#ДуровДобавьДвойноеДно – сейчас этот хэштег гуляет по Телеграму. Однако насколько это эффективно?
Суть в том что ребята из Postuf предложили реализовать технологию двойного дна, то есть пользователь имеет два разных пин-кода и в зависимости от того какой будет введен – получит разную реальность Телеграма. В одной он будет снежинкой, а в другой ярым оппозиционером.
Воспринята эта активность была с большим энтузиазмом. Да и в целом звучит интересно, было бы круто, если бы была возможность держать сразу несколько разных аккаунтов, потому что даже несмотря на папки очень часто телега превращается просто в помойку.
Однако продвигалась эта идея ради другой цели – ради защиты пользовательских данных. И да, действительно очень полезная функция, если у вас вдруг отбирают телефон и пытаются добраться до вашей личной переписки (опустим то, что это вообще-то незаконно).
Единственная проблема тут заключается в том, что все об этом знают. Одно дело когда вы сами скрываете приложение, делаете другой аккаунт. Это не самая очевидная операция. Совсем другое, когда все знают о такой возможности и, более того, она по дефолту встроена в само приложение. В итоге вам пальцы будут ломать до тех пор пока вы все пароли не введете и сверху несколько еще придумаете 😐
Будет интересно, если ребята из Телеграм прислушаются и действительно сделают такую возможность. Но спасет ли она от произвола? Главное чтобы не усугубила ситуацию.
Суть в том что ребята из Postuf предложили реализовать технологию двойного дна, то есть пользователь имеет два разных пин-кода и в зависимости от того какой будет введен – получит разную реальность Телеграма. В одной он будет снежинкой, а в другой ярым оппозиционером.
Воспринята эта активность была с большим энтузиазмом. Да и в целом звучит интересно, было бы круто, если бы была возможность держать сразу несколько разных аккаунтов, потому что даже несмотря на папки очень часто телега превращается просто в помойку.
Однако продвигалась эта идея ради другой цели – ради защиты пользовательских данных. И да, действительно очень полезная функция, если у вас вдруг отбирают телефон и пытаются добраться до вашей личной переписки (опустим то, что это вообще-то незаконно).
Единственная проблема тут заключается в том, что все об этом знают. Одно дело когда вы сами скрываете приложение, делаете другой аккаунт. Это не самая очевидная операция. Совсем другое, когда все знают о такой возможности и, более того, она по дефолту встроена в само приложение. В итоге вам пальцы будут ломать до тех пор пока вы все пароли не введете и сверху несколько еще придумаете 😐
Будет интересно, если ребята из Телеграм прислушаются и действительно сделают такую возможность. Но спасет ли она от произвола? Главное чтобы не усугубила ситуацию.
В сеть утекла база Райфа. Уже не в первый раз, насколько я помню 😪
Там есть все, что позволит мошенникам ввести вас в заблуждение: ваши телефоны, явки, пароли, история переводов и тд.
Мошенники пользуются дырой банка, которая позволяет переводить деньги с дебетовой карты на кредитную, а потом отправляют их в неизвестном направлении.
Моим знакомым уже звонили, позвонят и вам. Будьте осторожны 🙏
Там есть все, что позволит мошенникам ввести вас в заблуждение: ваши телефоны, явки, пароли, история переводов и тд.
Мошенники пользуются дырой банка, которая позволяет переводить деньги с дебетовой карты на кредитную, а потом отправляют их в неизвестном направлении.
Моим знакомым уже звонили, позвонят и вам. Будьте осторожны 🙏
Почему до сих пор голосование на выборах не через мобильное приложение 🤷
Telegraph
Голосование через мобильное приложение
Задуматься на этот счет меня заставил недавний опрос от ребят из Телеграма, которые позволяли только белорусам голосовать за своего президента. Совсем скоро будут выборы в США и там уже давно ведутся разговоры о том, как бы их сделать онлайн. Тем более что…
Утренний инсайт: дошли руки наконец пореверсить Flutter-приложение. Новости неутешительные для реверс-инженеров и воодушевляющие для разработчиков. Инструментов чтобы реверсить такие приложения - минимум, и это крайней сложно, пока что добиться особых результатов не удалось.
