😄 согласен, хороший API не давал бы мне нарушать инварианты. У них там в доках ещё есть пассажи вроде "если вы вызываете у билдера вот этот метод с такими-то параметрами, то не вызывайте  у него вон тот метод, потому что так нельзя" 🙂

Google - one love =)

😊☀️

Есть ли опенсорсные статические анализаторы apk на подобии: https://www.virustotal.com/gui/

Анализаторы на предмет чего? Вирусов?

Вирусов и опасных зависимостей

вирусов в апк ахах)), а зависимости из апк после прогуварда не узнать так сразу или бывает вообще не узнать

Недавно вышло вот это: https://beta.pithus.org/

Не знаю насколько это хорошо, тем более это бета. Поковыряйся

ну и есть MobSF

Спасибо)

Ищем реверсера, с опытом расшифровки и чтения сетевого трафика (было бы здорово, если к тому же java middle+)
ЗП: 4000-6000 usd
Подробности в лс

🤔

Норм реверсеры получают походу

Да, за чистых джавистов у нас даже меньше предлагают)

Кто-то слышал про Trojan.AndroidOS.Banker? как он может попасять в APK?

Слышали про эту историю со сканером штрих кодов 10 млн скачиваний в Гугл плей в котором оказался троян, который редирктил во внешнем браузере на сайт с ссылкой на скачивание другого приложения. Кто нибудь знает как такое возможно?

Там видео есть, как то не очень правдоподобно выглядит

Google продолжает радовать неплохими документами. На этот раз они собрали хороший чеклист, по основным требованиям к качеству Android-приложений. Это не какое-то божественное откровение, просто хороший чеклист. Нас, как обычно, интересует "шо там по безопасности". Рекомендации (или требования) опять же довольно стандартные, но удобно, что собраны в одном месте и без воды (в отличие от этого сообщения).

Коротко, что имеем:

- Запрашивать как можно меньше разрешений
- Без крайней нужды не запрашивать разрешения на возможности, которые тратят деньги пользователя (SMS и звонки)
- Запрашивать разрешения в контексте функциональности, а не "на всякий случай" при старте приложения
- Объяснять пользователю зачем запрашиваете разрешения
- Вся конфиденциальная информация должна храниться только во внутреннем хранилище (internal storage)
- ПД и прочая конфиденциальная инфа не должна попадать в логи
- Не использовать хардварные идентификаторы, такие как IMEI для идентификационных целей
- Предоставлять подcказки для autofill фреймворка
- Интегрировать One Tap Sign-up/Sign-in
- Интегрировать биометрическую аутентификацию
- Экспортировать только те компоненты, которые должны делиться данными с другими приложениями
- Все интенты и бродкасты должны следовать лучшим практикам безопасности (почитайте по ссылке, там много)
- Все контент провайдеры, которые шарят данные между вашими приложениями должны использовать protectionLevel=signature
- Весь сетевой трафик отправляется только по SSL
- Должен быть настроен пиннинг через network security configuration
- Если приложение использует сервисы Google Play, то security provider нужно инициализировать при старте приложения
- Все библиотеки должны иметь актуальные версии
- В приложении не должно быть отладочных библиотек
- Не использовать setAllowUniversalAccessFromFileURL() в WebView для доступа к локальному контенту. Вместо него нужно использовать WebViewAssetLoader. На Android 6.0 и выше, вместо этого нужно использовать HTML message channels.
- Приложение не должно динамически загружать код (dex файлы) из внешних источников. Нужно использовать App Bundles.
- Приложение должно использовать лучшие криптографические алгоритмы и генераторы случайных чисел из доступных на платформе, а не реализовывать свои алгоритмы шифрования.

https://developer.android.com/docs/quality-guidelines/core-app-quality#sc

👍