если говорить о самом сторе, то я видел провайдеры которые проверяют количество попыток ввода пароля, но брутить такие все ещё можно, если заново стор открывать, если я все правильно помню

Если эти проверки живут в рамках ОС, то толку от них не много.

Ну вот ключи андроидкейстора как раз живут за рамками ОС, и теоретически ТЕЕ может также со своей стороны накладывать ограничения на вызов операций с ними, но честно говоря, я сомневаюсь что это делается. Поэтому если я смогу пропехнуть и подключить например фриду к приложению и в месте операции с проверкой пин-кода попробовать не один а перебрать все 10^4 вариантов до получения успеха, то кейстор вряд ли не даст мне сделать это.

Правда какой реальный сценарий атаки на реальные данные на реальном устройстве таким образом можно провернуть я придумать не могу. Получается "можно, но зачем?" как на известной картинке с троллейбусом из буханки хлеба на линуксе)

Просто представляю это так:

KeyStore генерирует ключ, и хранит его в аппаратном хранилище, которые должно быть прям мега-секюрное, что даже root туда не зайдет.
И эти ключи доступны только моему приложению в виде списка ключей (мои aliases видны только моему приложению).

И каждый из этих ключей может использовать для шифровки и расшифровки какой-то информации.

Если я в чем-то тут не прав, плиз, поправьте.

И то, что в приложении я доступ к ключу получаю, просто по его имени, у меня складывается оущщение, что это не безопасно)

Ну и я каждому юзеру создаю отдельный alias, отдельные ключи. Но чисто технически, даже когда у меня залогинен один юзер, у меня есть ключи всех пользователей, просто по alias. И это мне тоже показалось не очень безопасным.

Всем спасибо за объяснения)

Ну алиасом может быть хеш от пароля (не от пина, это перебирается)

А, да, список алиасов он выдает

Многие из вас используют JADX и наверняка видели там функцию экспорта декомпилированных исходников в виде Gradle проекта. Мне эта функция всегда не нравилась, потому что она экспортировала проект в старом формате и проще был ей не пользоваться чем постоянно исправлять результат этого экспорта. В какой-то момент я нашел в себе силы и решил "все пофиксить". И пофиксил =) А еще закинул PR в основной репозиторий и его уже приняли. Так что если кому-то этой штуки не хватало, то теперь она у вас есть.

https://github.com/skylot/jadx/pull/1097

Многие из вас используют JADX и наверняка видели там функцию экспорта декомпилированных исходников в виде Gradle проекта. Мне эта функция всегда не нравилась, потому что она экспортировала проект в старом формате и проще был ей не пользоваться чем постоянно исправлять результат этого экспорта. В какой-то момент я нашел в себе силы и решил "все пофиксить". И пофиксил =) А еще закинул PR в основной репозиторий и его уже приняли. Так что если кому-то этой штуки не хватало, то теперь она у вас есть.

https://github.com/skylot/jadx/pull/1097

Многие из вас используют JADX и наверняка видели там функцию экспорта декомпилированных исходников в виде Gradle проекта. Мне эта функция всегда не нравилась, потому что она экспортировала проект в старом формате и проще был ей не пользоваться чем постоянно исправлять результат этого экспорта. В какой-то момент я нашел в себе силы и решил "все пофиксить". И пофиксил =) А еще закинул PR в основной репозиторий и его уже приняли. Так что если кому-то этой штуки не хватало, то теперь она у вас есть.

https://github.com/skylot/jadx/pull/1097

Многие из вас используют JADX и наверняка видели там функцию экспорта декомпилированных исходников в виде Gradle проекта. Мне эта функция всегда не нравилась, потому что она экспортировала проект в старом формате и проще был ей не пользоваться чем постоянно исправлять результат этого экспорта. В какой-то момент я нашел в себе силы и решил "все пофиксить". И пофиксил =) А еще закинул PR в основной репозиторий и его уже приняли. Так что если кому-то этой штуки не хватало, то теперь она у вас есть.

https://github.com/skylot/jadx/pull/1097