AW
А если я например захочу запретить само-выгрузку приложения через смали?
Size: a a a
2021 January 25
AW
Либо остановить время для приложения, что-бы счет до выгрузки не доходил.
Я
Не понял под "само-выгрузка" и причём здесь смали
AW
AW
Не понял под "само-выгрузка" и причём здесь смали
В смали записать сам пач.
AW
Я позже покажу сам принцип, если смогу найти сам пач у себя.
AW
Он пытается запретить краш и выгрузку процесса приложения.
AW
В противном случае показывает на саму ошибку
Я
В смали записать сам пач.
Вариантов куча есть:)
1. Самое простое убрать System.exit(0);
2. Вырезать саму проверку подписи
3. Подменить хеш подписи на оригинальный (хуки и тд.)
4. Инвертировать условие на проверке
5. что ещё придёт в голову
1. Самое простое убрать System.exit(0);
2. Вырезать саму проверку подписи
3. Подменить хеш подписи на оригинальный (хуки и тд.)
4. Инвертировать условие на проверке
5. что ещё придёт в голову
Я
В смали любая проверка подписи на базе PackageInfo ищется легко
А дальше не сложно догадаться что происходит
Landroid/content/pm/PackageInfo;->signatures:[Landroid/content/pm/Signature;А дальше не сложно догадаться что происходит
Я
Все эти валидации в jvm полная фигня без дополнительных защит в нативе или упаковщика, которые тоже нативный. Хотите хорошую защиту - пилите в нативе на рефлексии с шифрованием строк
Я
@OxFi5t кстати, не встречал ещё проверок подписи схемы v2 в нативе? Мне интересно посмотреть как они там будут реализованы
R
AW
Ни разу не доводилось делать свои проекты, максимум приложения с простейшим функционалом 😎.
AW
Я пока нубик, в чужих кодах копаюсь)
RS
Всем привет!
Кто-то сталкивался с таким, что нужно защитить локальным (!) пин-кодом доступ к KeyStore?
То есть, юзер вводит пин-код в приложении, и после этого получает доступ к ключу в KeyStore, который уже используется для своих нужд.
Биометрия не подходит.
KeyStore не поддерживает юзер-пароли. Как-бы все aliases, все ключи, уже доступны для использования в приложении, как только приложение запускается, я правильно понимаю?
Это действительно безопасно?
Какой самый адекватный способ сделать эту защиту ключу только поссле ввода локального пин-кода?
Есть мысль хранить PIN-код как KeyName с userID или чем-то таким, и делать проверку, что такой ключ есть, но не знаю на сколько это будет секьюрно.
Кто-то сталкивался с таким, что нужно защитить локальным (!) пин-кодом доступ к KeyStore?
То есть, юзер вводит пин-код в приложении, и после этого получает доступ к ключу в KeyStore, который уже используется для своих нужд.
Биометрия не подходит.
KeyStore не поддерживает юзер-пароли. Как-бы все aliases, все ключи, уже доступны для использования в приложении, как только приложение запускается, я правильно понимаю?
Это действительно безопасно?
Какой самый адекватный способ сделать эту защиту ключу только поссле ввода локального пин-кода?
Есть мысль хранить PIN-код как KeyName с userID или чем-то таким, и делать проверку, что такой ключ есть, но не знаю на сколько это будет секьюрно.
KI
насколько мне известно в KeyStore на каждую пару ключей можно пароль поставить
KI
есть сторы и без паролей, например где хранятся только серты
KI
там не зря есть метод getSecurityEntry с паролем в аргументах, насколько я помню
KI
Всем привет!
Кто-то сталкивался с таким, что нужно защитить локальным (!) пин-кодом доступ к KeyStore?
То есть, юзер вводит пин-код в приложении, и после этого получает доступ к ключу в KeyStore, который уже используется для своих нужд.
Биометрия не подходит.
KeyStore не поддерживает юзер-пароли. Как-бы все aliases, все ключи, уже доступны для использования в приложении, как только приложение запускается, я правильно понимаю?
Это действительно безопасно?
Какой самый адекватный способ сделать эту защиту ключу только поссле ввода локального пин-кода?
Есть мысль хранить PIN-код как KeyName с userID или чем-то таким, и делать проверку, что такой ключ есть, но не знаю на сколько это будет секьюрно.
Кто-то сталкивался с таким, что нужно защитить локальным (!) пин-кодом доступ к KeyStore?
То есть, юзер вводит пин-код в приложении, и после этого получает доступ к ключу в KeyStore, который уже используется для своих нужд.
Биометрия не подходит.
KeyStore не поддерживает юзер-пароли. Как-бы все aliases, все ключи, уже доступны для использования в приложении, как только приложение запускается, я правильно понимаю?
Это действительно безопасно?
Какой самый адекватный способ сделать эту защиту ключу только поссле ввода локального пин-кода?
Есть мысль хранить PIN-код как KeyName с userID или чем-то таким, и делать проверку, что такой ключ есть, но не знаю на сколько это будет секьюрно.
А вообще у @OxFi5t есть хорошая статейка про защиту пином =) https://habr.com/ru/company/redmadrobot/blog/475112/