Меня тут задодосили этим твитом. Я даже полезла отвечать в комменты. Но думаю лучше написать саммари тут👇
В общем, на мой взгляд людей сперва выбесили спорные ответы Cбербанка, ну это очевидно, что техническая поддержка будет отвечать максимально размыто и без технических деталей. Потому что объективно отвечать должны бекенд разработчики сбера, у которых и так NDA.
Лично я считаю, что претензии к Сбербанку очень спорные. Что сложного в том, чтобы захешировать пароль в uppercase, а затем при вводе пароля каждый раз поднимать регистр и сравнивать с хешом в БД. Таким образом, конгломерат хранит один хеш, а пользователь может вводить пароль в любом регистре.
Более сложный вопрос, если речь идет о другой раскладке. Но и тут самая стандартная ситуация, просто при регистрации переводим
Финализируя, хочется сказать, что люди вдруг поняли, что живут в мире полном опасностей. Гопники могут отжать телефон и войти в Mail.Ru почту по SMS, теперь будем писать Mail.Ru, что их можно хакнуть?
Сейчас точно никто не даст ответ на вопрос о том, хеширует ли Сбербанк пароль или нет. Но имеет ли смысл такой активности в сети? Думаю нет.
В общем, на мой взгляд людей сперва выбесили спорные ответы Cбербанка, ну это очевидно, что техническая поддержка будет отвечать максимально размыто и без технических деталей. Потому что объективно отвечать должны бекенд разработчики сбера, у которых и так NDA.
Лично я считаю, что претензии к Сбербанку очень спорные. Что сложного в том, чтобы захешировать пароль в uppercase, а затем при вводе пароля каждый раз поднимать регистр и сравнивать с хешом в БД. Таким образом, конгломерат хранит один хеш, а пользователь может вводить пароль в любом регистре.
Более сложный вопрос, если речь идет о другой раскладке. Но и тут самая стандартная ситуация, просто при регистрации переводим
йцукен -> qwerty. Финализируя, хочется сказать, что люди вдруг поняли, что живут в мире полном опасностей. Гопники могут отжать телефон и войти в Mail.Ru почту по SMS, теперь будем писать Mail.Ru, что их можно хакнуть?
Сейчас точно никто не даст ответ на вопрос о том, хеширует ли Сбербанк пароль или нет. Но имеет ли смысл такой активности в сети? Думаю нет.
Huawei запускает собственную ОС для мобилок HarmonyOS в следующем году
Как мы все помним, с Android, а точнее с гугловыми сервисами для Android у Huawei не заладилось уже давно. Как итог: им надоело быть в подвешенном состоянии и они запускаются свою собственную систему, первый релиз который уже был в прошлом году. И это не новый клон Androiod, не его отросток. Это новая, написанная с нуля система, адаптированная конкретно под железо Huawei и совместимая с Android-приложениями, так что вопрос по привлечению разработчиков отпадаем сам собой.
Один бесспорный плюс HarmonyOS – это то, что она была написана уже с оглядкой на опыт Android и iOS и она достаточно свежая. Набор для разработчиков будет соответствовать Android.
Большой минус HarmonyOS – у них будет собственный магазин приложений и США имеет полное право просто запретить резидентам размещать там их приложения.
Заметка для российских пользователей👇
Возможно вы уже заметили, как часто Huawei стал мелькать в наших новостях, китайцы заселили уже весь Moscow City, а Собянин и все правительство просто дрочит на китайский опыт с их тотальной слежкой и сливом данных. Мне будет весьма интересно посмотреть, как после релиза HarmonyOS она будет продвигаться пророссийскими СМИ, потому что по их рьяности мы сможем сделать вывод, что все наши данные, собранные HarmonyOS напрямую летят куда надо.
Код HarmonyOS открыт и лежит тут.
Как мы все помним, с Android, а точнее с гугловыми сервисами для Android у Huawei не заладилось уже давно. Как итог: им надоело быть в подвешенном состоянии и они запускаются свою собственную систему, первый релиз который уже был в прошлом году. И это не новый клон Androiod, не его отросток. Это новая, написанная с нуля система, адаптированная конкретно под железо Huawei и совместимая с Android-приложениями, так что вопрос по привлечению разработчиков отпадаем сам собой.
