GK
невозможно что-то спрятать от пользователя на его собственном устройстве
Size: a a a
2018 January 10
GK
про dex тоже видел, но это, по-моему, явно запрещено правилами гугл плея
AB
про dex тоже видел, но это, по-моему, явно запрещено правилами гугл плея
Это не факт, ща Дэн выясняет
AB
а задача "вынуть сверхсекретный токен" с xposed вообще становится тривиальной
Тривиальной, ага)
GK
но это тоже обходится через xposed ¯\_(ツ)_/¯
IP
Это не факт, ща Дэн выясняет
Да даже если это не так, то вынимается этот скачиваемый декс и смотрится как проходит валидация
IP
Но конечно появится +1 механизм - изменив который, на некоторое время, можно будет поломать написанные консольные утилиты
GK
Тривиальной, ага)
я уже когда-то рассказывал о том, как отреверсил закрытое апи аск.фм — они такие все обмазались защитой, возвращали секретный токен из JNI-библиотеки
GK
а я просто взял её из их приложения, создал новый проект, добавил её туда, создал нужный класс с нужным методом, вызвал метод, получил токен
GK
мне даже не пришлось её дизассемблировать
AB
а я просто взял её из их приложения, создал новый проект, добавил её туда, создал нужный класс с нужным методом, вызвал метод, получил токен
Вот если бы она выдавала тебе в неправильном окружении deniable токен то было бы весело
GK
Вот если бы она выдавала тебе в неправильном окружении deniable токен то было бы весело
Тогда я бы сделал как раз ту штуку с xposed, о которой я говорил ;)
GK
ну или пропатчил бы её, чтобы она не проверяла окружение
GK
или дал бы ей нужное окружение
IP
Вот если бы она выдавала тебе в неправильном окружении deniable токен то было бы весело
Тут все дело в неправильной изначальной постановке вопроса, не как защитить сервер от консольного приложения, а как максимально усложнить процесс создания консольного приложения, которое будет имитировать мобильное приложение
Именно поэтому вначале и был ответ "Никак"
Именно поэтому вначале и был ответ "Никак"
AB
ну или пропатчил бы её, чтобы она не проверяла окружение
Ну те нужно ещё шифрование под пиннингом)
AB
И тогда опять возвращаемся к усложнению реверса
GK
И тогда опять возвращаемся к усложнению реверса
в смысле?
GK
ты делаешь модуль xposed, который заменяет метод проверки сертификата на
да, это настолько просто
return true;да, это настолько просто
AB
в смысле?
Под пиннингом дополнительное шифрование трафика