Upgrade to Pro — share decks privately, control downloads, hide ads and more …

«(Не)Безопасность 101» — Григорий Джанелидзе, M...

Avatar for AvitoTech AvitoTech
March 20, 2018
Programming
0
490

«(Не)Безопасность 101» — Григорий Джанелидзе, Mosdroid

Avatar for AvitoTech

AvitoTech

March 20, 2018
Tweet

More Decks by AvitoTech

See All by AvitoTech
Один кликстрим на все бэкенды. Дмитрий Хасанов (Авито)
Avatar for AvitoTech avitotech
0
780
«Масштабируемая архитектура фронтенда» — Роман Дворнов, Avito
Avatar for AvitoTech avitotech
0
1.2k
Атомарные SPA — Александр Китов, Альфа-Банк
Avatar for AvitoTech avitotech
0
1.7k
Моделирование пользовательских предпочтений в мультимодальных данных. Hady W. Lauw, Максим Ткаченко (Singapore Management University)
Avatar for AvitoTech avitotech
0
380
Кластеризация волатильных объявлений с помощью EM-алгоритма — Василий Лексин (Avito)
Avatar for AvitoTech avitotech
0
400
«CI процессы в Android разработке Avito», Сергей Пинчук, Avito
Avatar for AvitoTech avitotech
0
440
Кластеризация волатильных объявлений с помощью EM-алгоритма — Василий Лексин (Avito)
Avatar for AvitoTech avitotech
0
110
Аналитическое хранилище Avito.ru — от больших к очень большим данным — Артем Данилов (Avito)
Avatar for AvitoTech avitotech
1
4.8k
Кросс-продуктовые эффекты, или как мы оценивали вклад «Электричек» — Екатерина Лосева (Туту.ру)
Avatar for AvitoTech avitotech
0
4.6k

Other Decks in Programming

See All in Programming
令和最新版Android Studioで化石デバイス向けアプリを作る
Avatar for Sora Arakawa arkw
0
470
クラウドに依存しないS3を使った開発術
Avatar for しめさば simesaba80
0
200
Claude Codeの「Compacting Conversation」を体感50%減! CLAUDE.md + 8 Skills で挑むコンテキスト管理術
Avatar for Kazuki Murahama kmurahama
1
690
AI時代を生き抜く 新卒エンジニアの生きる道
Avatar for coconala_engineer coconala_engineer
1
490
ThorVG Viewer In VS Code
Avatar for Nor-s nors
0
500
gunshi
Avatar for kazupon kazupon
1
130
大規模Cloud Native環境におけるFalcoの運用
Avatar for Chihiro Hasegawa owlinux1000
0
230
Patterns of Patterns
Avatar for Denys Poltorak denyspoltorak
0
400
GoLab2025 Recap
Avatar for kuro kuro_kurorrr
0
790
リリース時」テストから「デイリー実行」へ!開発マネージャが取り組んだ、レガシー自動テストのモダン化戦略
Avatar for goataka (GOAMI Takaaki) goataka
0
150
公共交通オープンデータ × モバイルUX 複雑な運行情報を 『直感』に変換する技術
Avatar for Tsubasa SEKIGUCHI tinykitten
PRO
0
180
実はマルチモーダルだった。ブラウザの組み込みAI🧠でWebの未来を感じてみよう #jsfes #gemini
Avatar for n0bisuke n0bisuke2
3
1.4k

Featured

See All Featured
Getting science done with accelerated Python computing platforms
Avatar for Jacob Tomlinson jacobtomlinson
0
85
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
187
22k
Designing Experiences People Love
Avatar for Jonathan Moore moore
143
24k
Efficient Content Optimization with Google Search Console & Apps Script
Avatar for Katarina Dahlin katarinadahlin
PRO
0
270
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
45
8.4k
Breaking role norms: Why Content Design is so much more than writing copy - Taylor Woolridge
Avatar for UX Y'all uxyall
0
120
Designing for Performance
Avatar for Lara Hogan lara
610
70k
Redefining SEO in the New Era of Traffic Generation
Avatar for Szymon szymonslowik
1
180
The agentic SEO stack - context over prompts
Avatar for schlessera schlessera
0
570
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
162
16k
エンジニアに許された特別な時間の終わり
Avatar for watany watany
106
220k
Everyday Curiosity
Avatar for Cassini Nazir cassininazir
0
120

Transcript

  1. (Не)Безопасность 101 Григорий Джанелидзе

  2. Почему поговорим: 2

  3. Про что поговорим: • Как делать точно не надо •

    Как делать скорее всего не надо • Какие инструменты существуют для разных задач • Как с этим всем жить 3

  4. 101 is a topic for beginners in any area. It

    has all the basic principles and concepts that is expected in a particular field. – Wikipedia

  5. Вся информация представлена исключительно в ознакомительных и образовательных целях. –

    я

  6. Храним ключи Demo 6

  7. 7 Храним ключи

  8. Храним ключи 8 Demo

  9. Храним ключи 9

  10. Храним ключи 10 https://github.com/KeepSafe/ReLinker

  11. Храним ключи Итоги 11 Хранить в коде Хранить в манифесте/ресурсах

    Хранить в нативной библиотеке и доставать через JNI Хранить в коде и шифровать

  12. 12 Храним ключи Инструменты •apktool •JD-GUI, ByteCode Viewer, … •IDA

    Pro, Hopper, … •если нужны только строчки: man 1 strings

  13. Обфусцируем 13 Demo

  14. 14 Обфусцируем Инструменты • smali / backsmali • https://github.com/CalebFenton/simplify •

    frida, xposed, … • https://github.com/xoreaxeaxeax/movfuscator

  15. 15

  16. 16 Обфусцируем Итоги •ProGuard полезный и его в любом случае

    надо включить •Но он не спасет •Ревью любых изменений в конфиге ProGuard’а ≠ обычное кодревью •декомпилируйте и пытайтесь реверсить

  17. 17 Обфусцируем Итоги •Я уже говорил, что не надо использовать

    JNI для «безопасности»? •ProGuard не трогает все методы с модификатором native •Выпиливайте логи, имена переменных, …

  18. 18 Обфусцируем Зло •Consumer ProGuard Files

  19. 19 Обфусцируем Зло ¯\_(ツ)_/¯ (спасибо Google, стало удобнее)

  20. Сопротивляемся 20 Demo

  21. 21 Сопротивляемся Итоги •Debug.isDebuggerConnected() •не надо •лайфхаки с ptrace •могут

    быть полезными •миграция с json’а на protobuf, flatbuf, … •поможет, но не сильно

  22. 22 Сопротивляемся Итоги •SSL pinning нужен и спасёт •…но не

    от реверсинжиниринга

  23. 23 Сопротивляемся Инструменты •man 1 ps •gdb, lldb, … •frida,

    xposed, …

  24. Как быть? 24 •Пользоваться проприетарными решениями •DexGuard, SecNeo, DexProtector, …

    •Если есть ресурсы и время, то делать свое

  25. Заключение • Всегда нужно понимать, что делаешь • Проверяйте любые

    советы по безопасности на практике • , но с этим надо жить 25

  26. И если что: 26 На iOS всё не сильно лучше

    (но это тема отдельного выступления)

  27. 27 Спасибо за внимание

  28. 28 t.me/androidguards