Один бесспорный плюс HarmonyOS – это то, что она была написана уже с оглядкой на опыт Android и iOS и она достаточно свежая. Набор для разработчиков будет соответствовать Android.
Большой минус HarmonyOS – у них будет собственный магазин приложений и США имеет полное право просто запретить резидентам размещать там их приложения.
Заметка для российских пользователей👇
Возможно вы уже заметили, как часто Huawei стал мелькать в наших новостях, китайцы заселили уже весь Moscow City, а Собянин и все правительство просто дрочит на китайский опыт с их тотальной слежкой и сливом данных. Мне будет весьма интересно посмотреть, как после релиза HarmonyOS она будет продвигаться пророссийскими СМИ, потому что по их рьяности мы сможем сделать вывод, что все наши данные, собранные HarmonyOS напрямую летят куда надо.
Код HarmonyOS открыт и лежит тут.
Все мои новости завалены Flutter. Он просто везде и создается ощущение, что действительно много разработчиков переходит на него.
На мой взгляд, разработка Flutter-приложений выходит действительно дешевле, чем нативных. И все больше бизнесов смотрят на него с интересом.
Я уже видела и сложные приложения, которые также выполнены на Flutter. Очень часто используется для таких целей помесь Kotlin Native и Flutter, тк первый позволяет разработчикам привычный способ разработки, а второй упрощает взаимодействие с UI.
Мобильная разработка развивается очень динамично и вполне возможно, что завтра мы, нативные разработчики, проснемся и окажется что мы уже устарели.
Присутствует ли такой страх и у вас?
На мой взгляд, разработка Flutter-приложений выходит действительно дешевле, чем нативных. И все больше бизнесов смотрят на него с интересом.
Я уже видела и сложные приложения, которые также выполнены на Flutter. Очень часто используется для таких целей помесь Kotlin Native и Flutter, тк первый позволяет разработчикам привычный способ разработки, а второй упрощает взаимодействие с UI.
Мобильная разработка развивается очень динамично и вполне возможно, что завтра мы, нативные разработчики, проснемся и окажется что мы уже устарели.
Присутствует ли такой страх и у вас?
Тренды дизайна пользовательских интерфейсов 2020
Разработчики редко задумываются о дизайне приложений. Как правило мы делаем приложение по уже сконструированными для нас макетам. Однако, я все же думаю, что шарить за дизайн должны и сами разработчики, ведь с дизайнером может не повезти, а делать некрасиво – не есть гуд.
Дизайн приложений развивается, можно сказать, что он как мода, каждый сезон – разный. А если вы в курсе что к чему – то вы в топе.
Неоморфизм
В 2020 году неоморфизм стал одним из главных трендов дизайна пользовательских интерфейсов. Этот стиль использует размытие, угол и интенсивность тени объекта для его выделения. Правда, как правило, в чистую неоморфизм использовать не советуется. Лучше всегда комбинировать его с более простыми формами, чтобы пользователю было легче разобраться в нем. А то, мы конечно в будущем, но пока что только одной ногой.
Градиенты!
Думаю тут все очевидно, градиенты уже очень давно присутствуют в мобильных интерфейсах, и еще долго никуда не денутся.
Геометрия
Геометрические формы как правило используются как отдельные элементы. Очень часто с их помощью создают различные мозаики.
Пастельные фоны
Лично я обожаю пастель. Если вспомнить тенденции прошлого, все стремились сделать интерфейс поярче, влепить красную мигающую кнопку на пол экрана, чтобы нельзя было и глаз от нее отвести. А теперь даже если используется красный цвет – то уже в приглушенных тонах. Потому что наконец-то все поняли, что пользователи не хотят напрягать свои глаза. Ведь главное – это контент, а все остальное должно быть лишь приятным глазу фоном.
Иллюстрации, 3D, авторские рисунки
Очень много компаний старается ввести своих персонажей, что весьма повышает узнаваемость бренда. Одно дело, когда вы знаете лого компании, совсем другое, когда вам нравится ее герой.
