R
Либо, повторюсь, если эта опция не катит - приседай с whitebox. Но это не так просто уже.
Size: a a a
2020 August 07
m
Гораздо адекватнее тут будет не баловаться с нативом, а просто хранить ключ в кейсторе. И сделать его уникальным для каждого пользователя. Т.е. генерить при первом запуске приложения например
На пример, генерить радномный пароль для sqlite базы и хранить в keystore?
R
main
На пример, генерить радномный пароль для sqlite базы и хранить в keystore?
Ключ, не пароль
NK
А у нас тут свежачок с интересными практиками эксплуатации уязвимостей в Android (и не только) приложениях. Если вы мучались и не знали как провести эту скучную пятинцу, то вам вам видео, слайды и репозиторий на гитхабе.
https://www.youtube.com/watch?v=uWT15hEM1dQ
https://www.youtube.com/watch?v=uWT15hEM1dQ
2020 August 10
A
если хранить данные в оперативной памяти выделенной для приложения, то при root правах, возможно получить доступ к этим данным?
D
если хранить данные в оперативной памяти выделенной для приложения, то при root правах, возможно получить доступ к этим данным?
Да, можно
A
Да, можно
понял, спасиб
Я
Как интересно бывает смотреть, когда человек пишет защиту, но не знает ни как работает сама платформа или вообще не знает как работает сама защита под капотом. В этом и вся слабость всех защит...
RC
Как интересно бывает смотреть, когда человек пишет защиту, но не знает ни как работает сама платформа или вообще не знает как работает сама защита под капотом. В этом и вся слабость всех защит...
А как можно вообще защититься от чтения памяти адекватно? Рано или поздно секрет нужно дешифровать и хотя один вызов с ним совершить, так как быть?
A
Как интересно бывает смотреть, когда человек пишет защиту, но не знает ни как работает сама платформа или вообще не знает как работает сама защита под капотом. В этом и вся слабость всех защит...
а есть какие нибудь нюансы при чтение данных из ram при наличие root? моя задача учесть только риски, так что интересен именно факт возможности этого
Я
А как можно вообще защититься от чтения памяти адекватно? Рано или поздно секрет нужно дешифровать и хотя один вызов с ним совершить, так как быть?
Да пофакту ни как. самый популярный способ, это защита от ptrace
Я
Все, то что хочет в память залезть через это работает.
R
а есть какие нибудь нюансы при чтение данных из ram при наличие root? моя задача учесть только риски, так что интересен именно факт возможности этого
А о каких данных идет речь?
A
А о каких данных идет речь?
как вариант рассматривается хранения там хеша ключа от шифрования данных локально, который пришёл от бека, потому что в юзкейсе взять ключ от пинкода/биометрии не представляется возможным
R
как вариант рассматривается хранения там хеша ключа от шифрования данных локально, который пришёл от бека, потому что в юзкейсе взять ключ от пинкода/биометрии не представляется возможным
Зачем тебе хэш ключа? И о каком ключе речь?
R
Я просто пытаюсь оценить насколько проблемно то, что ты что-то хранишь в памяти
R
Вомзожно это ок
A
Зачем тебе хэш ключа? И о каком ключе речь?
ключ для шифрования им сессионых данных локально, т.к. сейчас они в открытом виде локально хранятся
R
ключ для шифрования им сессионых данных локально, т.к. сейчас они в открытом виде локально хранятся
Давай попробую разложить, а ты поправляй если где-то наврал. У тебя есть бэк, с которого тебе приходит ключ шифрования (в виде строки в base64 видимо), который ты используешь для шифрования каких-то данных приложения. И ты опасаешься, что этот ключ уведут из памяти. Так?
A
Давай попробую разложить, а ты поправляй если где-то наврал. У тебя есть бэк, с которого тебе приходит ключ шифрования (в виде строки в base64 видимо), который ты используешь для шифрования каких-то данных приложения. И ты опасаешься, что этот ключ уведут из памяти. Так?
в теории да, так