Тема та же, люди те же :D Кому это все интересно - ставьте лайки, подписывайте на канал, большие пальцы вверх, жмите на колокольнчик ну и вот это вот все )))

А что не так?

Статья очень капитанская. За крайние пол-года я видел уже штуки 3 таких и все одинаковые. Конкретно эта не несет ничего нового и не показывает каких-то интересных вещей, которых нет в документации например. Также она не показывает какие-то реальные кейсы использования

А в остальном с ней все хорошо)

Понятно, ну да, есть такое))

Сначала подумал что ты там нашел какие-то неточности и ошибочные штуки)

Я бы об этом сразу написал. А так чисто общее впечатление. И это попадает в Android Weekly =/

Начиная с Android 11 разработчикам становится доступна весьма интересная функциональность: Безопасное хранение и шаринг blob-ов между приложениями. Google говорит, что это идеальный механизм для обмена ML моделями между приложениями, но мне кажется, что это в целом очень полезная штука для экосистем приложений. Что хочу отметить особо:

🧐 API весьма "церемониальный", впрочем как и любой Google-овый;

🧊Информация отправленная в такое хранилище в рамках сессии (подробнее по ссылке) "запечатывается" и становится недоступной для изменения;

🤔Есть 3 ваарианта доступа к blob-ам: whitelist по имени пакета, приложения подписанные одинаковыми сертификатами, доступ кому попало;

#android11, #4developers

https://developer.android.com/reference/android/app/blob/BlobStoreManager

Эм, они изобрели контент провайдеры?

Да, мне тоже показалось, что это некоторая “улучшенная” версия контент провайдеров

Переосмысление концепции

тут недавно дата биндинг еще изобрели

Эксперты из компании Malwarebytes предложили новый способ удаления трояна xHelper без полной перепрошивки устройства.

Для того чтобы пережить удаление инфицированного приложения, xHelper устанавливает себя как отдельную службу и продолжает работать. Удаление службы, кстати, тоже не помогает. Как и сброс к заводским настройкам. Эксперты считают, что xHelper каким-то образом эксплуатирует процесс внутри Google Play Store для инициализации переустановки.

#xhelper, #malware, #google_play

Оригинальный пост (https://blog.malwarebytes.com/android/2020/02/new-variant-of-android-trojan-xhelper-reinfects-with-help-from-google-play/)

Адаптированная версия от ребят из Х (спасибо им за все!) (https://xakep.ru/2020/02/18/xhelper-del/)

В очередной раз отличилась компания Samsung. Ребята из Google Project Zero обнаружили, что в модели Samsung Galaxy A50 (и вероятно не только) производитель модифицировал часть ядра отвечающую за аутентификацию процессов. Изменение с одной стороны позитивное, оно позволяет сверять цифровую подпись при запуске приложений и системных служб. Но в GPZ не зря едят свой хлеб и конечно же все сломали ;)

P.S. За новость спасибо ребятам из Kaspersky Lab

#google_project_zero, #samsung, #bug

https://googleprojectzero.blogspot.com/2020/02/mitigations-are-attack-surface-too.html

Возник скорее всего нубский вопрос но все же: креды пользователя считается не секьюрным хранить как String. Как в таком случае делать валидацию по регулярке, если Matcher внутри себя на любой входной charsequence вызывает toString?

Встречный вопрос, а как их хранить секьюрно? В Int или Float? =)

CharArray

Люблю это заблуждение =)

У тебя просто не получится держать эти данные в CharArray всегда. В каком-нибудь неподконтрольном тебе месте, в библиотеке например, они все равно конвертнуться в String и попадут в пул

Это если мы про память говорим. А на диске ты все равно их будешь хранить в виде строки. Но тут уже CharArray тебя не спасет, нужно шифровать