Темная тема
Темная тема, как правило, это версия интерфейса приложения с инвертированными цветами, что позволяет сделать его более доступным в темное время суток. Однако многие пользователи предпочитают использовать темный режим ежедневно.
Простые шрифты
Была как-то тенденция, когда приложения стремились встроить свои шрифты, то слишком тонкие, то слишком толстые. Особенно это критично для Android, потому что просто невозможно на всех возможных устройствах убедиться в том, что нестандартный шрифт будет смотреться нормально. Сейчас эта тенденция ушла и все приложения вновь вернулись к лаконичным и признанным шрифтам, ура!
Разработчики редко задумываются о дизайне приложений. Как правило мы делаем приложение по уже сконструированными для нас макетам. Однако, я все же думаю, что шарить за дизайн должны и сами разработчики, ведь с дизайнером может не повезти, а делать некрасиво – не есть гуд.
Дизайн приложений развивается, можно сказать, что он как мода, каждый сезон – разный. А если вы в курсе что к чему – то вы в топе.
Неоморфизм
В 2020 году неоморфизм стал одним из главных трендов дизайна пользовательских интерфейсов. Этот стиль использует размытие, угол и интенсивность тени объекта для его выделения. Правда, как правило, в чистую неоморфизм использовать не советуется. Лучше всегда комбинировать его с более простыми формами, чтобы пользователю было легче разобраться в нем. А то, мы конечно в будущем, но пока что только одной ногой.
Градиенты!
Думаю тут все очевидно, градиенты уже очень давно присутствуют в мобильных интерфейсах, и еще долго никуда не денутся.
Геометрия
Геометрические формы как правило используются как отдельные элементы. Очень часто с их помощью создают различные мозаики.
Пастельные фоны
Лично я обожаю пастель. Если вспомнить тенденции прошлого, все стремились сделать интерфейс поярче, влепить красную мигающую кнопку на пол экрана, чтобы нельзя было и глаз от нее отвести. А теперь даже если используется красный цвет – то уже в приглушенных тонах. Потому что наконец-то все поняли, что пользователи не хотят напрягать свои глаза. Ведь главное – это контент, а все остальное должно быть лишь приятным глазу фоном.
Иллюстрации, 3D, авторские рисунки
Очень много компаний старается ввести своих персонажей, что весьма повышает узнаваемость бренда. Одно дело, когда вы знаете лого компании, совсем другое, когда вам нравится ее герой.
Темная тема
Темная тема, как правило, это версия интерфейса приложения с инвертированными цветами, что позволяет сделать его более доступным в темное время суток. Однако многие пользователи предпочитают использовать темный режим ежедневно.
Простые шрифты
Была как-то тенденция, когда приложения стремились встроить свои шрифты, то слишком тонкие, то слишком толстые. Особенно это критично для Android, потому что просто невозможно на всех возможных устройствах убедиться в том, что нестандартный шрифт будет смотреться нормально. Сейчас эта тенденция ушла и все приложения вновь вернулись к лаконичным и признанным шрифтам, ура!
Кстати, мои друзья сейчас активно ищут мобильных разработчиков (Android/iOS) на интересный проект.
Если хотите разрабатывать приложение с нуля, в движовой команде, с возможностью развития, то вся информация тут.
Ламповая удаленка и приятная зп в наличии 😄
Заинтересовались? Пишите либо сюда, либо в @mother_paradisecurity_bot.
#вакансии
Если хотите разрабатывать приложение с нуля, в движовой команде, с возможностью развития, то вся информация тут.
Ламповая удаленка и приятная зп в наличии 😄
Заинтересовались? Пишите либо сюда, либо в @mother_paradisecurity_bot.
#вакансии
This media is not supported in your browser
VIEW IN TELEGRAM
Обесценивание опыта
Иногда мне кажется, что я занимаюсь какой-то ерундой и зачем об этом рассказывать, ведь все очевидно и все итак все это знают. И я каждый раз удивляюсь, когда выясняется, что нет, не знают. Такое часто происходит, когда очень долго варишься в одной теме и вокруг тебя люди тоже идут в таком же направлении 🤷♀️
Кстати, вот хороший ресурс, где есть почти все что нужно, чтобы писать безопасные приложения.
