AL
не ставится 🙁 попробовал эмулятор с более новой версией android, результат тот же
INSTALL_FAILED_NO_MATCHING_ABIS: Failed to extract native libraries, res=-113
INSTALL_FAILED_NO_MATCHING_ABIS: Failed to extract native libraries, res=-113
Size: a a a
2019 April 04
IC
а где брать apk, подходящие для эмулятора? я apk беру так - https://m.apkpure.com/%D0%BC%D0%BE%D0%B9-%D0%BC%D1%82%D1%81/ru.mts.mymts#menu, попробовал эмулятор на x86 - apk не подошел, сделал эмулятор на arm - тоже не устанавливается (couldn't parse error string)
На apkmirror нет версии для x86?
AL
не вижу.. скачал х86 с 4pda.. но тоже что-то пока поставить не удается.. сообщение "installing" просто висит бесконечно долго
AL
хм, а после установки иконка должна появиться на рабочем столе эмулятора? или руками через adb надо приложение запускать?
AL
понял, иконки нет 🙂 приложение нашел, через виджет запускается)
AL
Эмулятор сконфигурировал работать с прокси Burp Suite, сертификат на эмулятор поставил. Intercept is off, в настройках проекта - Allow unsafe SSL negotiations и Automatically select compatible SSL parameters on negotiations failure. Через браузер эмулятора перехожу на сайт ya.ru - в HTTP History запрос отображает, в браузере - висит процесс загрузки. Приложение МТС тоже не может установить соединение с сервером, в alerts ошибка - Proxy [3] The client failed to negotiate an SSL connection to mts-service.mts.ru:443: Received fatal alert: certificate_unknown. В чем может быть дело?
AL
какие-то запросы в прокси стали появляться, но ответ от сервера - No required SSL certificate was sent
2019 April 05
R
https://twitter.com/Alra3ees/status/1113169182244392962 - не совсем по теме андройда, но я думаю это все найдет здесь своих интересантов 😉
ИБ
Приветствую. Кто может подсказать как решить проблему. Нужно запоролить приложение пином и пальцем. Вводим пин-код - делаем ключи , сохраняем их в кейстор. И теперь после прикладывания пальца нам выдаётся cipher, которым я могу дешифровать строку пина. Что делать , если я хочу ввести код руками ??? Как дёрнуть нужный cipher ?
2019 April 08
R
Приветствую. Кто может подсказать как решить проблему. Нужно запоролить приложение пином и пальцем. Вводим пин-код - делаем ключи , сохраняем их в кейстор. И теперь после прикладывания пальца нам выдаётся cipher, которым я могу дешифровать строку пина. Что делать , если я хочу ввести код руками ??? Как дёрнуть нужный cipher ?
Ключи от пина не надо хранить в кейсторе. Там схема не такая. Если у тебя просто пин, то ключи хранить вообще не надо, если есть ещё биометрия, то шифруй полученным сайфером ключ от пина и храни его в префах
ИБ
Ключи от пина не надо хранить в кейсторе. Там схема не такая. Если у тебя просто пин, то ключи хранить вообще не надо, если есть ещё биометрия, то шифруй полученным сайфером ключ от пина и храни его в префах
Примерно так я и делаю, но у меня ведро с 5 идёт.
R
И?
ИБ
И?
На 5 нет биометрии и т.д
R
На 5 нет биометрии и т.д
Ну так не используй ее)
R
Я же написал что делать
IF
Ребята, привет!
Внедряю ssl pinning в приложение. Есть несколько подходов для решения проблемы обновления сертификатов в приложении.
1 Зашить рутовый сертификат удостоверяющего центра в приложение.
Минусы: злоумышленник может выпустить свой сертификат у этого центра и установить на телефон жертвы. Обновление приложения для всех юзеров в случае, если сертификат скомпрометирован.
2 Сгенерить несколько сертификатов каждые , например, 3 месяца и постепенно обновлять приложение как они будут друг за другом устаревать. Минусы: обновление приложения для всех юзеров в случае, если сертификат скомпрометирован. Выпуск сразу нескольких сертификатов наперед.
3 Передавать новый сертификат по интернету, пока старый сертификат еще валидный.
Вопрос, насколько безопасен третий вариант?
Внедряю ssl pinning в приложение. Есть несколько подходов для решения проблемы обновления сертификатов в приложении.
1 Зашить рутовый сертификат удостоверяющего центра в приложение.
Минусы: злоумышленник может выпустить свой сертификат у этого центра и установить на телефон жертвы. Обновление приложения для всех юзеров в случае, если сертификат скомпрометирован.
2 Сгенерить несколько сертификатов каждые , например, 3 месяца и постепенно обновлять приложение как они будут друг за другом устаревать. Минусы: обновление приложения для всех юзеров в случае, если сертификат скомпрометирован. Выпуск сразу нескольких сертификатов наперед.
3 Передавать новый сертификат по интернету, пока старый сертификат еще валидный.
Вопрос, насколько безопасен третий вариант?
IC
Как злоумышленник выполнит пункт 1?
IF
что именно? как выпустит сертификат у этой же компании или как установит на телефон жертвы?
IC
Как выпустит сертификат у той же компании для того же домена
IF
Как выпустит сертификат у той же компании для того же домена
как я понимаю, не нужно выпускать для этого же домена. Выпустит для своего домена.
Pin further up. Say the first intermediate or the root CA cert. So any newly issued cert is still trusted (providing it's issued by same cert path) The downside of this is four fold: i) You still leave yourself open to miss-issued certs issued by that pinned cert (not a massive deal IMHO as you've still massively reduced your attack surface but still a concern to some people), ii) you cannot guarantee the client will use that intermediate cert as there are sometimes multiple valid paths. This second one is a much bigger deal. You'd think that providing the intermediate cert would guarantee this would be used but that's not the case (plenty of sha-1 examples of this). iii) There's no guarantee new cert will be issued by same intermediate or root (especially when technologies change like introduction of sha2), so to me this whole option is a non-starter iv) It ties you in to using same cert provider (perhaps not a big deal but I like the freedom to move). Not sure if apps support this feature natively anyway but browsers certainly do.
Pin further up. Say the first intermediate or the root CA cert. So any newly issued cert is still trusted (providing it's issued by same cert path) The downside of this is four fold: i) You still leave yourself open to miss-issued certs issued by that pinned cert (not a massive deal IMHO as you've still massively reduced your attack surface but still a concern to some people), ii) you cannot guarantee the client will use that intermediate cert as there are sometimes multiple valid paths. This second one is a much bigger deal. You'd think that providing the intermediate cert would guarantee this would be used but that's not the case (plenty of sha-1 examples of this). iii) There's no guarantee new cert will be issued by same intermediate or root (especially when technologies change like introduction of sha2), so to me this whole option is a non-starter iv) It ties you in to using same cert provider (perhaps not a big deal but I like the freedom to move). Not sure if apps support this feature natively anyway but browsers certainly do.