Парни, вопрос
Допустим приложении уязвимо к тому что можно вызывать активити этого приложение где ты в параметры передаешь url и открывается вебвью с нужными тебе url , если правильно понимаю это ошибка в IPC
Собственно тогда есть сценарий что вредонос на устройстве может вызывать это активити и через тот же URL указав не сайт а допустим file://abc.txt открыть в уязвимом приложении файл

Вопрос, это все возможности? Только открыть другой url/файл можно? Может ли вредонос читать содержимое файла? Или зависит от реализации активити?

зависит от реализации активити, настроек вебвью, наличия js интерфейсов

если ты атакуешь, то запомни это поведение, может пригодиться
если защищаешься, то лучше такое пресекать, если не нужно использовать

Интересен момент постэксплуатации, на сколько раскрутить можно такую возможность

раскрутить можно хоть до исполнения кода, а можно застрять на отображении файла
к сожалению, реализация конкретного приложения играет тут ключевую роль

ну или к счастью) с какой стороны посмотреть

Стоит посмотреть, какие заголовки передаются на открываемый URL, там, может, возможно сессию увести. А вообще, здесь описаны способы получения через webview доступа к неэкспортируемым компонентам https://blog.oversecured.com/Android-Access-to-app-protected-components/ В тиктоке недавно нашли похожие уязвимости (была статья на том же сайте)

Привет ребят, не подскажете, можно ли в биометрике(androidx.biometric.BiometricManager) изменить дефолтное количество попыток входа (5), на любое другое значение, я чет нифига не нашел, продакт овнер хочет что бы было 4 попытки, а по дефолту 5 стоит

мож сие спасет https://stackoverflow.com/questions/60145162/close-prompt-after-three-failure-attempts-in-androidx-biometric-prompt

а чем он мотивировал 4?

хз даже, просто говорит давай 4

а ты "а че не 10?" )

не, на самом деле, 4 мало, я иногда по 3 раза не попадаю))) а то и больше

​​Чердачок Брюса Шнайера. Выпуск №2 "Основы криптографии"

Искусство и наука сокрытия сообщений называется криптографией (cryptography), а специалисты по криптографии называются криптографами (cryptographers). Их естественными "врагами" в дикой природе являются криптоаналитики (cryptoanalysts), которые занимаются искусством и наукой взлома шифротекстов - криптоанализом (cryptoanalysis). Отрасль математики, охватывающая криптографию и криптоанализ, называется криптологией (cryptology), а людей, которые ей занимаются - криптологами (cryptologist). Т.е. без хорошей математической подготовки тут никуда. Чтобы ты там себе на напридумывал %username%.

В криптографических формулах, открытый текст принято обозначать буквой M (message) или P (plaintext). Он может быть чем угодно, но в конечном итоге все сводится к набору битов. Шифротекст принято обозначать буквой C (chipertext), который тоже представляет из себя двоичные данные. Функцию шифрования обозначают буквой E, а функцию расшифровки буквой D. Таким образом, в математической форме основные формулы криптографии выглядят вот так:
E(M) = C - шифрование

D(С) = M - расшифровка

При этом должно выполняться следующее равенство:

D(E(M)) = M

Если уже на этом моменте тебе стало ничего не понятно, то самое время сделать вывод, что с криптографией тебе не по пути, потому что дальше будет сложнее 🤤

#ЧБШ

Многие из вас уже знают, что Google недавно представил две новые концепции хранения данных в Android в рамках библиотеки DataStore. Библиотека представляет из себя два хранилища: Preferences DataStore и Proto DataStore. Первое это привычные и понятные всем SharedPreferences, но немного поумневшие и типобезопасные. А вот второе уже гораздо интереснее. как следует из названия это хранилище работает со схемами ProtoBuf и обещает нам много интересного. Единственное, чего оно не обещает из коробки это шифрования данных. Это довольно странно в 2020-м году и при условии, что у Google уже есть все нужные компоненты для реализации. Ну нет так нет. Я написал эту интеграцию сам и хочу поделиться ей с вами. Там никакого космоса, просто Tink встроенный в proto-сериализатор данных. Код можно слить с GitHub-а и поиграться с ним.

https://github.com/Fi5t/secured-datastore

#4developers #cryptography

Оно сильно отличается от реализации https://blog.stylingandroid.com/datastore-security/ ?

Да. Марк не использует Tink, я не понимаю почему. И там довольно странная концепция адаптеров. Короч он зачем-то переизобрел велосипед в своем примере

Мой более лаконичный и использует понятные технологии

Привет! как можно добавить новый fingerprint/touchId и так чтобы его не заметила система?? )

Это как?