Иногда мне кажется, что я занимаюсь какой-то ерундой и зачем об этом рассказывать, ведь все очевидно и все итак все это знают. И я каждый раз удивляюсь, когда выясняется, что нет, не знают. Такое часто происходит, когда очень долго варишься в одной теме и вокруг тебя люди тоже идут в таком же направлении 🤷♀️
Кстати, вот хороший ресурс, где есть почти все что нужно, чтобы писать безопасные приложения.
Интересненько 🧐
Решила залезть в Google Trends, посмотреть как там поживает популярность языков программирования. Аналитика выходит наизабавнейшая 😎
К слову на графике изменения за последние 5 лет. И что же мы видим?
Популярность Java снижается. В то время как интерес к Python – уверенно растет. Несмотря на это, Kotlin до Java – как до Китая.
И еще интересная тенденция. Интерес ко всем языкам программирования в преддверии новогодних праздников падает, в то время как к Dart наоборот возрастает. Типа все решают в следующем году резко изменить свою жизнь что ли и попробовать таки Flutter?
Решила залезть в Google Trends, посмотреть как там поживает популярность языков программирования. Аналитика выходит наизабавнейшая 😎
К слову на графике изменения за последние 5 лет. И что же мы видим?
Популярность Java снижается. В то время как интерес к Python – уверенно растет. Несмотря на это, Kotlin до Java – как до Китая.
И еще интересная тенденция. Интерес ко всем языкам программирования в преддверии новогодних праздников падает, в то время как к Dart наоборот возрастает. Типа все решают в следующем году резко изменить свою жизнь что ли и попробовать таки Flutter?
Apple убьет миллиардную рекламную индустрию с помощью диалога
Когда стартовало WWDC 2020, посвященное только цифровым технологиям, все внимание было приковано к новой MacOS и амбициозным чипам Apple Silicon.
Но, с точки зрения рекламных агентств, именно новые функции iOS 14, основанные на конфиденциальности, вызвали шок в их отрасли и стали главной темой для разговоров.
Когда релизился Android 11, мы с вами уделили много внимания обновлениям конфиденциальности, которых было чуть ли не больше, чем всех остальных. И iOS 14 не стала исключением.
Для непосвященных, сегодня многие приложения используют рекламный идентификатор (IDFA). Это позволяет разработчикам и маркетологам отслеживать активность в рекламных целях.
Сегодня в App Store более 100 тысяч приложений интегрированы с Facebook или Google SDK, которые отслеживают и отправляют ваши данные техническим гигантам и сторонним брокерам.
Но iOS 14 все изменит.
Весь мир сейчас трясется над конфиденциальностью и безопасностью, но чем больше данных становится – тем сложнее их защищать. К тому же становится сложно разграничивать, что должно считаться конфиденциальным, а что нет. В некоторых случаях даже время публикации моих постов тут можно считать конфиденциальной информацией, в то же время, мы сами авторизируемся под настоящими именами в социальных сетях, с радостью заполняем бесконечное множество данных о себе, в виде возраста, вуза в котором учились, публикуем линки на своих друзей.
Этим пользуются, а чаще злоупотребляют рекламные агентства. Мало кто задумывается о том, как в действительности зарабатывает тот же Facebook, Вконтакте или TikTok. Мы знаем, что потенциально они собирают все наши данные, до которых могут дотянуться, потом что-то с ними делают и вуаля, мы уже смотрим рекламу нового что-то там пролистывая ленту в Инстаграме. Ох уж эта персонализированная реклама.
Вроде ничего страшного, но почему же не посмотреть на практическую составляющую? Проблема персонализированной рекламы только в том, что никто не гарантирует, что вам показывают качественные продукты. А из-за того что между запросом и вашим контактом с рекламой проходит так мало времени – вы заряжены покупать прямо сейчас. Так что, о да, это безумно выгодно!
Однако если убрать идентификаторы – то вся эта индустрия сразу же перестает быть эффективной. Хорошо это или плохо сейчас сказать затруднительно. Реклама – это полезная штука, на самом деле. Но не когда рынок перенасыщен и нам в мозг пытаются запихнуть ненужную нам фигню просто из-за того что мы сейчас в готовом для покупки настроении.
