Size: a a a

Android NDK (C++) — русскоговорящее сообщество

2020 March 21

0

0x1de in Android NDK (C++) — русскоговорящее сообщество
Arkadi Tolkun
Так можно же каждый раз генерировать новый ключ (для сессии или раз в день). Шифровать его публичным ключом  RSA и отправлять вместе с запросами.
Что будет мешать атакующему делать запрос по незашифрованному каналу и получать эти ключи?
источник

k

k1ceargy in Android NDK (C++) — русскоговорящее сообщество
SSL Pinning отключается легко, если что.
источник

k

k1ceargy in Android NDK (C++) — русскоговорящее сообщество
Что такое?
источник

AT

Arkadi Tolkun in Android NDK (C++) — русскоговорящее сообщество
0x1de
Что будет мешать атакующему делать запрос по незашифрованному каналу и получать эти ключи?
Ваш сервер - ваши правила :)
источник

M

Max in Android NDK (C++) — русскоговорящее сообщество
k1ceargy
Что такое?
Уверен, есть способы детектить фриду.
источник

BT

BadManners Team in Android NDK (C++) — русскоговорящее сообщество
Max
Уверен, есть способы детектить фриду.
а у фриды еще больше способов хукать детекты
источник

k

k1ceargy in Android NDK (C++) — русскоговорящее сообщество
Фрида может сделать так, чтобы приложение не видело ее
источник

0

0x1de in Android NDK (C++) — русскоговорящее сообщество
Arkadi Tolkun
Ваш сервер - ваши правила :)
Я вас услышал. Использовать другую платформу, нет смысла защищать чем то серьёзным, генерировать ключи и отдавать по незашифрованному каналу, свой сервер свои правила.

Благодарю за время
источник

k

k1ceargy in Android NDK (C++) — русскоговорящее сообщество
0x1de
Я вас услышал. Использовать другую платформу, нет смысла защищать чем то серьёзным, генерировать ключи и отдавать по незашифрованному каналу, свой сервер свои правила.

Благодарю за время
отправляете на сервак ключ, там подписываете его)
источник

k

k1ceargy in Android NDK (C++) — русскоговорящее сообщество
И возвращаете в приложение
источник

AT

Arkadi Tolkun in Android NDK (C++) — русскоговорящее сообщество
0x1de
Я вас услышал. Использовать другую платформу, нет смысла защищать чем то серьёзным, генерировать ключи и отдавать по незашифрованному каналу, свой сервер свои правила.

Благодарю за время
Передавать по незащищенному каналу зашифрованные данные.
источник

M

Max in Android NDK (C++) — русскоговорящее сообщество
k1ceargy
Фрида может сделать так, чтобы приложение не видело ее
От сервака, возможно, не спрячешься, но гаджет легко детектить
источник

k

k1ceargy in Android NDK (C++) — русскоговорящее сообщество
Max
От сервака, возможно, не спрячешься, но гаджет легко детектить
Это да
источник

M

Max in Android NDK (C++) — русскоговорящее сообщество
Никаких строк быть не должно
источник

AT

Arkadi Tolkun in Android NDK (C++) — русскоговорящее сообщество
Генерим новый рандомный ключ для симметричного алгоритма. Им шифруем данные. Ключ шифруем ассиметричным. Зашифрованный ключ отсылаем вместе с данными. На сервере берём зашифрованный ключ и расшифровываем его второй частью ключа (приватной) от ассиметричного алгоритма. Уже им расшифровываем основные данные. Если задача не хранить в коде ключи от симметричного алгоритма ...
источник

0

0x1de in Android NDK (C++) — русскоговорящее сообщество
k1ceargy
отправляете на сервак ключ, там подписываете его)
Что мешает атакующему скопировать этот ключ отправить на сервер и получить подписанную версию ключа?
источник

k

k1ceargy in Android NDK (C++) — русскоговорящее сообщество
Max
Никаких строк быть не должно
А как из прятать? Вот это не понимаю
источник

M

Max in Android NDK (C++) — русскоговорящее сообщество
k1ceargy
А как из прятать? Вот это не понимаю
Либо шифрование использовать, либо что-то похожее. Лучше вместо строк использовать массив.
источник

M

Max in Android NDK (C++) — русскоговорящее сообщество
uint32_t str_xt1[45] = {
   0x9EФ2C101,
   0x84B5C9F6,
источник

k

k1ceargy in Android NDK (C++) — русскоговорящее сообщество
Max
Либо шифрование использовать, либо что-то похожее. Лучше вместо строк использовать массив.
А, с массивом видел много ситуаций
источник