Upgrade to Pro — share decks privately, control downloads, hide ads and more …

«(Не)Безопасность 101» — Григорий Джанелидзе, M...

Avatar for AvitoTech AvitoTech
March 20, 2018
Programming
0
480

«(Не)Безопасность 101» — Григорий Джанелидзе, Mosdroid

Avatar for AvitoTech

AvitoTech

March 20, 2018
Tweet

More Decks by AvitoTech

See All by AvitoTech
Один кликстрим на все бэкенды. Дмитрий Хасанов (Авито)
Avatar for AvitoTech avitotech
0
770
«Масштабируемая архитектура фронтенда» — Роман Дворнов, Avito
Avatar for AvitoTech avitotech
0
1.2k
Атомарные SPA — Александр Китов, Альфа-Банк
Avatar for AvitoTech avitotech
0
1.6k
Моделирование пользовательских предпочтений в мультимодальных данных. Hady W. Lauw, Максим Ткаченко (Singapore Management University)
Avatar for AvitoTech avitotech
0
370
Кластеризация волатильных объявлений с помощью EM-алгоритма — Василий Лексин (Avito)
Avatar for AvitoTech avitotech
0
390
«CI процессы в Android разработке Avito», Сергей Пинчук, Avito
Avatar for AvitoTech avitotech
0
420
Кластеризация волатильных объявлений с помощью EM-алгоритма — Василий Лексин (Avito)
Avatar for AvitoTech avitotech
0
100
Аналитическое хранилище Avito.ru — от больших к очень большим данным — Артем Данилов (Avito)
Avatar for AvitoTech avitotech
1
4.7k
Кросс-продуктовые эффекты, или как мы оценивали вклад «Электричек» — Екатерина Лосева (Туту.ру)
Avatar for AvitoTech avitotech
0
4.5k

Other Decks in Programming

See All in Programming
AI駆動で0→1をやって見えた光と伸びしろ
Avatar for passion😎 passion0102
1
670
エンジニアインターン「Treasure」とHonoの2年、そして未来へ / Our Journey with Hono Two Years at Treasure and Beyond
Avatar for CARTA Engineering carta_engineering
0
380
コード生成なしでモック処理を実現!ovechkin-dm/mockioで学ぶメタプログラミング
Avatar for QualiArts qualiarts
0
220
Devvox Belgium - Agentic AI Patterns
Avatar for Kevin Dubois kdubois
1
130
Catch Up: Go Style Guide Update
Avatar for ANDPAD inc andpad
0
240
20251016_Rails News ~Rails 8.1の足音を聴く~
Avatar for Masato Mori morimorihoge
2
640
CSC509 Lecture 06
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
260
CSC509 Lecture 07
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
240
開発生産性を上げるための生成AI活用術
Avatar for starfish719 starfish719
3
1.5k
What Spring Developers Should Know About Jakarta EE
Avatar for ivargrimstad ivargrimstad
0
350
Go言語はstack overflowの夢を見るか?
Avatar for Takuto Nagami logica0419
0
500
Devoxx BE 2025 Loom lab
Avatar for José josepaumard
0
110

Featured

See All Featured
Done Done
Avatar for chrislema chrislema
185
16k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
Avatar for Dan Newman danielanewman
230
22k
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
5
700
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
238
140k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
411
23k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
36
6.1k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
55
3k
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
331
21k
Scaling GitHub
Avatar for Zach Holman holman
463
140k
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
73
11k
Navigating Team Friction
Avatar for Lara Hogan lara
190
15k
The Language of Interfaces
Avatar for Des Traynor destraynor
162
25k

Transcript

  1. (Не)Безопасность 101 Григорий Джанелидзе

  2. Почему поговорим: 2

  3. Про что поговорим: • Как делать точно не надо •

    Как делать скорее всего не надо • Какие инструменты существуют для разных задач • Как с этим всем жить 3

  4. 101 is a topic for beginners in any area. It

    has all the basic principles and concepts that is expected in a particular field. – Wikipedia

  5. Вся информация представлена исключительно в ознакомительных и образовательных целях. –

    я

  6. Храним ключи Demo 6

  7. 7 Храним ключи

  8. Храним ключи 8 Demo

  9. Храним ключи 9

  10. Храним ключи 10 https://github.com/KeepSafe/ReLinker

  11. Храним ключи Итоги 11 Хранить в коде Хранить в манифесте/ресурсах

    Хранить в нативной библиотеке и доставать через JNI Хранить в коде и шифровать

  12. 12 Храним ключи Инструменты •apktool •JD-GUI, ByteCode Viewer, … •IDA

    Pro, Hopper, … •если нужны только строчки: man 1 strings

  13. Обфусцируем 13 Demo

  14. 14 Обфусцируем Инструменты • smali / backsmali • https://github.com/CalebFenton/simplify •

    frida, xposed, … • https://github.com/xoreaxeaxeax/movfuscator

  15. 15

  16. 16 Обфусцируем Итоги •ProGuard полезный и его в любом случае

    надо включить •Но он не спасет •Ревью любых изменений в конфиге ProGuard’а ≠ обычное кодревью •декомпилируйте и пытайтесь реверсить

  17. 17 Обфусцируем Итоги •Я уже говорил, что не надо использовать

    JNI для «безопасности»? •ProGuard не трогает все методы с модификатором native •Выпиливайте логи, имена переменных, …

  18. 18 Обфусцируем Зло •Consumer ProGuard Files

  19. 19 Обфусцируем Зло ¯\_(ツ)_/¯ (спасибо Google, стало удобнее)

  20. Сопротивляемся 20 Demo

  21. 21 Сопротивляемся Итоги •Debug.isDebuggerConnected() •не надо •лайфхаки с ptrace •могут

    быть полезными •миграция с json’а на protobuf, flatbuf, … •поможет, но не сильно

  22. 22 Сопротивляемся Итоги •SSL pinning нужен и спасёт •…но не

    от реверсинжиниринга

  23. 23 Сопротивляемся Инструменты •man 1 ps •gdb, lldb, … •frida,

    xposed, …

  24. Как быть? 24 •Пользоваться проприетарными решениями •DexGuard, SecNeo, DexProtector, …

    •Если есть ресурсы и время, то делать свое

  25. Заключение • Всегда нужно понимать, что делаешь • Проверяйте любые

    советы по безопасности на практике • , но с этим надо жить 25

  26. И если что: 26 На iOS всё не сильно лучше

    (но это тема отдельного выступления)

  27. 27 Спасибо за внимание

  28. 28 t.me/androidguards