EK
"By default the generated key is stored in the backing preferences file and so can be read and extracted by root user" - в чём секьюрность? С таким же успехом можно голый токен в обычные SharedPreference класть.
Size: a a a
2018 August 16
AE
Возвращаемся к вопросу о том, есть ли смысл вообще что-то прятать, если все и так, как ни крути, остается на виду
EK
Ну с KeyStore потяжелее будет ключ вытащить, всёже
IC
Ну с KeyStore потяжелее будет ключ вытащить, всёже
Через Xposed не проблема, по идее
AE
"Через" Frida ещё легче, поэтому я просто оставил ссылку - на всякий случай
EK
Если hardware backed keystore то думаю, что нет. Там ключи в память не попадают, всё шифрование в TEE, на сколько я знаю.
EK
Получить расшифрованный результат - это уже другое дело.
IC
Ну так дампим память в момент получения расшифрованного результата и готово
R
Словами “дампим память” круто бросаться пока не дойдет до дела 😉 HB keystore при правильной реализации все же достаточно надежная штука при прочих равных.
R
Например если хранить в этом кейсторе ключи, которые генерятся отдельно для каждого юзера приложения и закрывают какие-то данные, то как должна выглядеть тогда атака на память?
IC
Ставим брейкпоинт на том месте, где данные расшифровываются или ключ достается, сохраняем что нужно
R
Ты меня прослушал =) Перечитай мое сообщение еще раз
R
Я не веду речь о том, когда прилоежние пытается прятать свои секреты от реверсера. Речь о том, чтобы защищить данные пользователя
D
Ставим брейкпоинт на том месте, где данные расшифровываются или ключ достается, сохраняем что нужно
Как это сделать автоматически? Вот заразили вот телефон пользователя трояном...
R
Как это сделать автоматически? Вот заразили вот телефон пользователя трояном...
+100500
IC
Как это сделать автоматически? Вот заразили вот телефон пользователя трояном...
Троян без рута и плейнтекст-данные не достанет
R
А если с рутом, но данные шифрованые?
IC
Тогда без разрешения юзера он все равно рута не получит
R
Допустим получил )
R
Я стараюсь ближе к твоей фразе просто ситуацию обрисовать