Pull to refresh

Comments 18

История без окончания?
Что в dll изменили? У приложения нет серверной части и баллы хранятся лишь в нем? Тогда, наверное, можно было вообще нарисованный скриншот предъявлять вместо реального приложения?
У приложения есть серверная часть, но оно может работать и оффлайн. Количество баллов хранится как на сервере, так и на клиенте. Приложение генерирует QR-код, который нужно приложить к считывателю. В текущей версии, считыватель хоть и синхронизируется с сервером, но, вероятно, не проверяет количество баллов (т.е. можно уйти в минус).
Вообще говоря, вы правы, можно предъявить скриншот с действующим QR-кодом.
Изменял метод получения количества баллов.
Тоесть у вас украли кошелек, и вы решили, что это оправдывает, фактически, кражу обеда? Ок.
установив еще одну сломанную сборку
Не только обеда.
Сломанную = не запускающуюся.
Тогда нет. Но одно другого не исключает.
У меня не хватало несколько десятков баллов для покупки обеда, я же пользовался приложением до этого и у меня был положительный баланс.
Так а у карманника тоже не хватало пары рублей, вот он и стянул Ваш кошелек. Он так-то не всегда ворует, только по нужде, а еще много хороших вещей делает и кармический баланс у него положительный.
Ага, один будет одновременно переливать похлебку между двумя мисками, а второй морковку на морковку с ГМО
Поставил статье минус т.к. это не уязвимость. Клиентский код всегда подконтролен клиенту, он может делать с приложением все что угодно. Одновременно надежной и удобной для пользователя защиты от этого не существует. И я очень надеюсь, что не будет существовать.
Представьте, что у вас есть банк-клиент на Xamarin (а такой есть), и приложение-фонарик, которое не запрашивает никаких привилегий. Приложение-фонарик помещает библиотеку банк-клиенту в директорию на SD-карте (для этого не требуются привилегии, все приложения могут это делать по умолчанию), и ваш багк-клиент начинает пополнять не ваш телефон, а телефон разработчика приложения-фонарика.
Вероятно, статья написана на слишком понятно, я писал ее еще месяц назад, если не больше. Посмотрите Full Disclosure.
ну как минимум права записи на sd-карту у него должны быть. А тут уже можно и задуматься, зачем фонарику доступ к файлам?
спасибо за статью, теперь все ночь буду гадать, что за заведение такое, название которого похоже на «Лопата для еды»
Приезжайте на Масленицу в Ставрополь
Злоумышленник может поместить модифицированные библиотеки, которые изменяют логику работы программы, записывают действия пользователя или подменяют вводимые данные, в указанную директорию, а программа и не заметит подмены.
Если у Вас root, то уже не важно какой приоритет использования библиотек — можно заменить любую.

А алгоритм генирации QR кодов на клиенте лежит? Если так, то и библиотеку менять не нужно.
В последнее время стало модно рассказывать о чем-то не совсем законно полученным.
Если уж совесть позволяет эксплуатировать плохо написанное ПО (не важно на доллар или десять), то лучше делать это молча.
Only those users with full accounts are able to leave comments. Log in, please.