Upgrade to Pro — share decks privately, control downloads, hide ads and more …

«(Не)Безопасность 101» — Григорий Джанелидзе, M...

Avatar for AvitoTech AvitoTech
March 20, 2018
Programming
0
500

«(Не)Безопасность 101» — Григорий Джанелидзе, Mosdroid

Avatar for AvitoTech

AvitoTech

March 20, 2018
Tweet

More Decks by AvitoTech

See All by AvitoTech
Один кликстрим на все бэкенды. Дмитрий Хасанов (Авито)
Avatar for AvitoTech avitotech
0
790
«Масштабируемая архитектура фронтенда» — Роман Дворнов, Avito
Avatar for AvitoTech avitotech
0
1.2k
Атомарные SPA — Александр Китов, Альфа-Банк
Avatar for AvitoTech avitotech
0
1.7k
Моделирование пользовательских предпочтений в мультимодальных данных. Hady W. Lauw, Максим Ткаченко (Singapore Management University)
Avatar for AvitoTech avitotech
0
380
Кластеризация волатильных объявлений с помощью EM-алгоритма — Василий Лексин (Avito)
Avatar for AvitoTech avitotech
0
400
«CI процессы в Android разработке Avito», Сергей Пинчук, Avito
Avatar for AvitoTech avitotech
0
440
Кластеризация волатильных объявлений с помощью EM-алгоритма — Василий Лексин (Avito)
Avatar for AvitoTech avitotech
0
110
Аналитическое хранилище Avito.ru — от больших к очень большим данным — Артем Данилов (Avito)
Avatar for AvitoTech avitotech
1
4.8k
Кросс-продуктовые эффекты, или как мы оценивали вклад «Электричек» — Екатерина Лосева (Туту.ру)
Avatar for AvitoTech avitotech
0
4.6k

Other Decks in Programming

See All in Programming
組織で育むオブザーバビリティ
Avatar for ryotaro kobayashi ryota_hnk
0
170
登壇資料を作る時に意識していること #登壇資料_findy
Avatar for konifar konifar
4
950
0→1 フロントエンド開発 Tips🚀 #レバテックMeetup
Avatar for 弁護士ドットコム bengo4com
0
540
Vibe Coding - AI 驅動的軟體開發
Avatar for Micky Li mickyp100
0
170
Amazon Bedrockを活用したRAGの品質管理パイプライン構築
Avatar for とすり tosuri13
4
250
React 19でつくる「気持ちいいUI」- 楽観的UIのすすめ
Avatar for Hiroshi Morishige himorishige
11
5.9k
MUSUBIXとは
Avatar for Hisaho nahisaho
0
130
生成AIを使ったコードレビューで定性的に品質カバー
Avatar for Chiaki Okamoto chiilog
1
240
AIエージェント、”どう作るか”で差は出るか? / AI Agents: Does the "How" Make a Difference?
Avatar for r-kagaya rkaga
4
2k
例外処理とどう使い分ける?Result型を使ったエラー設計 #burikaigi
Avatar for Takuma Kajikawa kajitack
16
6k
OSSとなったswift-buildで Xcodeのビルドを差し替えられるため 自分でXcodeを直せる時代になっている ダイアモンド問題編
Avatar for yimajo yimajo
3
610
AIエージェントの設計で注意するべきポイント6選
Avatar for Har1101 har1101
7
3.4k

Featured

See All Featured
Kristin Tynski - Automating Marketing Tasks With AI
Avatar for Tech SEO Connect techseoconnect
PRO
0
130
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
49
9.8k
Git: the NoSQL Database
Avatar for Brandon Keepers bkeepers
PRO
432
66k
A Soul's Torment
Avatar for Nat Ma seathinner
5
2.2k
Jess Joyce - The Pitfalls of Following Frameworks
Avatar for Tech SEO Connect techseoconnect
PRO
1
63
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
Avatar for Takuto Wada twada
PRO
117
110k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.6k
Beyond borders and beyond the search box: How to win the global "messy middle" with AI-driven SEO
Avatar for David Carrasco davidcarrasco
1
49
Leveraging Curiosity to Care for An Aging Population
Avatar for Cassini Nazir cassininazir
1
150
Chasing Engaging Ingredients in Design
Avatar for Sebastian Deterding codingconduct
0
110
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
239
140k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
671
58k

Transcript

  1. (Не)Безопасность 101 Григорий Джанелидзе

  2. Почему поговорим: 2

  3. Про что поговорим: • Как делать точно не надо •

    Как делать скорее всего не надо • Какие инструменты существуют для разных задач • Как с этим всем жить 3

  4. 101 is a topic for beginners in any area. It

    has all the basic principles and concepts that is expected in a particular field. – Wikipedia

  5. Вся информация представлена исключительно в ознакомительных и образовательных целях. –

    я

  6. Храним ключи Demo 6

  7. 7 Храним ключи

  8. Храним ключи 8 Demo

  9. Храним ключи 9

  10. Храним ключи 10 https://github.com/KeepSafe/ReLinker

  11. Храним ключи Итоги 11 Хранить в коде Хранить в манифесте/ресурсах

    Хранить в нативной библиотеке и доставать через JNI Хранить в коде и шифровать

  12. 12 Храним ключи Инструменты •apktool •JD-GUI, ByteCode Viewer, … •IDA

    Pro, Hopper, … •если нужны только строчки: man 1 strings

  13. Обфусцируем 13 Demo

  14. 14 Обфусцируем Инструменты • smali / backsmali • https://github.com/CalebFenton/simplify •

    frida, xposed, … • https://github.com/xoreaxeaxeax/movfuscator

  15. 15

  16. 16 Обфусцируем Итоги •ProGuard полезный и его в любом случае

    надо включить •Но он не спасет •Ревью любых изменений в конфиге ProGuard’а ≠ обычное кодревью •декомпилируйте и пытайтесь реверсить

  17. 17 Обфусцируем Итоги •Я уже говорил, что не надо использовать

    JNI для «безопасности»? •ProGuard не трогает все методы с модификатором native •Выпиливайте логи, имена переменных, …

  18. 18 Обфусцируем Зло •Consumer ProGuard Files

  19. 19 Обфусцируем Зло ¯\_(ツ)_/¯ (спасибо Google, стало удобнее)

  20. Сопротивляемся 20 Demo

  21. 21 Сопротивляемся Итоги •Debug.isDebuggerConnected() •не надо •лайфхаки с ptrace •могут

    быть полезными •миграция с json’а на protobuf, flatbuf, … •поможет, но не сильно

  22. 22 Сопротивляемся Итоги •SSL pinning нужен и спасёт •…но не

    от реверсинжиниринга

  23. 23 Сопротивляемся Инструменты •man 1 ps •gdb, lldb, … •frida,

    xposed, …

  24. Как быть? 24 •Пользоваться проприетарными решениями •DexGuard, SecNeo, DexProtector, …

    •Если есть ресурсы и время, то делать свое

  25. Заключение • Всегда нужно понимать, что делаешь • Проверяйте любые

    советы по безопасности на практике • , но с этим надо жить 25

  26. И если что: 26 На iOS всё не сильно лучше

    (но это тема отдельного выступления)

  27. 27 Спасибо за внимание

  28. 28 t.me/androidguards