NK
сейчас проверб почему в апк флаг не тот стоит что у меня в манифесте
Тот стоит
Size: a a a
2020 August 11
NK
Тебе говорят что хакер может поменять
Sλ
можно еще исключить директории из бекапа https://developer.android.com/guide/topics/data/autobackup#IncludingFiles
C☭
Тот стоит
4.7.2. Sensitive data in backup
The allowBackup flag is set in the Android app. This makes it possible to back up the data and settings of the app when the device is physically accessed via ADB. The user name and password for authentication on the web service and IBAN numbers can then be extracted from the backup (see section 4.1).
Threat
The creation of backups on Android has not been deactivated. As a result, sensitive data can be extracted from the backup.
The allowBackup flag is set in the Android app. This makes it possible to back up the data and settings of the app when the device is physically accessed via ADB. The user name and password for authentication on the web service and IBAN numbers can then be extracted from the backup (see section 4.1).
Threat
The creation of backups on Android has not been deactivated. As a result, sensitive data can be extracted from the backup.
C☭
можно еще исключить директории из бекапа https://developer.android.com/guide/topics/data/autobackup#IncludingFiles
в этом случае можно заменить на
<application ...
android:allowBackup="false"
android:fullBackupContent="false"
tools:replace="android:allowBackup"
</application>
2020 August 12
NK
Всем привет! Поскольку от вас не поступило негативного фидбэка за прошлый стрим, я планирую продолжать эту деятельность пока вам не надоест (ну или мне). А сейчас - анонс.
Работа пентестера для многих людей выглядит чем-то таинственным и захватывающим. Километры вводимых в терминале команд, килобайты кода и виртуальные небоскребы хранилищ данных... Ну и вся прочая ерунда, которую показывают в кино. Мы же поговорим с реальными людьми для которых пентест это повседневная работа. Обсудим особенности пентеста под Android и iOS и разберемся в типовых инструментах мобильного пентестера. Также выясним как войти в эту профессию с нуля или прийти из соседней области, как развиваться после входа и как выйти на пенсию имея в гараже Ламборгини, а не долги по ипотеке.
Гости выпуска: Николай (Positive Technologies) и Андрей (независимый эксперт)
https://www.youtube.com/watch?v=BbygfeMZGj4
Работа пентестера для многих людей выглядит чем-то таинственным и захватывающим. Километры вводимых в терминале команд, килобайты кода и виртуальные небоскребы хранилищ данных... Ну и вся прочая ерунда, которую показывают в кино. Мы же поговорим с реальными людьми для которых пентест это повседневная работа. Обсудим особенности пентеста под Android и iOS и разберемся в типовых инструментах мобильного пентестера. Также выясним как войти в эту профессию с нуля или прийти из соседней области, как развиваться после входа и как выйти на пенсию имея в гараже Ламборгини, а не долги по ипотеке.
Гости выпуска: Николай (Positive Technologies) и Андрей (независимый эксперт)
https://www.youtube.com/watch?v=BbygfeMZGj4
2020 August 14
NK
Google сделал удобную страничку с security best practices по разным разделам:
- шифрование
- определение небезопасной среды выполнения
- аутентификация и биометрия
- обмен данными
плюс есть разделы по смежным темам. Выглядит неплохо.
#4developers #google
https://developer.android.com/security?linkId=97069982
- шифрование
- определение небезопасной среды выполнения
- аутентификация и биометрия
- обмен данными
плюс есть разделы по смежным темам. Выглядит неплохо.
#4developers #google
https://developer.android.com/security?linkId=97069982
m
Уже не раз читал на реддите, от недовольных разрабов: пока Гугл не исправит уязвимости от xpossed, Frida, magisk - все эти статейки не несут пользы
СМ
Да, это уже какие-то инструкции из разряда "мойте руки перед едой"
Y
main
Уже не раз читал на реддите, от недовольных разрабов: пока Гугл не исправит уязвимости от xpossed, Frida, magisk - все эти статейки не несут пользы
ну чего. Safety net наше все)
R
main
Уже не раз читал на реддите, от недовольных разрабов: пока Гугл не исправит уязвимости от xpossed, Frida, magisk - все эти статейки не несут пользы
О каких уязаисостях речь?
NK
ну чего. Safety net наше все)
А чем оно поможет против magisk?
R
А чем оно поможет против magisk?
Скоро поможет :)
NK
Скоро поможет :)
Да, теперь magisk не работает на новых девайсах 🙁
NK
Кажется настало то время когда для разработки отдельный девайс с рутом нужно заводить
R
Кажется настало то время когда для разработки отдельный девайс с рутом нужно заводить
Давно так делаю уже. Лет 5 как мне кажется :)
NK
Давно так делаю уже. Лет 5 как мне кажется :)
Я пока держусь)
NK
Pixel 3a Magisk работает идеально
NI
Скоро поможет :)
когда аппаратную реализацию включат? (TEE?)
m
О каких уязаисостях речь?
Что уже который год не могут закрыть уязвимости от этих приложений взлома