c
я возьму через PackageManager подпись приложения сравню ее с той, которая зашита в мастере, если не совпадет, я не отдам данные
Size: a a a
2018 September 22
c
соотв вредоносное не может быть подписано валидной подписью, тк не имеет приватного ключа
c
так же не прокатит просто в APK подсунуть подпись настоящего приложения, тк в таком случае оно не установится
R
Хм, а если так: У нас есть такое (приложение -> хэш подписи)
com.your.master -> 11111
com.your.slave -> 22222
com.malware -> 3333
Малварь ловит диплинк для того чтобы подсунуть твоей апе запрос на получение данных из контент провайдера. При этом передает подпись
com.your.master -> 11111
com.your.slave -> 22222
com.malware -> 3333
Малварь ловит диплинк для того чтобы подсунуть твоей апе запрос на получение данных из контент провайдера. При этом передает подпись
22222, мастер лезет в PM и чекает, что у com.your.slave подпись 22222 сравнивает с пришедшей подписью и отдает данные по запросу =)R
Напомню, я щас рассматриваю полностью недоверенную среду
c
>При этом передает подпись 22222
куда передает?..в параметрах диплинка?
куда передает?..в параметрах диплинка?
R
При обращении к CP
R
Судя по твоей схеме
c
нет, подпись никуда не передается между приложениями, схема кривая, соррян:-/
подпись берется у PackageManager по PackageId, после проверки подписи, доступ дается так же по PackageId
подпись берется у PackageManager по PackageId, после проверки подписи, доступ дается так же по PackageId
R
А можешь нарисовать нормальный sequence? Так на пальцах реально сложно
R
Вот прямо все шаги распиши и попробуем поискать в них баги
c
А можешь нарисовать нормальный sequence? Так на пальцах реально сложно
да, сек
ВТ
Как вариант ещё можно позвонить пользователю и спросить девичью фамилию матери
c
Вот прямо все шаги распиши и попробуем поискать в них баги
c
так понятней?
R
Ага. И мой вопрос остается, почему малварь не может из твоего контент провайдера прочитать данные?
R
из схемы это неочевидно
c
PackageManager вернет подпись малвари, master app сверит ее с той, что зашита и они не совпадут
R
PackageManager вернет подпись малвари, master app сверит ее с той, что зашита и они не совпадут
С чего ему возвращать подпись малвари? Почему это произойдет?
c
С чего ему возвращать подпись малвари? Почему это произойдет?
А чью еще? Так работает метод
Signature[] sigs = context.getPackageManager().getPackageInfo(PACKAGE, PackageManager.GET_SIGNATURES).signatures;