Flutter

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

구독 계획 확인하기!

**💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.

HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.

Flutter는 Google의 크로스-플랫폼 UI 툴킷으로, 개발자가 단일 Dart 코드베이스를 작성하면 Engine (네이티브 C/C++)이 이를 Android 및 iOS용 플랫폼별 머신 코드로 변환합니다. Engine에는 Dart VM, BoringSSL, Skia 등이 포함되어 있으며, 공유 라이브러리 libflutter.so (Android) 또는 Flutter.framework (iOS)로 배포됩니다. 실제 네트워킹(DNS, sockets, TLS)은 모두 이 라이브러리 내부에서 발생하며, 일반적인 Java/Kotlin Swift/Obj-C 레이어에서는 일어나지 않습니다. 이러한 분리된 설계 때문에 기존의 Java 수준 Frida 후킹은 Flutter 앱에서 동작하지 않습니다.

Flutter에서 HTTPS 트래픽 가로채기

이것은 이 blog post의 요약입니다.

Flutter에서 HTTPS 가로채기가 까다로운 이유

SSL/TLS verification lives two layers down in BoringSSL, so Java SSL‐pinning bypasses don’t touch it.
BoringSSL uses its own CA store inside libflutter.so; importing your Burp/ZAP CA into Android’s system store changes nothing.
Symbols in libflutter.so are stripped & mangled, hiding the certificate-verification function from dynamic tools.

정확한 Flutter 스택 식별

버전을 알면 올바른 바이너리를 재빌드하거나 패턴 매칭할 수 있습니다.

Step	Command / File	Outcome
스냅샷 해시 가져오기	`python3 get_snapshot_hash.py libapp.so`	`adb4292f3ec25…`
해시 → Engine 매핑	reFlutter의 enginehash 리스트	Flutter 3 · 7 · 12 + engine commit `1a65d409…`
종속 커밋 가져오기	해당 engine 커밋의 DEPS 파일	• `dart_revision` → Dart v2 · 19 · 6 • `dart_boringssl_rev` → BoringSSL `87f316d7…`

Find get_snapshot_hash.py here.

대상: `ssl_crypto_x509_session_verify_cert_chain()`

Located in ssl_x509.cc inside BoringSSL.
Returns bool – a single true is enough to bypass the whole certificate chain check.
Same function exists on every CPU arch; only the opcodes differ.

Option A – Binary patching with reFlutter

Clone the exact Engine & Dart sources for the app’s Flutter version.
Regex-patch two hotspots:

ssl_x509.cc에서 return 1;을 강제합니다.
(Optional) socket_android.cc에서 프록시를 하드코딩("10.0.2.2:8080").

libflutter.so를 Re-compile하고, APK/IPA로 다시 넣어 서명 후 설치합니다.
Pre-patched builds는 빌드 시간을 절약하기 위해 reFlutter GitHub 릴리스에 일반 버전용으로 제공됩니다.

Option B – Live hooking with Frida (the “hard-core” path)

심볼이 stripped되어 있기 때문에, 로드된 모듈에서 해당 함수의 첫 바이트를 pattern-scan한 다음 반환 값을 실시간으로 변경합니다.

// attach & locate libflutter.so
var flutter = Process.getModuleByName("libflutter.so");

// x86-64 pattern of the first 16 bytes of ssl_crypto_x509_session_verify_cert_chain
var sig = "55 41 57 41 56 41 55 41 54 53 48 83 EC 38 C6 02";

Memory.scan(flutter.base, flutter.size, sig, {
onMatch: function (addr) {
console.log("[+] found verifier at " + addr);
Interceptor.attach(addr, {
onLeave: function (retval) { retval.replace(0x1); }  // always 'true'
});
},
onComplete: function () { console.log("scan done"); }
});

번역할 src/mobile-pentesting/android-app-pentesting/flutter.md 파일의 내용을 붙여넣어 주세요(또는 파일 전체를 제공). 제공하신 내용을 지침에 따라 한국어로 번역해 드립니다.

frida -U -f com.example.app -l bypass.js

포팅 팁

For arm64-v8a or armv7, Ghidra에서 함수의 처음 약 32바이트를 가져와 공백으로 구분된 16진수 문자열로 변환한 뒤 sig를 교체하세요.
각 Flutter release당 하나의 패턴을 유지하고, 빠른 재사용을 위해 치트시트에 저장하세요.

프록시를 통한 트래픽 강제 전달

Flutter 자체는 기기 프록시 설정을 무시합니다. 가장 쉬운 옵션:

Android Studio emulator: Settings ▶ Proxy → manual.
Physical device: evil Wi-Fi AP + DNS spoofing, 또는 Magisk 모듈로 /etc/hosts를 편집.

