Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

«(Не)Безопасность 101» — Григорий Джанелидзе, M...

Avatar for AvitoTech AvitoTech
March 20, 2018
Programming
0
490

«(Не)Безопасность 101» — Григорий Джанелидзе, Mosdroid

Avatar for AvitoTech

AvitoTech

March 20, 2018
Tweet

More Decks by AvitoTech

See All by AvitoTech
Один кликстрим на все бэкенды. Дмитрий Хасанов (Авито)
Avatar for AvitoTech avitotech
0
770
«Масштабируемая архитектура фронтенда» — Роман Дворнов, Avito
Avatar for AvitoTech avitotech
0
1.2k
Атомарные SPA — Александр Китов, Альфа-Банк
Avatar for AvitoTech avitotech
0
1.6k
Моделирование пользовательских предпочтений в мультимодальных данных. Hady W. Lauw, Максим Ткаченко (Singapore Management University)
Avatar for AvitoTech avitotech
0
380
Кластеризация волатильных объявлений с помощью EM-алгоритма — Василий Лексин (Avito)
Avatar for AvitoTech avitotech
0
400
«CI процессы в Android разработке Avito», Сергей Пинчук, Avito
Avatar for AvitoTech avitotech
0
430
Кластеризация волатильных объявлений с помощью EM-алгоритма — Василий Лексин (Avito)
Avatar for AvitoTech avitotech
0
110
Аналитическое хранилище Avito.ru — от больших к очень большим данным — Артем Данилов (Avito)
Avatar for AvitoTech avitotech
1
4.7k
Кросс-продуктовые эффекты, или как мы оценивали вклад «Электричек» — Екатерина Лосева (Туту.ру)
Avatar for AvitoTech avitotech
0
4.5k

Other Decks in Programming

See All in Programming
AWS CDKの推しポイントN選
Avatar for アキキー akihisaikeda
1
230
AI時代もSEOを頑張っている話
Avatar for しらはま shirahama_x
0
210
2025 컴포즈 마법사
Avatar for Ji Sungbin jisungbin
1
170
【Streamlit x Snowflake】データ基盤からアプリ開発・AI活用まで、すべてをSnowflake内で実現
Avatar for Ayumu Yamaguchi ayumu_yamaguchi
1
110
TVerのWeb内製化 - 開発スピードと品質を両立させるまでの道のり
Avatar for TVer Inc. techtver
PRO
3
1.3k
All(?) About Point Sets
Avatar for hole hole
0
240
dotfiles 式年遷宮 令和最新版
Avatar for masawada masawada
1
520
Microservices rules: What good looks like
Avatar for Chris Richardson cer
PRO
0
360
Herb to ReActionView: A New Foundation for the View Layer @ San Francisco Ruby Conference 2025
Avatar for Marco Roth marcoroth
0
240
これだけで丸わかり!LangChain v1.0 アップデートまとめ
Avatar for os1ma os1ma
6
1.2k
無秩序からの脱却 / Emergence from chaos
Avatar for nrs nrslib
2
11k
堅牢なフロントエンドテスト基盤を構築するために行った取り組み
Avatar for Shogo Fukami shogo4131
4
1.8k

Featured

See All Featured
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
225
10k
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
174
15k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
Avatar for Tammy Everts tammyeverts
10
700
Navigating Team Friction
Avatar for Lara Hogan lara
191
16k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
791
250k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
36
6.2k
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
659
61k
Rails Girls Zürich Keynote
Avatar for Gregor Martynus gr2m
95
14k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
4.1k
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
12
960
Scaling GitHub
Avatar for Zach Holman holman
464
140k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
9
690

Transcript

  1. (Не)Безопасность 101 Григорий Джанелидзе

  2. Почему поговорим: 2

  3. Про что поговорим: • Как делать точно не надо •

    Как делать скорее всего не надо • Какие инструменты существуют для разных задач • Как с этим всем жить 3

  4. 101 is a topic for beginners in any area. It

    has all the basic principles and concepts that is expected in a particular field. – Wikipedia

  5. Вся информация представлена исключительно в ознакомительных и образовательных целях. –

    я

  6. Храним ключи Demo 6

  7. 7 Храним ключи

  8. Храним ключи 8 Demo

  9. Храним ключи 9

  10. Храним ключи 10 https://github.com/KeepSafe/ReLinker

  11. Храним ключи Итоги 11 Хранить в коде Хранить в манифесте/ресурсах

    Хранить в нативной библиотеке и доставать через JNI Хранить в коде и шифровать

  12. 12 Храним ключи Инструменты •apktool •JD-GUI, ByteCode Viewer, … •IDA

    Pro, Hopper, … •если нужны только строчки: man 1 strings

  13. Обфусцируем 13 Demo

  14. 14 Обфусцируем Инструменты • smali / backsmali • https://github.com/CalebFenton/simplify •

    frida, xposed, … • https://github.com/xoreaxeaxeax/movfuscator

  15. 15

  16. 16 Обфусцируем Итоги •ProGuard полезный и его в любом случае

    надо включить •Но он не спасет •Ревью любых изменений в конфиге ProGuard’а ≠ обычное кодревью •декомпилируйте и пытайтесь реверсить

  17. 17 Обфусцируем Итоги •Я уже говорил, что не надо использовать

    JNI для «безопасности»? •ProGuard не трогает все методы с модификатором native •Выпиливайте логи, имена переменных, …

  18. 18 Обфусцируем Зло •Consumer ProGuard Files

  19. 19 Обфусцируем Зло ¯\_(ツ)_/¯ (спасибо Google, стало удобнее)

  20. Сопротивляемся 20 Demo

  21. 21 Сопротивляемся Итоги •Debug.isDebuggerConnected() •не надо •лайфхаки с ptrace •могут

    быть полезными •миграция с json’а на protobuf, flatbuf, … •поможет, но не сильно

  22. 22 Сопротивляемся Итоги •SSL pinning нужен и спасёт •…но не

    от реверсинжиниринга

  23. 23 Сопротивляемся Инструменты •man 1 ps •gdb, lldb, … •frida,

    xposed, …

  24. Как быть? 24 •Пользоваться проприетарными решениями •DexGuard, SecNeo, DexProtector, …

    •Если есть ресурсы и время, то делать свое

  25. Заключение • Всегда нужно понимать, что делаешь • Проверяйте любые

    советы по безопасности на практике • , но с этим надо жить 25

  26. И если что: 26 На iOS всё не сильно лучше

    (но это тема отдельного выступления)

  27. 27 Спасибо за внимание

  28. 28 t.me/androidguards