Articles of Безопасность

Как эмуляция карт на основе программного обеспечения (HCE) гарантирует безопасность NFC?

При введении HCE для подражания карты не требуется защитный элемент (SE). В результате нет хранилища для хранения конфиденциальной информации приложения, имитирующего карту, например, баланса, CVV2, PIN-кода и т. Д. Я просто хочу знать, как андроид исправляет эту проблему? Где хранится конфиденциальная информация о приложениях? Использует ли Google Кошелек эту технологию? Если да, то как конфиденциальная […]

Сохраняет ли соль соль и зашифрованную защиту от взлома?

Я пишу приложение для Android, которое предназначено для шифрования и дешифрования файлов с использованием AES 256. Я использую режим AES-CBC и PBKDF2 для получения ключа AES из введенного пользователем пароля. Кроме того, я создаю безопасную псевдослучайную соль для ключа шифрования каждого файла. Я храню IV и соль с зашифрованным файлом, поэтому я могу перечитать их […]

Безопасные запросы веб-сервисов

Мне нужно сделать запросы к веб-службе через приложение Android. Webservice может быть спроектирован по мере необходимости. Мне кажется, что независимо от того, какой из подходов я выберу, кто-то, кто хочет его взломать, просто нужно будет перепроектировать код моей андроидной привязки (который не очень тяжелый), и я мог точно видеть, что я делаю, потому что я […]

Проверка биллинга в приложении для Android

Если я отключу проверку на удаленном сервере, я думаю, что процесс будет выглядеть примерно так: Android Market Application Remote Server |——–IN_APP_NOTIFY——->| | | |—–nonce—–>| | |<—-nonce——| |<-GET_PURCHASE_STATE_CHANGED-| | |—PURCHASE_STATE_CHANGED—>| | | |–verification->| | |<-verification–| Если я правильно понимаю, то nonce – уменьшить уязвимость атаки при повторном запуске, а проверка заключается в уменьшении уязвимости при спуфинге. […]

Как я могу создать безопасный API / Аутентификация для мобильных приложений для доступа к службе?

Я хочу предложить некоторые функции моего webapp, которые будут использоваться в других приложениях (я думаю в основном о смартфонах, поскольку они предлагают больше возможностей, например, GPS, Camera, ..). Из того, с чем я столкнулся до сих пор с точки зрения других API, например, GoogleMaps, является то, что сторонний разработчик зарегистрируется на моем сайте, он получает […]

Безопасность строковых ресурсов

Мне было интересно, что такое безопасность папок ресурсов Android (я особенно обеспокоен строками). Я знаю, я знаю, было бы смешно хранить пароль в Strings.xml. Это не так, но как легко заглянуть на эти ресурсы, получить доступ к разумной информации о приложении?

Невозможно извлечь скрытый показатель для Android KeyStore

Я хочу создать пару ключей RSA в Keystore Android. Так как Android 4.3 должен быть способен генерировать ключи RSA в системе Keystore системы Android. Я генерирую ключ RSA (отлично работает) Calendar notBefore = Calendar.getInstance(); Calendar notAfter = Calendar.getInstance(); notAfter.add(1, Calendar.YEAR); KeyPairGeneratorSpec spec = new KeyPairGeneratorSpec.Builder(ctx) .setAlias("key") .setSubject( new X500Principal(String.format("CN=%s, OU=%s", "key", ctx.getPackageName()))) .setSerialNumber(BigInteger.ONE) .setStartDate(notBefore.getTime()) .setEndDate(notAfter.getTime()).build(); […]

Как защитить Google In-App Billing v3 от взлома кода?

Google предоставляет удобный API для реализации функций «покупки в приложении» в приложении для Android. Наряду с этими документами есть также отдельная глава, посвященная уровню безопасности этой системы и хорошим способам ее разработки. В Интернете полно статей об этом шаге, от защиты открытого ключа до проверки на удаленном сервере , но я действительно не могу понять, […]

Должны ли мы использовать провайдера безопасности Google с помощью OkHttp?

Мы используем okhttp в нашем Android-проекте, чтобы поговорить с нашим API; Все коммуникации шифруются с помощью SSL / TLS, и наши серверы могут говорить SPDY. Мы также связываемся с Google Play Services для поставщика плавного доступа и некоторых других функций. Часть Служб Службы, которые мы в настоящее время не используем, является их поставщиком безопасности , […]

Безопасность отправки конфиденциальных намерений в моем собственном приложении?

У меня есть активность, которая запрашивает имя пользователя и пароль, а затем запускает другое действие в моем приложении, чтобы завершить регистрацию пользователя. Я хочу отправить имя пользователя + пароль в качестве дополнительных намерений для второго действия. Что-то вроде: Intent intent = new Intent(activity, SecondActivity.class); intent.putExtra("u", username); intent.putExtra("p", password); startActivity(intent); И мой манифест определяет SecondActivity как: […]

Intereting Posts
Как получить результат OnPostExecute () для основного действия, потому что AsyncTask – это отдельный класс? Android – настройка настраиваемого выделенного фона для ClickSpan Как изменить размер веб-представления android после добавления в него данных SetAdapter "Для вызова требуется уровень API 11 (текущий мин – 8): android.widget.AbsListView # setAdapter"? Java.lang.ClassCastException: android.widget.TextView. Почему я получаю это? Android Stop Фоновая музыка ViewPager не всегда обновляется при вызове setAdapter, FragmentStatePagerAdapter Заявка на Android WebView с пользовательскими заголовками Настроить приложение Qt5 5.7 для Android с помощью CMake Как я могу предотвратить программирование устройства Android? Ни пользователь 10102, ни текущий процесс не имеют android.permission.READ_PHONE_STATE Разница между кинжалом и ButterKnife Android Как создать Android VectorDrawables из Illustrator (или аналогичный инструмент)? Как получить контекст в getView для адаптера для listview Невозможно включить в android.app.Fragment