React Native hat sich in den letzten Jahren als bevorzugte Plattform für die plattformübergreifende Entwicklung mobiler Anwendungen etabliert. Insbesondere die Integration der Hermes Virtual Machine (VM) als Standard-JavaScript-Engine für React Native auf Android-Plattformen hat neue Möglichkeiten geschaffen, sowohl hinsichtlich Performance als auch Ressourcenmanagement. Doch mit der zunehmenden Verbreitung von Hermes-basiertem Bytecode steigt auch das Interesse an Tools, die diesen Bytecode analysieren und verstehen können. Hier kommt Hermes-dec ins Spiel – ein spezialisiertes Reverse-Engineering-Werkzeug, das sowohl das Disassemblieren als auch das Decompilieren von React Native Apps ermöglicht, die im Hermes VM Bytecode (HBC) Format vorliegen.Hermes-dec wurde von P1sec entwickelt, einem Team, das sich auf Sicherheitsforschung im Bereich mobiler Anwendungen konzentriert.
Das Tool ist Open Source und in Python geschrieben, was die Nutzung und Weiterentwicklung durch die Community fördert. Ziel von Hermes-dec ist es, Entwicklern, Sicherheitsanalysten und Forschern tiefere Einblicke in kompilierte React Native Applikationen zu geben, ohne direkten Zugriff auf die ursprünglichen JavaScript-Quellcodes zu benötigen. Dabei geht es nicht nur darum, Code zu lesen, sondern auch Sicherheitslücken aufzuspüren, Schwachstellen zu erkennen und das Verhalten der App besser nachvollziehen zu können.Die Funktionsweise von Hermes-dec beruht darauf, den Bytecode der Hermes VM zu zerlegen und in eine menschenlesliche Form zurückzuübersetzen. Die Hermes VM wurde von Facebook entwickelt und am 12.
Juli 2019 veröffentlicht. Seit React Native Version 0.70 ist Hermes die standardmäßige JavaScript-Engine auf Android. Das Bytecode-Format der Hermes VM ist speziell für mobile Plattformen optimiert und bietet durch geringe Speicheranforderungen und schnelle Ausführung eine hervorragende Performance. Allerdings ist der Bytecode recht komplex und schwer verständlich – weshalb Tools wie Hermes-dec von großem Wert sind.
Die Installation von Hermes-dec ist unkompliziert und benötigt lediglich Python 3.x. Auf Systemen wie Ubuntu kann das Tool einfach über pip installiert werden, was einen schnellen Einstieg für Interessierte ermöglicht. Sobald Hermes-dec installiert ist, können Bytecode-Dateien, die in React Native APKs typischerweise unter assets/index.android.
bundle zu finden sind, untersucht werden. Dabei lässt sich der Typ der Datei mit üblichen Systemtools wie „file“ prüfen. Wenn der Inhalt als Hermes JavaScript Bytecode erkannt wird, kann Hermes-dec die Datei analysieren und relevante Informationen zum Header und zum Bytecode-Inhalt ausgeben.Ein wesentlicher Bestandteil von Hermes-dec ist die Möglichkeit, Bytecode zu disassemblieren. Das bedeutet, der komplexe Bytecode wird schrittweise aufgebrochen und in eine assembly-ähnliche Darstellung gebracht, die für Entwickler deutlich verständlicher ist.
Diese Aufschlüsselung zeigt unter anderem welche Funktionen aufgerufen werden, wie Konstanten verwendet werden, und welche Operationen die VM ausführt. Das Verständnis dieser Abläufe hilft bei der Fehlerbehebung, Optimierung oder Sicherheitsanalyse von React Native Apps.Darüber hinaus bietet Hermes-dec eine Decompilierungsfunktion, die den Bytecode in Pseudocode übersetzt. Dieser Pseudocode ähnelt dem ursprünglichen JavaScript, ist jedoch noch nicht vollständig Rekonstruiert in Bezug auf Kontrollstrukturen wie Schleifen oder Bedingungen. Dennoch ist dieser Schritt ein wesentlicher Fortschritt, denn er erleichtert das Nachvollziehen logischer Abläufe und die Analyse des Programmverhaltens erheblich.
