Upgrade to Pro — share decks privately, control downloads, hide ads and more …

«(Не)Безопасность 101» — Григорий Джанелидзе, M...

AvitoTech
March 20, 2018
Programming
0
400

«(Не)Безопасность 101» — Григорий Джанелидзе, Mosdroid

AvitoTech

March 20, 2018
Tweet

More Decks by AvitoTech

See All by AvitoTech
Один кликстрим на все бэкенды. Дмитрий Хасанов (Авито)
avitotech
0
690
«Масштабируемая архитектура фронтенда» — Роман Дворнов, Avito
avitotech
0
980
Атомарные SPA — Александр Китов, Альфа-Банк
avitotech
0
1.3k
Моделирование пользовательских предпочтений в мультимодальных данных. Hady W. Lauw, Максим Ткаченко (Singapore Management University)
avitotech
0
310
Кластеризация волатильных объявлений с помощью EM-алгоритма — Василий Лексин (Avito)
avitotech
0
320
«CI процессы в Android разработке Avito», Сергей Пинчук, Avito
avitotech
0
360
Кластеризация волатильных объявлений с помощью EM-алгоритма — Василий Лексин (Avito)
avitotech
0
69
Аналитическое хранилище Avito.ru — от больших к очень большим данным — Артем Данилов (Avito)
avitotech
1
4.6k
Кросс-продуктовые эффекты, или как мы оценивали вклад «Электричек» — Екатерина Лосева (Туту.ру)
avitotech
0
4.4k

Other Decks in Programming

See All in Programming
とにかくAWS GameDay!AWSは世界の共通言語! / Anyway, AWS GameDay! AWS is the world's lingua franca!
seike460
PRO
1
860
.NET のための通信フレームワーク MagicOnion 入門 / Introduction to MagicOnion
mayuki
1
1.5k
WebフロントエンドにおけるGraphQL(あるいはバックエンドのAPI)との向き合い方 / #241106_plk_frontend
izumin5210
4
1.4k
聞き手から登壇者へ: RubyKaigi2024 LTでの初挑戦が 教えてくれた、可能性の星
mikik0
1
130
AWS Lambdaから始まった
Serverlessの「熱」とキャリアパス / It started with AWS Lambda Serverless “fever” and career path
seike460
PRO
1
260
Contemporary Test Cases
maaretp
0
140
『ドメイン駆動設計をはじめよう』のモデリングアプローチ
masuda220
PRO
8
540
Duckdb-Wasmでローカルダッシュボードを作ってみた
nkforwork
0
120
初めてDefinitelyTypedにPRを出した話
syumai
0
410
GitHub Actionsのキャッシュと手を挙げることの大切さとそれに必要なこと
satoshi256kbyte
5
430
NSOutlineView何もわからん:( 前編 / I Don't Understand About NSOutlineView :( Pt. 1
usagimaru
0
330
「今のプロジェクトいろいろ大変なんですよ、app/services とかもあって……」/After Kaigi on Rails 2024 LT Night
junk0612
5
2.1k

Featured

See All Featured
We Have a Design System, Now What?
morganepeng
50
7.2k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
26
2.1k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
229
52k
How to train your dragon (web standard)
notwaldorf
88
5.7k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
1.9k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.1k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
28
8.2k
Documentation Writing (for coders)
carmenintech
65
4.4k
Making the Leap to Tech Lead
cromwellryan
133
8.9k
How To Stay Up To Date on Web Technology
chriscoyier
788
250k
GitHub's CSS Performance
jonrohan
1030
460k
How to Think Like a Performance Engineer
csswizardry
20
1.1k

Transcript

  1. (Не)Безопасность 101 Григорий Джанелидзе

  2. Почему поговорим: 2

  3. Про что поговорим: • Как делать точно не надо •

    Как делать скорее всего не надо • Какие инструменты существуют для разных задач • Как с этим всем жить 3

  4. 101 is a topic for beginners in any area. It

    has all the basic principles and concepts that is expected in a particular field. – Wikipedia

  5. Вся информация представлена исключительно в ознакомительных и образовательных целях. –

    я

  6. Храним ключи Demo 6

  7. 7 Храним ключи

  8. Храним ключи 8 Demo

  9. Храним ключи 9

  10. Храним ключи 10 https://github.com/KeepSafe/ReLinker

  11. Храним ключи Итоги 11 Хранить в коде Хранить в манифесте/ресурсах

    Хранить в нативной библиотеке и доставать через JNI Хранить в коде и шифровать

  12. 12 Храним ключи Инструменты •apktool •JD-GUI, ByteCode Viewer, … •IDA

    Pro, Hopper, … •если нужны только строчки: man 1 strings

  13. Обфусцируем 13 Demo

  14. 14 Обфусцируем Инструменты • smali / backsmali • https://github.com/CalebFenton/simplify •

    frida, xposed, … • https://github.com/xoreaxeaxeax/movfuscator

  15. 15

  16. 16 Обфусцируем Итоги •ProGuard полезный и его в любом случае

    надо включить •Но он не спасет •Ревью любых изменений в конфиге ProGuard’а ≠ обычное кодревью •декомпилируйте и пытайтесь реверсить

  17. 17 Обфусцируем Итоги •Я уже говорил, что не надо использовать

    JNI для «безопасности»? •ProGuard не трогает все методы с модификатором native •Выпиливайте логи, имена переменных, …

  18. 18 Обфусцируем Зло •Consumer ProGuard Files

  19. 19 Обфусцируем Зло ¯\_(ツ)_/¯ (спасибо Google, стало удобнее)

  20. Сопротивляемся 20 Demo

  21. 21 Сопротивляемся Итоги •Debug.isDebuggerConnected() •не надо •лайфхаки с ptrace •могут

    быть полезными •миграция с json’а на protobuf, flatbuf, … •поможет, но не сильно

  22. 22 Сопротивляемся Итоги •SSL pinning нужен и спасёт •…но не

    от реверсинжиниринга

  23. 23 Сопротивляемся Инструменты •man 1 ps •gdb, lldb, … •frida,

    xposed, …

  24. Как быть? 24 •Пользоваться проприетарными решениями •DexGuard, SecNeo, DexProtector, …

    •Если есть ресурсы и время, то делать свое

  25. Заключение • Всегда нужно понимать, что делаешь • Проверяйте любые

    советы по безопасности на практике • , но с этим надо жить 25

  26. И если что: 26 На iOS всё не сильно лучше

    (но это тема отдельного выступления)

  27. 27 Спасибо за внимание

  28. 28 t.me/androidguards