Y
а у genymotion случаем такого нет?
Size: a a a
2020 October 12
k
А как вы решаете проблему, когда апк например хочет ARM, а эмулятору x86?
https://github.com/m9rco/Genymotion_ARM_Translation
Меня эта штука пару раз спасала
Меня эта штука пару раз спасала
R
А как вы решаете проблему, когда апк например хочет ARM, а эмулятору x86?
Можно на apk-mirror поискать под ругие архитектуры. Если нет, то страдать или использовать реальный девайс
k
Всем привет
Есть ли какой-нибудь смысл просить приложить палец при активации входа в приложение по touch id?
Просто сейчас попалось приложение, которое этого не требует, и у меня скрипт в голове сломался
Есть ли какой-нибудь смысл просить приложить палец при активации входа в приложение по touch id?
Просто сейчас попалось приложение, которое этого не требует, и у меня скрипт в голове сломался
k
Поискал всякие бест практисы и не нашел ничего на этот счет
Но если просят прикладывать, то наверняка должен быть какой-то практический смысл
Но если просят прикладывать, то наверняка должен быть какой-то практический смысл
R
Так это от задачи зависит же =)
R
Биометрическая аутентификация может работать на 2 сценария:
- просто закрыть вход в приложения пальцем
- получить ключи шифрования закрытые пальцем чтобы что-нибудь расшифровать/зашифровать
- просто закрыть вход в приложения пальцем
- получить ключи шифрования закрытые пальцем чтобы что-нибудь расшифровать/зашифровать
k
Может я неправильно написал
Вот дефолтный сценарий. Ты входишь со своим аккаунтом в какое-то условное ДБО, далее тебя просят задать пин-код и опционально включить вход по отпечатку пальца
На этом этапе обычно тебя просят приложить палец для подтверждения
И меня интересует есть ли в этом какой-то смысл
Вот дефолтный сценарий. Ты входишь со своим аккаунтом в какое-то условное ДБО, далее тебя просят задать пин-код и опционально включить вход по отпечатку пальца
На этом этапе обычно тебя просят приложить палец для подтверждения
И меня интересует есть ли в этом какой-то смысл
R
От сценария зависит =)
R
Если нужен cryptoObject, то да имеет
DT
Может я неправильно написал
Вот дефолтный сценарий. Ты входишь со своим аккаунтом в какое-то условное ДБО, далее тебя просят задать пин-код и опционально включить вход по отпечатку пальца
На этом этапе обычно тебя просят приложить палец для подтверждения
И меня интересует есть ли в этом какой-то смысл
Вот дефолтный сценарий. Ты входишь со своим аккаунтом в какое-то условное ДБО, далее тебя просят задать пин-код и опционально включить вход по отпечатку пальца
На этом этапе обычно тебя просят приложить палец для подтверждения
И меня интересует есть ли в этом какой-то смысл
есть два вариант реализации входа по отпечатку - с помощью симметричного ключа и с помощью ключевой пары. в первом случае при подключении входа по биометрии палец нужно прикладывать для разблокировки ключа и шифрования на этом ключе токена авторизации. во втором не надо, т.к. шифрование происходит на открытом ключе
DT
либо это может быть уязвимая реализация вообще без шифрования
k
есть два вариант реализации входа по отпечатку - с помощью симметричного ключа и с помощью ключевой пары. в первом случае при подключении входа по биометрии палец нужно прикладывать для разблокировки ключа и шифрования на этом ключе токена авторизации. во втором не надо, т.к. шифрование происходит на открытом ключе
Спасибо большое за развернутый ответ)
YS
либо это может быть уязвимая реализация вообще без шифрования
тогда у нас будет работа 🥳🥳
R
А о какой уязвимой реализации речь? Биометрическая аутентификация не обязывает использовать шифрование. Можно просто дергать системное API и получать из него колбэк подошел палец или нет. В чем уязвимость?
DT
как раз в этом и уязвимость - что не используется AndroidKeyStore, и можно забайпассить авторизацию с помощью фриды
R
как раз в этом и уязвимость - что не используется AndroidKeyStore, и можно забайпассить авторизацию с помощью фриды
С помощью фриды можно сделать все что угодно. Вопрос от кого ты защищаешься. Я неоднократно говорил, что биометрия это не про безопасность, а скорее про удобство. Поэтому не могу с тобой согласиться, что реализация без шифрования по пальцу она какая-то уязвимая. Это просто другой сценарий использования.
DT
нет, реализацию с ключом ты с помощью фриды не обойдешь
R
нет, реализацию с ключом ты с помощью фриды не обойдешь
Еще как пройду =) Потому что когда я использую фриду - я реверсер/пентестер. А значит я уже имею доступ ко всем потрохам телефона и значит я эту же аутентификацию по пальцу и включил