В тз написано что база и из реестра - придется предъявлять)

привет. есть спецы по реверс-инжинирингу? успешную работу оплачу.

Ага, скачай одно китайское барахло и привет 10 неизвестных папок и файлов:)

жду в лс.

актуально

Вряд-ли от количества сообщений прибавиться количество свободных реверсеров 😉

Закинул инфу, дождись ответа.

пиши сюда что нужно

Алгоритм шифрования достать с большой прилы. Подробности в лс

В androidx есть такая библиотека: security-crypto. Многие о ней знают и используют. Была у нее только одна поблема, которая будоражила умы н̶е̶к̶р̶о̶ф̶и̶л̶о̶в любителей поддерживать старые версии android: minSdk=23. Сделано это было не от хорошей жизни, т.к. на версии ниже 23 (она же М) нельзя хранить симметричные ключи в AndroidKeystore. Для этого всегда изобретались дичайшие костыли и приседания вокруг асимметричной крипты в KeyChain. Видимо поэтому команда решила в это не играть, и отрубить старые версии. Но "Google идет нам навстречу" и даже иногда читает issue на своем трекере. Буквально вчера, нашим спецкореспондентом был замечен коммит, который устанавливает minSdk=21. Этот же коммит проводит некоторые косметические изменения, но не более. Ключи на версии ниже 23 не будут храниться в AndroidKeystore. Совершенно непонятно почему бы не сделать так сразу, т.к. используемый под капотом этой библиотеки Tink всегда работал на версии 21.

#androidx_security, #security_best_practice

Запись вебинара от Eric Lafortune (CTO в Guardsquare). Обсуждаются следующие темы:
- Какие существуют угрозы безопасности мобильных приложений и сценарии атак
- Как реализовать многослойную защиту против этих атак
- Шаги по повышению безопасности приложения: shrinking, optimization, obfuscation

Сам вебинар был доступен только для сотрудников компаний (требовался корп.мыльник), но я любезно перезалил его на ютуб. Сам вебинар предназначен для разработчиков, которые ничего не понимают в безопасности, архитекторов без мобильного бэкграунда, технических директоров и (возможно) менеджеров.

#video

https://youtu.be/Ql4q-mGmXkA

Нашел удобный плагин для утилиты Dependency-Check от OWASP. Наличие этого плагина позволяет встроить ее использование в рабочий процесс, а значит сделать приложения безопаснее. Как следует из названия, это утилита для проверки зависимостей вашего проекта на security уязвимости. Начать использовать ее довольно просто.

🛠 Подключить плагин в корневой build.gradle

buildscript {
   repositories {
       mavenCentral()
   }
   dependencies {
       classpath 'org.owasp:dependency-check-gradle:5.3.2'
   }
}


📲 Добавить плагин в модуль приложения

apply plugin: 'com.android.application'
...
apply plugin: 'org.owasp.dependencycheck'


💻 Выполнить команду

./gradlew dependencyCheckAnalyze


Отчет об уязвимостях появится в app/build/reports.

#4developers, #security_best_practice

Ребята из Guardsquare, сообщают, что новая версия ProGuard (и конечно же DexGuard) научилась удалять аннотацию @Metadata у kotlin-классов. Если кто не вкурсе проблемы, то эта штука сводила на нет все усилия по обфускации кода, т.к. по этой аннотации можно было восстановить исходные имена полей, методов и самого класса. Теперь это в прошлом. А чтобы проверить свой код они также выпустили утилиту Kotlin Metadata Printer. Утилита доступна как в виде сервиса на сайте, так и в виде исходных кодов.

P.S. Но возможность узнать оригинальное имя класса и полей все еще существует. Догадайтесь как 😉

#proguard, #4developers

https://www.guardsquare.com/en/blog/why-mobile-developers-must-better-protect-their-kotlin-apps%E2%80%94and-how-do-it

а мой коммит в jadx, который позволял это парсить так и не релизнулся, пичаль

Да? Хорошо, что я не стал им это пулреквестить. Была мысль доработать существующий там деобфускатор.

в мастере лежит, с методами не стал заморачиваться только имена классов парсил

А есть ссылка на коммит? Я давно хочу добраться до jadx и чего-нить туда поконтрибьютить. А то он местами очень плохо работает, хотя сам тул хороший

В мастере основного Jadx?

да

Спасибо, соберу себе