Видео

Лучший !!! Единственный человек которого приятно слушать и все понятно !!!

@AndroidGuards Приветствую! Отличный материал, спасибо за контент. А где выпуск про keyStore? о котором речь 23:05 :)

годнота спасибище

Здравствуйте! Как вы считаете прям совсем зелёному новечку будет интересна данная книга? в программировании я не сильно силён, программировал на python :)

С 1 апреля!)

Мог бы и оглавление для затравки прочитать

А чо не пехепе?

Давай жги

Канал будет менять название? и в телеге? А то как то так и затерять ваш контент можно. А еще, где моя футболка?)

а насколько этот процесс будет отличатся если будем иметь дело с рилизным билдом а не дебажным, и что если это app bundle а не apk?

Здравствуйте, в тайм-коде 1:36:42 упомянаеться модель атаки - melory. Можно пожалуйста указать источник этого термина, поисковик не чего не находит по этому запросу.

Это лекция в универе?) где лабы?)

Красава

Добрый день, у меня вопрос появился, а как сделать так, что после идентификации, переходить на другую странницу приложения, а то у меня получилось слишком странно

Путь с дизассемблером более универсальный: ключи вытащить/пропатчить и тд.

На каком языке программирования приводятся примеры в данной книге?

На сейчас можно поставить пароли на приложение в настройках устройства что с ними?

Спасибо большое за стрим

Добрый день, Артем, хотел Вас поблагодарить за отличный обзор! Книга очень интересная, для себя узнал много нового. Могли бы вы порекомендовать что-то еще интересного и глубого по Андроиду или может в целом по инженерии. Просто в основном книги по Андроиду, это рассказы про апи или для новичков, что не особо интересно. Спасибо!

Книжку "Хакинг" читали? Вроде недавно вышла

Мне действительно нравится ваш контент, Любовь из Индии

Спасибо за обзор!

Канал просто кайф, есть ли чат в тг или какая то группа ?

после 15:25 счётчик супер, поломался)) Круто, спасибо. отличная идея делать обзор книг !!

Где ссылка на статью на хабре?)

круто, спасибо!

9:15 Но ведь это в итоге на пользу приложению, ведь уязвимость после этого исправили, во всяком случае должны были :) По этой же причине в опенсорсе вообще меньше уязвимостей

Спасибо за обзор!

Как идея для пентеста опенсорсного приложения - KDE Connect. Это приложение для связи между собой ПК (Linux+KDE) и телефона. В случае успеха, есть вероятность сделать что-нибудь интересное на хост машине)

Круто

Просто гениально просто о не просом. Спасибо за труд!

Дай бог здоровья автору!

Шикарное видео и отличный обзор! Посмотрел с удовольствием!

Лайк, репост, подписка :D

А что за "следующая" лекция про мобильную безопасность упоминается? Она есть в открытом доступе где-нибудь?

Порадовало то что гугл начал топить за секур элементы - это отдельная важная история. Гугл потихоньку вводит апи для работы с ними ещё начиная с девятого андроида, но пока что для сертификации устройства под андроид их наличие не являлось обязательным, и де-факто такие чипы стоят только в пикселях, и гуглу это не нравится, потому что они дают огромное количество новых возможностей, но ни один из вендоров не чешется чтобы бежать и распаивать их на платах своих устройств. Я уверен что гугл начинает работу в эту сторону по нескольким причинам: 1. eSIM карты. Они набрали некоторую популярность уже и будут становиться только популярнее в будущем. Все айосы выпущенные за последние пару лет их уже поддерживают, а на стороне андроида пока поддерживает только пиксель и связано это исключительно с тем что для этого нужен внешний чип ну или нативная поддержка в трастзоне на ARM чипах. 2. NFC на телефоне это очень удобно, но в то же время лишено главного преимущества NFC - энергонезависимости. Телефон сел и всё - оплатить уже ничего нельзя. Использование секурэлемента на отдельном чипе вместо основного кристалла позволит творить такие крутые вещи как например оплата покупок или использование проездного даже на полностью разряженном и выключенном устройстве. Т.е. чип сможет работать автономно, запитываясь непосредственно во время прикладывания к терминалу оплаты. Я работал некоторое время с секурити чипами от NXP и на самом деле есть возможности развивать весь этот физический интерфейс даже за пределы обычных сценариев "приложил - оплатил". Насколько мне известно у NXP с гуглом грандиозные планы на совместные проекты, но я не уверен могу ли я о них рассказывать из-за NDA. 3. Аппаратный safetynet. Одна из любимых тем нашего уютного чатика в телеге) Будут выделенные чипы - будет возможность у гугла пробивать любые способы сокрытия рута. Пока мы ещё можем наслаждаться последним временем работы magiskhide, но в будущем скрыть изменения в системе будет уже невозможно, и это в общем-то правильно. 4. Учитывая что в будущем паспорта, водительские права и прочие штуки также смогут переехать на NFC взаимодействие через смартфон, то гугл очень заинтересован начать подгонять вендоров с интеграцией чипов в новые устройства. Эпл вот на недавнем WWDC уже рассказал о какой-то стандартизации и поддержке физических замков которые смогут открываться по NFC, гуглу очень стоит поторопиться. Я лично обожаю всё что связано с безопасностью, информационной и физической, криптографию и все её крутые прикладные возможности. Я уверен за развитием всей этой движухи будет очень интересно наблюдать, хоть я и отдаю себе отчёт в том что это всё максимально будет завязано на систему и скорее всего ограничено для пользователей и разработчиков

