Отключение проверок состояния среды исполнения в Android-приложении

[Prototik]

И всё это обходится банальным Magisk (ну ладно, отладку и usb он не спрячет, но рут приложение не найдёт, зато пройдёт SafetyNet).

А вообще это дико раздражает, когда кто-то за меня решает, что и как я должен делать на моём устройстве.

[Skif_1993]

Спасибо за отзыв. Ознакомлюсь с этими программами. Не знал про них

[grvelvet]

Да, отличная утилита, плюс ещё хороша systemless модулями.

[Skif_1993]

Спасибо большое. Обязательно ознакомлюсь.

[qw1]

Я думаю, когда Magisk наберёт популярность, сравнимую с chainfire SuperSU, будут прицельно его детектировать.

[Prototik]

В том то и дело, что он systemless (ставится в boot, само приложение может перепаковываться под непонятную белиберду). system раздел не трогается, dm-verify проходит, safetynet проходит — его *мягко говоря* трудно задетектить, если не сказать, что невозможно.

[qw1]

Это так. Но boot разве не доступен приложениям на чтение? Можно распаковать initramfs и найти там следы Magisk.

[Prototik]

Но boot разве не доступен приложениям на чтение?

Конечно нет, все разделы — сплошное 0600 и доступны исключительно руту.

[Mofas]

Что использовали для обфускации?

[Skif_1993]

Код не был обфусцирован.

[arturdumchev]

… предложили клиенту обфусцировать исходный код и использовать функции которые проверяют модификацию исходного кода.

Подскажите, что почитать по поводу функций проверки модификаций. Имеется в виду checksum-тесты?

[Skif_1993]

Мы дали ему рекомендации из OWASP.
https://www.owasp.org/index.php/Mobile_Top_10_2016-M9-Reverse_Engineering

[Zolg]

Что там про отдельное место в аду, для постящих код картинками?

А по теме — на рутованом аппарате сколь либо серьезно усложнить жизнь шансов нет. (разве что совсем пионерам).
Зачем модифицировать исследуемый код, когда можно просто перехватить часть системных функций и творчески подменять результаты?

[petrovichtim]

Подскажите пожалуйста, какие есть бесплатные обфускаторы?

[Skif_1993]

ProGuard — уже идёт в комплекте с Android Studio

[Jarvis7]

Полезная статья. Продолжай в том же духе!

[qw1]

Вы анализируете приложение, декомпилируя его, а затем ищете по ключевым словам.
Если, следуя вашим советам, клиент заранее обфусцирует код (да ещё воспользуется таким обфускатором, который шифрует строки), что вы будете делать? Скажете — «наш grep-анализ ничего не нашёл, тут всё безопасно»?

[Skif_1993]

Вы снизите свои риски. Это точно.

[qw1]

Так пока нет обфускации, вы находите уязвимости типа

или
Log.d(Class.TAG, "Generated Password=" + passwd);
или
MessageDigest.getInstance("MD5");
а так в коде было бы
а.b.aa(aa.b.a.decode("[encrypted 'MD5']"));
и никакой проблемы вы бы не нашли.

[Artem_zin]

Так и в чем здесь уязвимость?
Смогли украсть какие-то данные, или обмануть сервер? Нет.

То что происходит на устройстве пользователя — это дело пользователя, на остальных пользователей это никак не влияет.

Более того, нормальное приложение и не будет проверять есть ли рут или режим разработчика, отправить в аналитику на бекенд — почему нет, блокировать функционал — бред.