Когда стартовало WWDC 2020, посвященное только цифровым технологиям, все внимание было приковано к новой MacOS и амбициозным чипам Apple Silicon.
Но, с точки зрения рекламных агентств, именно новые функции iOS 14, основанные на конфиденциальности, вызвали шок в их отрасли и стали главной темой для разговоров.
Когда релизился Android 11, мы с вами уделили много внимания обновлениям конфиденциальности, которых было чуть ли не больше, чем всех остальных. И iOS 14 не стала исключением.
Для непосвященных, сегодня многие приложения используют рекламный идентификатор (IDFA). Это позволяет разработчикам и маркетологам отслеживать активность в рекламных целях.
Сегодня в App Store более 100 тысяч приложений интегрированы с Facebook или Google SDK, которые отслеживают и отправляют ваши данные техническим гигантам и сторонним брокерам.
Но iOS 14 все изменит.
Весь мир сейчас трясется над конфиденциальностью и безопасностью, но чем больше данных становится – тем сложнее их защищать. К тому же становится сложно разграничивать, что должно считаться конфиденциальным, а что нет. В некоторых случаях даже время публикации моих постов тут можно считать конфиденциальной информацией, в то же время, мы сами авторизируемся под настоящими именами в социальных сетях, с радостью заполняем бесконечное множество данных о себе, в виде возраста, вуза в котором учились, публикуем линки на своих друзей.
Этим пользуются, а чаще злоупотребляют рекламные агентства. Мало кто задумывается о том, как в действительности зарабатывает тот же Facebook, Вконтакте или TikTok. Мы знаем, что потенциально они собирают все наши данные, до которых могут дотянуться, потом что-то с ними делают и вуаля, мы уже смотрим рекламу нового что-то там пролистывая ленту в Инстаграме. Ох уж эта персонализированная реклама.
Вроде ничего страшного, но почему же не посмотреть на практическую составляющую? Проблема персонализированной рекламы только в том, что никто не гарантирует, что вам показывают качественные продукты. А из-за того что между запросом и вашим контактом с рекламой проходит так мало времени – вы заряжены покупать прямо сейчас. Так что, о да, это безумно выгодно!
Однако если убрать идентификаторы – то вся эта индустрия сразу же перестает быть эффективной. Хорошо это или плохо сейчас сказать затруднительно. Реклама – это полезная штука, на самом деле. Но не когда рынок перенасыщен и нам в мозг пытаются запихнуть ненужную нам фигню просто из-за того что мы сейчас в готовом для покупки настроении.
Кек, утёк Windows XP. Скачала исходники, сижу изучаю 😛
Вот, наверно, чуваки из ReactOS радуются. Раньше им приходилось все это реверсить, а тут уже все готовенькое.
Вот, наверно, чуваки из ReactOS радуются. Раньше им приходилось все это реверсить, а тут уже все готовенькое.
Раз вы следите за моим каналом, то наверняка вам интересно как защищать ваши приложения от взлома. В большинстве книг эта тема игнорируется, поэтому разработчики вынуждены искать информацию самостоятельно и это большая проблема. Потому что не каждый разработчик готов тратить свое личное время на изучение темы, применение которой ему кажется сомнительным или он просто не понимает ее необходимость. К сожалению, безопасность оказывается нужна только когда уже поздно.
Многие заблуждаются, что им достаточно изучить то, как работает реверс инжиниринг чтобы не допускать глупых ошибок во время разработки. Но вот в чем проблема, пентестер, которому попадется в руки ваше приложение – не разработчик. И выходит так, что для того чтобы взломать ваше приложение не обязательно быть разработчиком. Соответственно и все обучающие материалы для мобильных реверс инженеров сформированы НЕ для разработчиков. Там не будет каких-то конкретных решений, для того чтобы поправить ваш код или изначально избежать ошибок. Есть какие-то обрывки, по которым вам самостоятельно придется изобретать собственное решение и что самое печальное, появится желания поместить его под замок и никому не рассказывать, тк будет казаться, что вы сразу же начинаете рисковать тем самым безопасностью вашего приложения. Так и делает большинство крупных и не очень компаний, которым кажется что они изобрели какую-то невероятную защиту, а на самом деле сделали кривой велосипед. А ведь можно было просто взять нормальный аудит? 🙂
К тому же, большинство разработчиков с которыми я общаюсь на тему информационной безопасности приложений просто не уверены в том насколько верно они реализовали задачу, а еще большее раздражение у них начинает вызывать “информационная безопасность”, когда я говорю им, что все что они сделали: потратили время на изучение темы, написание и тестирование кода и сделали его менее удобным для своей команды ради обеспечения этой пресловутой безопасности, можно отключить, уничтожить, обойти или обмануть.
