A
2й вариант
Size: a a a
2021 June 17
SS
гугл плей уже давно умеет подписывать за вас, чтобы не надо было хранить ключи в небезопасном месте
R
Не всем это подходит
SS
а когда нет? даже если вам надо сделать релиз не через стор, вы все равно можете подписать через стор и получить apk
R
Реквестирую в тред ребят из компании с красной буквой Я 😉
SS
нуу, щас вы скажете, что вам OEM preload нужен
SS
в 99% других случаев подписи через стор должно хватить
AT
Я конечно понимаю, что хранить ключи в проекте плохо. Но не вижу всех проблем из этого вытикающих. Можете накидать парочку?
D
Потерять пароль от ключей тоже плохо. Достался проект по наследству. Ключик лежит в проекте а пароля нет. И никто не знает его. Связи со старым разработчиком нет. Повезло что название файла с ключами как оказалось содержало пароль. Иначе безвыходная ситуация. Приложение не обновить.
R
Проблема тут одна: релизные ключи утекают третьей стороне. Ну а дальше уже разматываются сценарии когда малварь подписывается таким ключом и protectionLevel=signature для android компонентов перестает работать
R
Это один из примеров
AT
Хорошо, спасибо.
2021 June 18
СП
...пара вопросов.
1. Как я понимаю особых проблем при помощи фриды перехватить системный вызов, скажем wifi getScanResults() и вернуть вместо него свои данныe - нет.
Но там же возвращаемый результат генерится где то в Js, можно ли его менять извне по времени или иным условиям? Я пока с ней не работал.
2. Аналогично - charles/fiddler позволяют перехватить трафик отправляемый на сервер. Возможна ли его динамическая подмена? Условно строки foo на bar?
1. Как я понимаю особых проблем при помощи фриды перехватить системный вызов, скажем wifi getScanResults() и вернуть вместо него свои данныe - нет.
Но там же возвращаемый результат генерится где то в Js, можно ли его менять извне по времени или иным условиям? Я пока с ней не работал.
2. Аналогично - charles/fiddler позволяют перехватить трафик отправляемый на сервер. Возможна ли его динамическая подмена? Условно строки foo на bar?
СП
а потом на baz по времени или иному условию
R
Про "генерится где то в Js" я чет не совсем понял, а в charles насколько я помню эта возможность есть. Как минимум брейкпоинты. Но для таких задач лучше Burp. ИМХО
СП
Burp записал
СП
Брейкпойнты нет, скрипты минимум
R
R
Там есть автоподмена. Я просто обычно не пользуюсь этим
k
Burp не позволит так сделать по дефолту. И либо писать свой плагин (крайне не рекомендую), либо вручную переключать
Если нужная сложная логика автозамены, то проще скрипт с mitmproxy накидать
https://docs.mitmproxy.org/stable/addons-scripting/
Если нужная сложная логика автозамены, то проще скрипт с mitmproxy накидать
https://docs.mitmproxy.org/stable/addons-scripting/