это произойдет вообще) софт на FMX начнут ломать, можно будет сказать что FMX "взлетел"

[GASCHE]

8 часов назад, rareMax сказал:

ууу кипишь.

Да нет, просто не представляю того, кто рискнет писать серьезные приложения на FMX, а не серьезные так их и ломать будут не по серьезному. 

Изменено 22 января, 2017 пользователем GASCHE

[sinuke]

14 минут назад, GASCHE сказал:

просто не представляю того, кто рискнет писать серьезные приложения на FMX

например kami у него софт, связанный с авиацией (куда уж серьезнее?) и написан как раз на FMX под iOS (если не ошибаюсь)

[kami]

Чего-то вы вообще не в ту степь полезли.

12 часов назад, GASCHE сказал:

если FMX настолько устойчива к взлому

Не надо подменять понятия и считать что кто-то сделает за вас всю работу. Еще раз - язык программирования, фреймворк, набор каких-либо исходников и т.п. не является устойчивым к взлому. Устойчивость придают усилия программиста, который намеренно защищает критичные участки своего кода различными доступными ему средствами. Это и только это придает устойчивость.

 

9 часов назад, Error сказал:

Когда(если это произойдет вообще) софт на FMX начнут ломать, можно будет сказать что FMX "взлетел"

Чтобы начали ломать софт на FMX - софт должен стать популярным. Вероятность популяризации софта в какой-то мере пропорциональна количеству написанного софта. Количество написанного софта тем больше, чем популярнее язык/фреймворк. Посему - фразу следует построить так "Когда (если) FMX станет популярным - появится и взломанный софт, написанный на нем".

2 часа назад, sinuke сказал:

написан как раз на FMX под iOS (если не ошибаюсь)

Все правильно.

[GASCHE]

1 час назад, kami сказал:

Не надо подменять понятия и считать что кто-то сделает за вас всю работу.

Это не ко мне, а к тем, кто думает, что FMX устойчива к взлому.

[Error]

3 часа назад, kami сказал:

Чтобы начали ломать софт на FMX - софт должен стать популярным. Вероятность популяризации софта в какой-то мере пропорциональна количеству написанного софта. Количество написанного софта тем больше, чем популярнее язык/фреймворк. Посему - фразу следует построить так "Когда (если) FMX станет популярным - появится и взломанный софт, написанный на нем".

Тоже самое сказанное другими словами.