Articles of безопасности для

Есть ли способ проверить, отладка или публикация подписи приложения?

В настоящее время я разрабатываю RPC-сервисы для разработчиков, но хочу убедиться, что я могу отличить отладочный ключ другого приложения и их открытый ключ. Есть ли способ проверить ключ другого приложения и сказать, является ли он отладочным ключом, а НЕ опубликованным ключом приложения? Цель этого заключается в том, чтобы иметь возможность сказать, когда их приложение находится […]

Android-разрешения: как я могу узнать, что опасно против нормального?

Android определяет набор разрешений, которые могут запрашивать сторонние приложения. Разрешения классифицируются по чувствительности; Большинство разрешений являются «нормальными» или «опасными» . Нормальные разрешения предоставляются автоматически, без запроса пользователя; Опасные разрешения предоставляются пользователю, когда приложение установлено, и пользователю предлагается дать согласие на его предоставление. Вопрос: Для каких-либо конкретных разрешений для Android я имею в виду, как я […]

Android – Как вы имеете дело с 9774d56d682e549c? Android ID

Итак, я думал, что я умный и использую различные хэши и перестановки безопасного уникального идентификатора Android для идентификации моих пользователей …. Но оказывается, что 9774d56d682e549c – это волшебный идентификатор, возвращаемый Secure.getString(getContentResolver(), Secure.ANDROID_ID); Для большого количества устройств … Кажется, каждый эмулятор, который я построил, имеет один и тот же идентификатор, и многие другие телефоны других людей […]

Проверить, что Android apk не был повторно упакован?

Чтобы улучшить безопасность моего приложения для Android, отметьте, было ли извлечено, изменено, переупаковано и списано. Вот статья из Zdnet, в которой упоминается проблема link1 . Конкуренция заключается в том, что приложение нацелено хакерами, они могут добавлять вредоносный код и загружать в альтернативное хранилище приложений, а также обманывать пользователей для его загрузки. Итак, я думаю, код […]

Не удается создать ключ в хранилище ключей Android

В настоящее время мы сталкиваемся с проблемой, когда иногда, когда пользователь устанавливает наше приложение, приложение пытается получить доступ и создать ключ в хранилище ключей, но хранилище ключей выбрасывает это исключение: Caused by: java.lang.IllegalStateException: could not generate key in keystore at android.security.AndroidKeyPairGenerator.generateKeyPair(AndroidKeyPairGenerator.java:100) at java.security.KeyPairGenerator$KeyPairGeneratorImpl.generateKeyPair(KeyPairGenerator.java:275) Мы считаем, что это связано с тем, что шаблон разблокировки телефона не […]

Вопросы безопасности и дизайна для биллинга в приложении

У меня есть несколько вопросов, связанных с Android In-App Billing: Можно ли совершить покупку у нерыночного приложения? Я понимаю, что это будет уязвимость, но у меня нет возможности узнать, возможно ли это или нет. Как я могу получить состояние покупки для определенного продукта? Насколько я понимаю, это можно сделать с RESTORE_TRANSACTIONS запроса RESTORE_TRANSACTIONS , но […]

Android-шифрование

Я работаю над андроидным приложением, и мне нужно использовать шифрование для одного его аспекта. Я действительно безразличен к используемому алгоритму (AES, DES, RSA и т. Д.). Я знаю, что Java имеет криптовый пакет, но я вообще не знаком с ним. Может ли кто-нибудь опубликовать пример о том, как выполнить функцию шифрования / дешифрования?

Есть ли причина, по которой я не должен хранить хранилище ключей в контроле версий?

Я использую хранилище ключей (.jks) для хранения сертификата, который я использую для подписания приложений для Android. Документация и сообщество Android впечатлили меня тем, что никогда не теряйте этот файл, но я не нашел никаких указаний о том, где я должен его хранить. Будет ли его хранение в Git ужасной идеей (т.е. будет ли это иметь […]

Как можно проверить разрешение во время выполнения, не бросая SecurityException?

Я создаю функцию, которая может получить / установить ресурс из SD и если не найдена из sd, а затем взять его из Asset и, если возможно, записать актив обратно в SD Эта функция может проверяться путем вызова метода, если SD установлен и доступен … boolean bSDisAvalaible = Environment.getExternalStorageState().equals(Environment.MEDIA_MOUNTED); Моя разработанная функция может использоваться из одного […]

Как безопасно хранить токен доступа и секрет в Android?

Я собираюсь использовать oAuth для получения писем и контактов из Google. Я не хочу каждый раз просить пользователя войти в систему, чтобы получить токен доступа и секрет. Из того, что я понял, мне нужно сохранить их с моим приложением либо в базе данных, либо в SharedPreferences . Но я немного обеспокоен аспектами безопасности. Я читал, […]