Потому что когда ваше приложение поставили на чужой смартфон – вы уже не можете ему доверять.
Многие заблуждаются, что им достаточно изучить то, как работает реверс инжиниринг чтобы не допускать глупых ошибок во время разработки. Но вот в чем проблема, пентестер, которому попадется в руки ваше приложение – не разработчик. И выходит так, что для того чтобы взломать ваше приложение не обязательно быть разработчиком. Соответственно и все обучающие материалы для мобильных реверс инженеров сформированы НЕ для разработчиков. Там не будет каких-то конкретных решений, для того чтобы поправить ваш код или изначально избежать ошибок. Есть какие-то обрывки, по которым вам самостоятельно придется изобретать собственное решение и что самое печальное, появится желания поместить его под замок и никому не рассказывать, тк будет казаться, что вы сразу же начинаете рисковать тем самым безопасностью вашего приложения. Так и делает большинство крупных и не очень компаний, которым кажется что они изобрели какую-то невероятную защиту, а на самом деле сделали кривой велосипед. А ведь можно было просто взять нормальный аудит? 🙂
К тому же, большинство разработчиков с которыми я общаюсь на тему информационной безопасности приложений просто не уверены в том насколько верно они реализовали задачу, а еще большее раздражение у них начинает вызывать “информационная безопасность”, когда я говорю им, что все что они сделали: потратили время на изучение темы, написание и тестирование кода и сделали его менее удобным для своей команды ради обеспечения этой пресловутой безопасности, можно отключить, уничтожить, обойти или обмануть.
Потому что когда ваше приложение поставили на чужой смартфон – вы уже не можете ему доверять.
Простой реверс Android-приложения
🥕 Создайте каталог для работы
🥕 Скачайте и распакуйте dex2jar
🥕 Скачайте JD-GUI
🥕 Выберите приложение для реверса
🥕 Скачайте apk-файл с помощью apkpure и поместите его в каталог
🥕 Откройте терминал и перейдите в целевой каталог ->
🥕 Перейдите в
🥕 Перетащите
🌟 Вуаля, можно ковырять!
В разделе
К сожалению, большинство разработчиков приложений для Android до сих пор не знают о реверс-инжиниринге, а мы легко можем перепроектировать приложение.
🥕 Создайте каталог для работы
🥕 Скачайте и распакуйте dex2jar
🥕 Скачайте JD-GUI
🥕 Выберите приложение для реверса
🥕 Скачайте apk-файл с помощью apkpure и поместите его в каталог
dex2jar-2.0🥕 Откройте терминал и перейдите в целевой каталог ->
cd /Users/ololo/Desktop/your_directory/dex2jar-2.0
chmod 0777 *
./d2j-dex2jar.sh your_apk.apk🥕 Перейдите в
jd-gui->build->libs и запустите jd-gui-1.6.1.jar🥕 Перетащите
your_apk.com-dex2jar.jar в интерфейс🌟 Вуаля, можно ковырять!
В разделе
com будут находиться сторонние библиотеки, которые использует приложение. Можете посмотреть что происходит в файлах .class, фактически, это код приложения. Правда если приложение защищено каким-либо инструментом премиум-класса или даже просто обфусцировало код перед выпуском, мы не смогли бы так легко понять код после реверса. Однако он все равно остался бы более менее читаемым, к тому же есть инструменты, которые помогают это обойти 😉К сожалению, большинство разработчиков приложений для Android до сих пор не знают о реверс-инжиниринге, а мы легко можем перепроектировать приложение.