Спасибо за отличное видео и вложенный в него труд. Крутой детальный обзор, как раз то что нужно вместо кратких обзоров внешних изменений. Посмотрел с удовольствием. Наброшу несколько своих мыслей по поводу услышанного. По поводу значков камеры и микрофона - я тут скорее отношусь скептически. Считаю что сделано это в основном дабы соответствовать айосу и нынешним модным трендам на приватность. Их появление это безусловно круто и правильно, но ИМХО, пользы от этого не очень много. Во-первых, я думаю что эпоха зловредов которые напрямую смотрят в камеру или слушают в микрофон прошла, а для своих личных целей, типа сбора информации о пользователе, и прослушивания разговоров гугл всё равно оставит лазейки в виде разных системных компонентов которые для "анализов входа в целях улучшения качества обслуживания и прочее" будут получать доступ напрямую из системных гугл сервисов, как и возможность через какие-нибудь глубоко системные штуки заглядывать во фронтальную камеру для грядущего рынка рекламы проверяющей эмоциональную реакцию и внимание. Во-вторых, гугл как и эпл прекрасно осведомлены об особенностях рынка сбора персональных данных, и обе компании являются одними из самых активных его участников. Эпл надувая щёки от важности говорит что "приватность - это айфон" и вводит свои "разрешить/запретить этому приложению вас отслеживать" чтобы получить одобрение аудитории (кстати, готов поспорить, что гугл тоже сделает это в андроид 13). Гугл вводит большие значки камеры и микрофона. Всё это попытки дёшево показать свою заботу о клиентах, на деле запустив в них тентакли ещё глубже. Я считаю что как и в случае с эппл, всё это является лицемерием. И гугл и эпл отлично понимают проблему утечки различных данных и возможностей построения фингерпринтов устройств и конечных пользователей, как именно это делается и что именно для этого необходимо ограничивать (разные несменяемые идентификаторы, доступ к уникальной информации о системе который не закрыт вообще никакими пермишенами и т.д.) и как ограничивать (несколько другой подход к разрешениям, более строгие и гранулированные ограничения, гранулированные ограничения по доступу в сеть, выбор пользователем возможности способа ограничения доступа к информации). И вот в эту сторону как раз не то чтобы много что делается, по крайней мере в лагере андроид, про айос - не в курсе. Это умеют делать для себя энтузиасты, но всё это требует рута и/или модификаций системы и не может стать по настоящему массовым. Я уверен что реальной целью всего спектакля является расталкивание локтями расплодившихся конкурентов по жирному рынку таргетированной рекламы. Гугл и эпл хотят выдавить с рынка крупных игроков вроде фейсбука и стать монополистами на своих платформах, тем более что помешать им фейсбук может чуть менее чем никак. Для нас, конечных пользователей, в этом безусловно есть своя выгода, но о говорить об этом как о революции приватности - как минимум странно. Тема с гибернацией порадовала. Многие приложения садят батарею тем что постоянно стартуют на полученные пуши плюс на разные бродкасты в системе. Здесь похоже пользователь будет сам решать что именно он хочет видеть. Нравится, годно. Если я понял правильно из пары кратких обзоров то private compute core - это такая фича которая будет изолировать некоторые вычисления в отдельном процессе который капитально изолирован от адресного пространства зиготы. Так работает custom chrome tabs в вебвью - через специальный костылёк в системных привелегиях который разрешает именно вебвью запускаться вот в таком окружении полностью отвязанном от других процессов приложений. В вебвью это особенно важно и в вебвью это было обкатано впервые, потому что это самая большая и больная поверхность атаки. С таким механизмом всякие удалённые эксплоиты даже если и смогут проэксплуатировать движок браузера, то всё равно останутся со всех сторон огороженными и неспособными пробиваться куда-то дальше. Как то так я это понял, может быть не до конца, хз. Плюс такие процессы получают полный запрет на возможность хождения в сеть. Прикольно.

44:57 - а это будет работать только на Android 12 или на всех, если собрать приложение с targetSdkVersion 31?

Спасибо! Хороший и полный разбор

Все ссылки в описании под видео. Не пропустите! UPD 14.06.2021: Вышел еще один апдейт после которого стало понятно, почему я не смог запустить некоторые штуки. Их просто небыло на момент записи видео и они их постепенно докатывают. Апдейт тут: android-developers.googleblog.com/2021/06/android-12-beta-2-update.html

Спасибо android guard king

Must have для мобильного разработчика. Люто плюсую!

Супер, спасибо!

Спасибо за раскрытие темы, а где можно Вашу шпаргалку посмотреть?

Спасибо за информацию. Использую версию биометрии 1.1.0 с executor вместо корутин. Там нет крашей, но есть утечка памяти)

Спасибо. Теперь я точно понял :)

Божественно, спасибо!

Смотрел с телевизора и телефона. Очень маленький шрифт. Включай, пожалуйста, Presentation Mode или выставляй размер шрифта в коде побольше. Я на 27" Retina 5K использую 30

Было бы классно увидеть стрим по инструментарию реверс инженеринга (Фрида, как ее установить в VS Code, JD GUI, прочее)

Решение краша довольно вонючее если честно. А перед тем как показывать гугловый код, в следующий раз делай ограничение 18+, это вообще шок контент.