R
оу
Size: a a a
2021 February 25
R
ща
ИК
Прикольно. Не знал про такое. @AndroidDevSec ^^^^ попробуй плиз и отпишись работает или нет =) А то у меня под рукой нет ничего протобафного
Да, спасибо попробую
2021 February 26
СП
Переслано от Мухамед
всем привет! подскажите пожалуйста - есть ли способ получить sha1(release) ключ приложения через устройство(андройд)?
СП
Переслано от Мухамед
суть в том что нужно ограничить подключение к серверу только мобильным приложением
СП
СП
СП
Переслано от Сергей П.
Если мы работаем через challenge-response sha от сервера то хакнутое приложение сможет прислать правильную sha
СП
Переслано от Мухамед
Если у Вас какие нибудь идеи, предложения, смотрю ещё ssl pinning
СП
Переслано от Сергей П.
Ну спроси в @android_guards.
В принципе конечно хакается все.
У меня есть идейка - надо подумать. При запуске первом создавать юзера со случ.именем и паролем в firebase auth, отсылать их на сервер. Приложение ими авторизуется, за тем что бы перекомпиленное приложение не могло авторизоваться следит гугль под капотом auth, авторизация придожения проходит прозрачно для юзера
В принципе конечно хакается все.
У меня есть идейка - надо подумать. При запуске первом создавать юзера со случ.именем и паролем в firebase auth, отсылать их на сервер. Приложение ими авторизуется, за тем что бы перекомпиленное приложение не могло авторизоваться следит гугль под капотом auth, авторизация придожения проходит прозрачно для юзера
СП
ВОПРОС:
не помню, обсуждалась ли тут такая идея - исходя из концепции "единственный безопасный вариант авторизации доступа только из приложения - авторизация юзера на сервере" - вот такое вот что бы не было геморроя с собственным сервером
не помню, обсуждалась ли тут такая идея - исходя из концепции "единственный безопасный вариант авторизации доступа только из приложения - авторизация юзера на сервере" - вот такое вот что бы не было геморроя с собственным сервером
СП
Что бы не грузить юзера придумыванием пароля
СП
И что бы он не был одинаковый или легко добываемый из приложения
СП
...в принципе их можно и менять динамически по времени. Типа новый юзер завелся.
R
Эту задачу худо-бедно решает SafetyNet. Беда в том, что это работает не везде.
R
А так, это обычное желание разработчиков приложений - предотвратить написание python скрипта, который будет эмулировать приложение. Полностью от этого закрыться невозможно, насколько мне известно.
R
У кого-нибудь есть сводная таблица софта предназначенного для защиты Android приложений? Всякие пакеры, протекторы, обфускаторы и вот это все? С каким-то описанием и характеристиками.
w
У кого-нибудь есть сводная таблица софта предназначенного для защиты Android приложений? Всякие пакеры, протекторы, обфускаторы и вот это все? С каким-то описанием и характеристиками.
Былобы интересно глянуть
ИТ
У кого-нибудь есть сводная таблица софта предназначенного для защиты Android приложений? Всякие пакеры, протекторы, обфускаторы и вот это все? С каким-то описанием и характеристиками.
Типо опен сурс?
w
https://shell.virbox.com/androidprotection.html
Product Features:
1. Anti-reverse:
Through technologies such as DEX file packing and DEX virtualization, the code is prevented from being decompiled and reverse analyzed.
2. Tamper proof:
By verifying the APK developer’s signature, it prevents secondary packaging, ad or malicious code implantation.
3. Anti-debugging:
Prevent the application from being debugged by tools such as IDA, JEB, and dynamically analyze the code logic.
Core Technology:
1. DEX file encryption and hiding:
Packing protection for DEX files to prevent code theft and decompilation.
2. SO section compression and encryption:
Compress and encrypt the code and data segments in the SO library to prevent decompilation by tools such as IDA.
3. Single step breakpoint detection:
Insert soft breakpoints to detect hidden stakes in obfuscated instructions to prevent run trace and single-step debugging at the native layer.
4. Anti-dynamic debugging:
Prevent the application from being debugged by tools such as IDA, JEB, and dynamically analyze the code logic.
5. Developer signature verification:
Check the developer signature in the APK at startup to prevent third-party cracking and secondary packaging.
6. SO memory integrity check:
Check the memory integrity when loading the SO library to prevent third parties from patching the SO library.
7. SO code obfuscation:
To obfuscate the functions specified in the SO library, through technical means such as instruction slicing, control flow flattening, and immediate encryption, native instructions are converted into complex instructions that are difficult to understand, which cannot be decompiled by IDA and cannot be restored.
8. SO code virtualization:
For the function virtualization specified in the SO library, the machine instructions of the x86, x64, arm32, and arm64 architectures can be converted into random custom virtual machine instructions. The security strength is extremely high. You can customize the configuration through the tool to adjust the performance and security.
9. DEX virtual machine protection (to be launched):
The dalvik bytecode in DEX is virtualized, converted into custom virtual machine instructions, and finally interpreted and executed by the native layer virtual machine to prevent reverse analysis.
Product advantages:
Industry-leading Native layer code obfuscation virtualization technology that does not rely on LLVM, with higher security.
The protected program does not insert any code unrelated to the protection function, and does not collect any user information.
No need to change any development environment, easy to use.
The protection process will not upload any information about the developer and the program.
Before and after protection, there is almost no effect on the size of the APK.
Product Features:
1. Anti-reverse:
Through technologies such as DEX file packing and DEX virtualization, the code is prevented from being decompiled and reverse analyzed.
2. Tamper proof:
By verifying the APK developer’s signature, it prevents secondary packaging, ad or malicious code implantation.
3. Anti-debugging:
Prevent the application from being debugged by tools such as IDA, JEB, and dynamically analyze the code logic.
Core Technology:
1. DEX file encryption and hiding:
Packing protection for DEX files to prevent code theft and decompilation.
2. SO section compression and encryption:
Compress and encrypt the code and data segments in the SO library to prevent decompilation by tools such as IDA.
3. Single step breakpoint detection:
Insert soft breakpoints to detect hidden stakes in obfuscated instructions to prevent run trace and single-step debugging at the native layer.
4. Anti-dynamic debugging:
Prevent the application from being debugged by tools such as IDA, JEB, and dynamically analyze the code logic.
5. Developer signature verification:
Check the developer signature in the APK at startup to prevent third-party cracking and secondary packaging.
6. SO memory integrity check:
Check the memory integrity when loading the SO library to prevent third parties from patching the SO library.
7. SO code obfuscation:
To obfuscate the functions specified in the SO library, through technical means such as instruction slicing, control flow flattening, and immediate encryption, native instructions are converted into complex instructions that are difficult to understand, which cannot be decompiled by IDA and cannot be restored.
8. SO code virtualization:
For the function virtualization specified in the SO library, the machine instructions of the x86, x64, arm32, and arm64 architectures can be converted into random custom virtual machine instructions. The security strength is extremely high. You can customize the configuration through the tool to adjust the performance and security.
9. DEX virtual machine protection (to be launched):
The dalvik bytecode in DEX is virtualized, converted into custom virtual machine instructions, and finally interpreted and executed by the native layer virtual machine to prevent reverse analysis.
Product advantages:
Industry-leading Native layer code obfuscation virtualization technology that does not rely on LLVM, with higher security.
The protected program does not insert any code unrelated to the protection function, and does not collect any user information.
No need to change any development environment, easy to use.
The protection process will not upload any information about the developer and the program.
Before and after protection, there is almost no effect on the size of the APK.