Главная

Рубрика «android security»

Секреты под защитой: как мы спрятали ключи приложения с помощью Gradle-плагина

2025-12-03 в 10:16, admin, рубрики: android gradle plugin, android security

Всем привет, Я, Назаров Александр, техлид в платформенной команде Android SMLab.
Тема безопасности становится актуальнее день ото дня.
Вот и у нас встал вопрос безопасности данных в приложениях.
Хотел поделиться опытом как мы скрыли секреты из исходников мобильного приложения.

Проблема: секреты в коде — это зло

Наверное каждый разработчик знает, что хранить значения паролей, ключей, токенов доступа к системам в исходниках это подарок для злоумышленника.

Подобный код может выглядеть так:

object ApiKeys {
    const val MAPS_KEY = "AIzaSyA***************"
    const val BACKEND_TOKEN = "secret_token_123"
}

Читать полностью »

Изучаем MITRE ATT&CK. Mobile Matrices: Device Access. Часть 2

2019-06-04 в 13:39, admin, рубрики: Abuse Device Administrator Access, Android Runtime, android security, att&ck, BOOT_COMPLITED, Exploit OS, iOS security, KNOX, mobile attack, Mobile Matrices, Modify OS Kernel, SafetyNet, Samsung, TEE, Trusted Execution Environment, анализ мобильных приложений, атаки на мобильные устройства, безопасность Android, безопасность ios, безопасность мобильных приложений, доступ администратора устройства, информационная безопасность, модификация ядра, уязвимости, эксплойты

Закрепление (Persistence) и Эскалация привилегий (Privilege Escalation)

Ссылки на все части:
Часть 1. Первоначальный доступ к мобильному устройству (Initial Access)

Техники закрепления описывают способы получения прав доступа, изменения конфигурации мобильного устройства и иные действия, в результате которых злоумышленник обеспечивает постоянство своего присутствия в системе. Зачастую противник вынужден поддерживать доступ к мобильному устройству несмотря на приостановки работы ОС в результате перезагрузки или сброса системы к заводским настройкам.

Закрепившись в системе, противник получает возможность «входа» на мобильное устройства, но вероятно, с очень лимитированными правами. Однако, воспользовавшись слабостями защиты, противник может получить более высокие привилегии, необходимые для достижения цели атаки.
Читать полностью »

Динамическое тестирование Андроид приложений

2018-12-11 в 14:46, admin, рубрики: android, android security, application security, Аналитика мобильных приложений, информационная безопасность, Разработка под android

Динамическое тестирование Андроид приложений - 1
Динамическое тестирование проводится с целью выявить уязвимости по время функционирования приложения. В данной статье хочу поделиться нескольким способамии тестирования приложения под Андроид. Также покажу как конфигурировать и настраивать оборудование. Кому интересно, добро пожаловать под кат.
Читать полностью »

Публикации RSS | Комментарии RSS

https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js

Информация

Комментарии

Рекомендуем