Size: a a a

2020 December 26

Б

Бухгалтер in Android Guards
кажется через fetch
источник
2020 December 27

С

Села in Android Guards
Бухгалтер
ребят,а никто плотно с фаербейсом не работает тут ?
Да я
источник

NK

ID:0 in Android Guards
Если сегодня к вечеру соберусь с силами, то сделаю стрим про хранение API ключей в нативном коде и покажу как это все оттуда достать без особых проблем.  Разбор будет по мотивам статьи, которая недавно появилась в чате и, к моему удивлению, вызвала какие-то обсуждения даже.

https://youtu.be/jW5AoiIZlO8
источник

ФХ

Филадельфия Хачатуря... in Android Guards
ID:0
Если сегодня к вечеру соберусь с силами, то сделаю стрим про хранение API ключей в нативном коде и покажу как это все оттуда достать без особых проблем.  Разбор будет по мотивам статьи, которая недавно появилась в чате и, к моему удивлению, вызвала какие-то обсуждения даже.

https://youtu.be/jW5AoiIZlO8
по мотивам какой статьи?
источник

R

Rtem in Android Guards
vorobyoff
Привет, хороший ли способ хранить access/api key в c++ функции библиотеке, что-ли, в общем вот о чем я:
https://medium.com/@bapspatil/store-your-api-keys-more-securely-using-cmake-kotlin-f46cf1b1033
вот этой
источник

Y

YorkIsMine in Android Guards
Yury Shabalin
Добавлю
пни, когда добавишь)
источник

YS

Yury Shabalin in Android Guards
YorkIsMine
пни, когда добавишь)
Надеюсь до нового года осилю :)
источник

NK

ID:0 in Android Guards
Весь код, который показывал на стриме можно взять тут: https://github.com/Android-Guards/storing-api-keys
источник

AY

Axrorxo'ja Yodgorov in Android Guards
ID:0
Если сегодня к вечеру соберусь с силами, то сделаю стрим про хранение API ключей в нативном коде и покажу как это все оттуда достать без особых проблем.  Разбор будет по мотивам статьи, которая недавно появилась в чате и, к моему удивлению, вызвала какие-то обсуждения даже.

https://youtu.be/jW5AoiIZlO8
такой тупой вопрос
как можна защититься от фрида )))))
источник

R

Rtem in Android Guards
Axrorxo'ja Yodgorov
такой тупой вопрос
как можна защититься от фрида )))))
https://github.com/darvincisec/DetectFrida - начать можно отсюда. Но 100% защиты нет
источник

AY

Axrorxo'ja Yodgorov in Android Guards
понял спасибо
кстати видео был очень полезный
как раз мы тоже у себя обсуждали этот момент
источник

AY

Axrorxo'ja Yodgorov in Android Guards
ID:0
Если сегодня к вечеру соберусь с силами, то сделаю стрим про хранение API ключей в нативном коде и покажу как это все оттуда достать без особых проблем.  Разбор будет по мотивам статьи, которая недавно появилась в чате и, к моему удивлению, вызвала какие-то обсуждения даже.

https://youtu.be/jW5AoiIZlO8
другой вопрос
если он хранил API_KEY в android keystore
но я знаю где он возьмет оттуда ( entry point)
могу через фрида оверлоадид тот метод
как вы сегодня показали ?
источник

R

Rtem in Android Guards
Axrorxo'ja Yodgorov
другой вопрос
если он хранил API_KEY в android keystore
но я знаю где он возьмет оттуда ( entry point)
могу через фрида оверлоадид тот метод
как вы сегодня показали ?
В android keystore нельзя хранить ключи api. Он только для криптографических ключей, который генерируются прямо там.
источник

AY

Axrorxo'ja Yodgorov in Android Guards
ID:0
Если сегодня к вечеру соберусь с силами, то сделаю стрим про хранение API ключей в нативном коде и покажу как это все оттуда достать без особых проблем.  Разбор будет по мотивам статьи, которая недавно появилась в чате и, к моему удивлению, вызвала какие-то обсуждения даже.

https://youtu.be/jW5AoiIZlO8
ммм понял
a если перефразирую так
если он хранил API_KEY в android jetpack EncryptedSharedPreferences
но я знаю где он возьмет оттуда (типа entry point)
могу через фрида оверлоадид тот метод
как вы сегодня показали ?
источник

R

Rtem in Android Guards
Axrorxo'ja Yodgorov
ммм понял
a если перефразирую так
если он хранил API_KEY в android jetpack EncryptedSharedPreferences
но я знаю где он возьмет оттуда (типа entry point)
могу через фрида оверлоадид тот метод
как вы сегодня показали ?
Тут все несколько хитрее. Попробую описать по-возможности коротко: есть такое понятие как "модель злоумышленника". Сегодня я показывал модель - реверс инженер. И вот в случае с префами, этот злоумышленник сможет только свои префы посмотреть. Но да, если этот ключ один на всех, то конечно он его получит
источник

R

Rtem in Android Guards
Axrorxo'ja Yodgorov
ммм понял
a если перефразирую так
если он хранил API_KEY в android jetpack EncryptedSharedPreferences
но я знаю где он возьмет оттуда (типа entry point)
могу через фрида оверлоадид тот метод
как вы сегодня показали ?
Про разные модели злоумышленников я чутка рассказывал вот на этом воркшопе: https://youtu.be/x1d1ZnxHUms?t=576

ссылка с таймкодом сразу
источник

AY

Axrorxo'ja Yodgorov in Android Guards
Rtem
Тут все несколько хитрее. Попробую описать по-возможности коротко: есть такое понятие как "модель злоумышленника". Сегодня я показывал модель - реверс инженер. И вот в случае с префами, этот злоумышленник сможет только свои префы посмотреть. Но да, если этот ключ один на всех, то конечно он его получит
ааа понял спасибо
источник

AY

Axrorxo'ja Yodgorov in Android Guards
👍👍👍
источник

AD

Artyom Dorosh in Android Guards
ID:0
Если сегодня к вечеру соберусь с силами, то сделаю стрим про хранение API ключей в нативном коде и покажу как это все оттуда достать без особых проблем.  Разбор будет по мотивам статьи, которая недавно появилась в чате и, к моему удивлению, вызвала какие-то обсуждения даже.

https://youtu.be/jW5AoiIZlO8
Видео приватно. :(
источник

R

Rtem in Android Guards
Artyom Dorosh
Видео приватно. :(
Да, сорян. Перезаливаю. Решил повырезать куски не имеющие смысловой нагрузки. Ссылки обновлю чуть позже.
источник