Entwickler können so Rückschlüsse auf die Implementierung einzelner Features und Komponenten der App ziehen.Hermes-dec stützt sich auf eine detaillierte Dokumentation der Hermes VM Opcodes, die als Auto-Generated Documentation verfügbar ist. Diese Dokumentation unterstützt Anwender dabei, die Disassemblierungen besser zu interpretieren und zeigt, wie die einzelnen Opcode-Operationen auf die Ausführung der App wirken. Ein umfassendes Verständnis der Opcode-Dokumentation ist entscheidend, um potenzielle Probleme oder Besonderheiten im kompilierten Code zu identifizieren.Die Bedeutung von Hermes-dec liegt auch im Bereich der Sicherheit.
Mobile Anwendungen sind zunehmend Ziel von Angriffen, und React Native Apps stellen hier keine Ausnahme dar. Mit Hermes-dec können Sicherheitsexperten verschiedene Aspekte der Apps prüfen – von möglichen Hintertüren bis hin zu unsicherem Datenhandling. Die Möglichkeit, den Bytecode zu analysieren, gibt ihnen eine wertvolle Grundlage zur Schwachstellenbewertung und hilft, die Sicherheit der letztendlichen Anwendung zu erhöhen.Neben der Analyse von Sicherheitsaspekten dient Hermes-dec auch der Qualitätssicherung und Fehlersuche. Entwickler haben die Option, Bytecode nach der Ausführung beziehungsweise Kompilierung detailliert zu untersuchen, um Probleme, die sich unter der Haube verbergen, besser zu verstehen.
Beispielsweise können unvorhergesehene Verhalten von Komponenten oder Performance-Probleme mithilfe der Disassemblierung nachvollzogen werden.Das Tool ist sowohl für iOS als auch Android interessant, wenngleich Hermes auf Android seit Version 0.70 Standard ist und auf iOS seit der Einführung in Version 0.64 optional unterstützt wird. Es ist deshalb von großem Vorteil, mit Hermes-dec plattformübergreifend arbeiten zu können, um React Native Anwendungen auf beiden Systemen umfassend zu analysieren.
Auf GitHub steht der Quellcode von Hermes-dec zur Verfügung und lädt die Community zur Mitgestaltung ein. Neben dem Kerncode existieren auch Test-Skripte und Utilties, die weiterführende Funktionen abdecken, wie die Unterstützung verschiedener Bytecode-Versionen. So bleibt Hermes-dec stets aktuell und passt sich an neue Entwicklungen im Hermes VM Bytecode-Format an.Die Integration von Hermes-dec in den Entwicklungsprozess stärkt die Transparenz und Nachvollziehbarkeit von komplexen React Native Applikationen erheblich. Besonders in großen Teams oder bei der Analyse von Drittanbieter-Apps erleichtert ein solches Tool die Kommunikation zwischen Entwicklern, Auditoren und Analysten.
Indem Bytecode entschlüsselt und verständlich gemacht wird, trägt Hermes-dec zur besseren Kontrolle über die eigene oder fremde Software bei.Zusammenfassend ist Hermes-dec ein innovatives Werkzeug, das bei der Analyse von React Native Apps auf Basis der Hermes VM unverzichtbar wird. Durch seine Fähigkeit, Bytecode in verdauliche und teilweise rekonstruierte Pseudocodes umzuwandeln, öffnet es neue Türen für Entwicklungen, Sicherheitsprüfungen und Qualitätsverbesserungen. Da React Native weiterhin eine wichtige Rolle in der App-Entwicklung spielt, wird die Bedeutung von Werkzeugen wie Hermes-dec nur wachsen, um hinter die Kulissen kompilierten Codes zu blicken und ihn besser zu verstehen.
