i
Я даже откатывал
Всем привет!
Порекомендуйте, пожалуйста, хорошую подробную статью или лучше книжку о безопасности в Android-приложениях.
Size: a a a
2018 February 28
2018 March 01
R
Статьи нет. Книжек щас насыплю чутка
AK
Спасибо!
Насколько информация в них актуальна нынче? (издания 2014-2015гг)
Насколько информация в них актуальна нынче? (издания 2014-2015гг)
R
кишки не сильно менялись. Добавлялись новые фичи, фиксились баги. Параллельно с книгами можешь курить их ежемесячный security bulletin
R
Но если вообще не понимаешь про безопасность мобапов, то книги точно будут актуальны
2018 March 02
NK
Защищайтесь на здоровье, реверсить интересно :)
Чувствую себя неудачником в такие моменты. Потому что даже без всякого реверсинга и с вполне нагуливаемыми доками и даже статьями по настройке различного серверного ПО, постоянно наступаю на грабли, которые потом приходится обходить по под дня, особенно, если пишешь скрипт для автоматизации чего-то.
А ты ничего не знаешь о том в чем ковыряешься и умудряешься не только понять как оно устроено, но и внедрить туда что-то...
А ты ничего не знаешь о том в чем ковыряешься и умудряешься не только понять как оно устроено, но и внедрить туда что-то...
NK
что мешает использовать всё тот же xposed, который позволяет изменять код любого приложения, не меняя apk ни на байт?
Оооо, как такое возможно вообще? Какой-то метакод в эфире создётся и связывается с этим АПК? Или есть часть кода идущая в каком-то пристёгнутом контейнере?
GK
ID:284049524
Оооо, как такое возможно вообще? Какой-то метакод в эфире создётся и связывается с этим АПК? Или есть часть кода идущая в каком-то пристёгнутом контейнере?
По сути это патч для JVM, который позволяет загружать свой код в любой процесс, включая системные
D
Скажите кто-нибудь испытывает проблемы с сертификами на Android после их обновления на своих серверах последнее время?
Например на api.mailgun.net обновили сертификат 18 января. Все валидаторы выдают что все хорошо с этим доменом, но на Adnroid 4.2.2 при попытке сделать запрос к этому API появляется экспшен javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found. В эмудяторе с Android 8 все работает.
И с одним "своим" сервером в проекте похожая история, обновили сертификат на Let's Encrypt и та же ошибка.
Я погуглил, среди возможных причин проблемы может быть то, что Android не признает корневой центр сертификации, новый неизвестный ему. И надо вручную его добавлять, но это такой геморой.
Например на api.mailgun.net обновили сертификат 18 января. Все валидаторы выдают что все хорошо с этим доменом, но на Adnroid 4.2.2 при попытке сделать запрос к этому API появляется экспшен javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found. В эмудяторе с Android 8 все работает.
И с одним "своим" сервером в проекте похожая история, обновили сертификат на Let's Encrypt и та же ошибка.
Я погуглил, среди возможных причин проблемы может быть то, что Android не признает корневой центр сертификации, новый неизвестный ему. И надо вручную его добавлять, но это такой геморой.
Возможно кто-то сталкнется тоже с такой проблемой.
Для api.mailgun.net дело оказалось в следующем. Корневой сертифкат, который поменялся на этом сервере на "DigiCert Global Root G2" отсуствует и неизвестен в Android. Чтобы решить проблему нужно использовать вот этот костыль:
https://github.com/square/okhttp/blob/master/samples/guide/src/main/java/okhttp3/recipes/CustomTrust.java
Там в качестве примера указаны два сертификата, их нужно заменить на .pem своего рутового сертификата. И передавать созданные в этом костыле SSLSocketFactory и X509TrustManager в билдер OkHttp:
OkHttpClient client = new OkHttpClient.Builder() .sslSocketFactory(customTrust.getSslSocketFactory(), customTrust.getTrustManager())
Так что при смене сертификата на сервере не забудьте проверить что в старых Анроидах все работает. Еще один фактор риска.
Для api.mailgun.net дело оказалось в следующем. Корневой сертифкат, который поменялся на этом сервере на "DigiCert Global Root G2" отсуствует и неизвестен в Android. Чтобы решить проблему нужно использовать вот этот костыль:
https://github.com/square/okhttp/blob/master/samples/guide/src/main/java/okhttp3/recipes/CustomTrust.java
Там в качестве примера указаны два сертификата, их нужно заменить на .pem своего рутового сертификата. И передавать созданные в этом костыле SSLSocketFactory и X509TrustManager в билдер OkHttp:
OkHttpClient client = new OkHttpClient.Builder() .sslSocketFactory(customTrust.getSslSocketFactory(), customTrust.getTrustManager())
Так что при смене сертификата на сервере не забудьте проверить что в старых Анроидах все работает. Еще один фактор риска.
EK
Возможно кто-то сталкнется тоже с такой проблемой.
Для api.mailgun.net дело оказалось в следующем. Корневой сертифкат, который поменялся на этом сервере на "DigiCert Global Root G2" отсуствует и неизвестен в Android. Чтобы решить проблему нужно использовать вот этот костыль:
https://github.com/square/okhttp/blob/master/samples/guide/src/main/java/okhttp3/recipes/CustomTrust.java
Там в качестве примера указаны два сертификата, их нужно заменить на .pem своего рутового сертификата. И передавать созданные в этом костыле SSLSocketFactory и X509TrustManager в билдер OkHttp:
OkHttpClient client = new OkHttpClient.Builder() .sslSocketFactory(customTrust.getSslSocketFactory(), customTrust.getTrustManager())
Так что при смене сертификата на сервере не забудьте проверить что в старых Анроидах все работает. Еще один фактор риска.
Для api.mailgun.net дело оказалось в следующем. Корневой сертифкат, который поменялся на этом сервере на "DigiCert Global Root G2" отсуствует и неизвестен в Android. Чтобы решить проблему нужно использовать вот этот костыль:
https://github.com/square/okhttp/blob/master/samples/guide/src/main/java/okhttp3/recipes/CustomTrust.java
Там в качестве примера указаны два сертификата, их нужно заменить на .pem своего рутового сертификата. И передавать созданные в этом костыле SSLSocketFactory и X509TrustManager в билдер OkHttp:
OkHttpClient client = new OkHttpClient.Builder() .sslSocketFactory(customTrust.getSslSocketFactory(), customTrust.getTrustManager())
Так что при смене сертификата на сервере не забудьте проверить что в старых Анроидах все работает. Еще один фактор риска.
Этот "костыль" вроде называется SSL Certificate Pinning, нет?
D
"Костыль" я это назвал т.к. придется таскать в коде этот сертификат
D
Если у вас самоподписанный сертификат, то это фича 😀
EK
За то трафик не своруют)
EK
*быстро
D
😂
NK
По сути это патч для JVM, который позволяет загружать свой код в любой процесс, включая системные
Хах, даже так, типа как пропатчить ОС