Как эволюционировали уязвимости в приложениях для Android (12 мин) - историческая ретроспектива уязвимостей мобильных приложений под Android
#security
#security
👍26👎14❤2
Firebase имеет возможность проверять и помогать защищать ваше приложение с помощью Firebase App Check, включающая несколько инструментов:
👉 DeviceCheck для Apple платформы
👉 Play Integrity для Google Play
Нас будет интересовать Play Integrity, которая дает возможность проверять что ваше приложение не было атаковано и в нем ничего не заменили. В статье (5 мин) будет гайд
#firebase #googleplay #security
👉 DeviceCheck для Apple платформы
👉 Play Integrity для Google Play
Нас будет интересовать Play Integrity, которая дает возможность проверять что ваше приложение не было атаковано и в нем ничего не заменили. В статье (5 мин) будет гайд
#firebase #googleplay #security
👍29👎5
Jetpack Credential Manager выходит в Beta, а это значит что уже API финализировано. Библиотека позволяет встроить механизм авторизации без паролей с помощью биометрии - passkeys
Android 14 имеет расширенную поддержку и может работать с несколькими менеджерами паролей.
#jetpack #security #android14
Android 14 имеет расширенную поддержку и может работать с несколькими менеджерами паролей.
#jetpack #security #android14
👍28👎12🔥1
Google Play Protect будет предлагать пользователю проверить приложение, которые система никогда не проверяла ранее. Анализ будет выполняться н устройстве с отправкой частей на сервера. Раскатка фичи будет происходить постепенно на всех пользователей.
Источник тут
#googleplay #security
Источник тут
#googleplay #security
👎23👍13
This media is not supported in your browser
VIEW IN TELEGRAM
Google активно продвигает технологию Passkeys - более простая для пользователей и надежнее по безопасности, позволит отказаться от двухфакторной авторизации (за которую платить приходится)
Если вы хотите узнать как интегрировать ее в Android приложение, то Google выпустила курс на эту тему
#security
Если вы хотите узнать как интегрировать ее в Android приложение, то Google выпустила курс на эту тему
#security
👍38👎7
1 ноября станет доступен публичный релиз Credential Manager для упрощения авторизации в приложениях и на сайтах, а также делая её надёжнее. Это станет доступно благодаря поддержки Passkeys в версии 1.2.0
#security #jetpack
#security #jetpack
👍57👎8
Руководство по миграции с FIDO2 на Jetpack Credential Manager
Почему стоит мигрировать? Потому что Jetpack Credential Manager
🔐 Поддержка Passkey
🔐 Несколько методов авторизации
🔐 Поддержка сторонних менеджеров паролей
🔐Единый UI/UX авторизации для пользователей
#security #jetpack
Почему стоит мигрировать? Потому что Jetpack Credential Manager
🔐 Поддержка Passkey
🔐 Несколько методов авторизации
🔐 Поддержка сторонних менеджеров паролей
🔐Единый UI/UX авторизации для пользователей
#security #jetpack
👍21👎7
Обзор и сравнение актуальных инструментов шифрования в Android (12 мин)
1️⃣ В лоб - самостоятельное шифрование примитивами из Android SDK (AES Encryption)
2️⃣ EncryptedFile и EncryptedSharedPreferences из Jetpack
Помимо сравнения автор рассказывает, как они в команде решают проблемы с шифрованием на Android-устройствах
#security
1️⃣ В лоб - самостоятельное шифрование примитивами из Android SDK (AES Encryption)
2️⃣ EncryptedFile и EncryptedSharedPreferences из Jetpack
Помимо сравнения автор рассказывает, как они в команде решают проблемы с шифрованием на Android-устройствах
#security
👎32👍24
Разбираемся с MavenGate, новой атакой на цепочку поставок для Java и Android-приложений (11 мин)
Новый тип атак - подмена библиотек в репозитории из-за некоректных настроек и логики работы Maven и Gradle. Все подробности атаки в статье
#security
Новый тип атак - подмена библиотек в репозитории из-за некоректных настроек и логики работы Maven и Gradle. Все подробности атаки в статье
#security
👍17🎉2
Forwarded from Kotlin Adept Notes (Alex Panov)
Нашли серьезную уязвимость в Jetpack Navigation Compose, которая позволяет открыть любой экран в приложении, даже если там нет явных диплинков ⚠️
Эксплуатируется она максимально просто, достаточно знать имя пакета и название маршрута в графе навигации:
Как защититься
1. Разумеется лучший вариант не использовать данную навигацию, можете посмотреть мой пост со сравнением библиотек навигации для Compose и выбрать подходящую
2. Если в приложении не используются диплинки, можно частично решить проблему перетерев data в определенном intent:
#Security #Compose
@kotlin_adept
Эксплуатируется она максимально просто, достаточно знать имя пакета и название маршрута в графе навигации:
Intent().apply {
setClassName("your.package", "your.package.MainActivity")
data = Uri.parse("android-app://androidx.navigation/YOUR_DESTINATION")
startActivity(this)
}
Как защититься
1. Разумеется лучший вариант не использовать данную навигацию, можете посмотреть мой пост со сравнением библиотек навигации для Compose и выбрать подходящую
2. Если в приложении не используются диплинки, можно частично решить проблему перетерев data в определенном intent:
val intentData = intent.dataString
if (intentData != null && intentData.startsWith("android-app://androidx.navigation")) {
intent.setData(null)
}
#Security #Compose
@kotlin_adept
Please open Telegram to view this post
VIEW IN TELEGRAM
👍49👎12🤯2❤1🤔1
Основная цель библиотеки — предоставить действительные (actionable) данные о состоянии безопасности устройства и его компонентов, в частности:
👉 Версии обновляемых компонентов (updateable system components).
👉 Наличие применённых исправлений безопасности (security patches / applied fixes).
👉 Общий “security state” — то есть агрегированное представление безопасности системы.
То есть, библиотека даёт вам API, чтобы “спросить у Android”: насколько актуальна система, есть ли уязвимости, какие компоненты нуждаются в обновлении.
Она не заменяет шифрование/криптографию (как, скажем, security-crypto), но с дополняет стек безопасности: помогает принимать решения на основании состояния платформы.
#android #androidjetpack #безопасность
Please open Telegram to view this post
VIEW IN TELEGRAM
❤12👍8🤔1