빠른 Flutter TLS bypass 워크플로우 (Frida Codeshare + system CA)

핀된 Flutter API만 관찰해야 할 때는, rooted/writable AVD, system-trusted proxy CA, 그리고 drop-in Frida 스크립트를 조합하는 것이 libflutter.so를 역공학하는 것보다 종종 더 빠릅니다:

Install your proxy CA in the system store. Follow Install Burp Certificate to hash/rename Burp’s DER certificate and push it into /system/etc/security/cacerts/ (writable /system required).
Drop a matching frida-server binary and run it as root so it can attach to the Flutter process:

adb push frida-server-17.0.5-android-x86_64 /data/local/tmp/frida-server
adb shell "su -c 'chmod 755 /data/local/tmp/frida-server && /data/local/tmp/frida-server &'"

호스트 측 도구를 설치하고 대상 패키지를 열거합니다.

pip3 install frida-tools --break-system-packages
adb shell pm list packages -f | grep target

Codeshare hook으로 Flutter 앱을 실행해 BoringSSL pin checks를 무력화합니다.

frida -U -f com.example.target --codeshare TheDauntless/disable-flutter-tls-v1 --no-pause

Codeshare 스크립트는 Flutter TLS 검증기를 오버라이드하여 Burp가 동적으로 생성한 인증서를 포함한 모든 인증서를 수락하게 하여 public-key pin 비교를 우회합니다.

트래픽을 프록시로 라우트합니다. 에뮬레이터의 Wi-Fi 프록시 GUI를 설정하거나 adb shell settings put global http_proxy 10.0.2.2:8080로 강제 설정하세요; 직접 라우팅이 실패하면 adb reverse tcp:8080 tcp:8080 또는 host-only VPN으로 폴백하세요.

OS 레이어에서 CA를 신뢰하도록 설정하고 Frida가 Flutter의 pinning 로직을 무력화하면, Burp/mitmproxy는 APK를 재패키징하지 않고도 API fuzzing (BOLA, token tampering 등)에 대해 완전한 가시성을 회복합니다.

BoringSSL 검증의 오프셋 기반 훅 (시그니처 스캔 없음)

패턴 기반 스크립트가 아키텍처 간(e.g., x86_64 vs ARM)에서 실패할 경우, libflutter.so 내부의 절대 주소로 BoringSSL 체인 검증기를 직접 훅하세요. 워크플로우:

APK에서 기기에 맞는 ABI 라이브러리를 추출하세요: unzip -j app.apk "lib/*/libflutter.so" -d libs/ 그리고 기기에 맞는 것을 선택하세요 (예: lib/x86_64/libflutter.so).
Ghidra/IDA에서 분석하여 검증기 위치를 찾으세요:
출처: BoringSSL ssl_x509.cc 함수 ssl_crypto_x509_session_verify_cert_chain (3 args, returns bool).
심볼이 제거된 빌드에서는 Search → For Strings → ssl_client → XREFs를 사용한 다음, 참조된 각 FUN_...을 열어 포인터 같은 인자 3개와 boolean 반환을 가진 함수를 선택하세요.
런타임 오프셋을 계산하세요: Ghidra에 표시된 함수 주소에서 이미지 베이스를 빼세요 (예: Ghidra는 PIE Android ELF에 대해 종종 0x00100000을 표시합니다). 예: 0x02184644 - 0x00100000 = 0x02084644.
base + offset으로 런타임에서 훅을 걸고 성공을 강제하세요:

// frida -U -f com.target.app -l bypass.js --no-pause
const base = Module.findBaseAddress('libflutter.so');
// Example offset from analysis. Recompute per build/arch.
const off  = ptr('0x02084644');
const addr = base.add(off);

// ssl_crypto_x509_session_verify_cert_chain: 3 args, bool return
Interceptor.replace(addr, new NativeCallback(function (a, b, c) {
return 1; // true
}, 'int', ['pointer', 'pointer', 'pointer']));

console.log('[+] Hooked BoringSSL verify_cert_chain at', addr);

Notes

Signature scans은 ARM에서는 성공할 수 있지만 opcode layout이 변경되어 x86_64에서는 놓칠 수 있습니다; 이 offset method는 RVA를 재계산하기만 하면 아키텍처에 구애받지 않습니다.
This bypass는 BoringSSL이 any chain을 수락하게 만들어 Flutter 내부의 pins/CA trust와 관계없이 HTTPS MITM을 가능하게 합니다.
TLS 차단을 확인하기 위해 debugging 중에 트래픽을 force-route하는 경우, 예:

iptables -t nat -A OUTPUT -p tcp -j DNAT --to-destination <Burp_IP>:<Burp_Port>

…여전히 위의 hook이 필요합니다. 검증은 Android의 시스템 신뢰 저장소가 아니라 libflutter.so 내부에서 이루어지기 때문입니다.

참고자료

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

구독 계획 확인하기!

**💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.

HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.