Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 14
Обычно, приложение, пытающееся определять наличие рут доступа - успевает определить это один раз.
А дальше оно уже не может ничего определить, потому что это Рут доступ.
Всегда поражала эта глупость - попытка переиграть админа в его правах.
Смешно. А по факту - это война меча и щита. И буквально пару дней назад она меня задолбала и я купил отдельный телефон для таких капризных приложений, потому что у меня уже нет ни времени ни моральных сил пытаться запустить Google Wallet под Magisk+LSPosed+XPrivacyLua не отключая при этом все эти защиты для Google Play Services сотоварищи. Я попытался, оно сходу с минимально допустимыми (для меня) ограничениями не завелось, ну и вот. Может там и получилось бы что-то нашаманить убив на это несколько часов, но не факт. И даже если бы получилось, то не факт, что через несколько недель после очередного обновления оно бы снова не поломалось. Когда я некоторое время назад тестил Safety Net на этом телефоне - всё проходило, но, видать, Google Wallet этого мало.
Владельцы рутированных устройств умеют скрывать рут.
Впрочем, это будет распространяться лишь на корпоративные устройства ("this change applies only to Microsoft Entra customers"), а там рута и так нет.
Время переходить на опенсорсный Aegis Authenticator. Под рутом, кстати, он может подтянуть даже генератор из андроидовского приложения Steam.
Или KeePass. Он тоже умеет OTP делать. Правда, обычно в нём же и пароль лежит, т.е. это уже не 2FA по сути. Но это можно решить сделав для 2FA отдельную БД и держать её на другом устройстве. Ну или не заморачиваться, если есть уверенность в защищённости основной БД и компа, на котором она используется.
Поддерживаю идею с двумя БД - под пароли и под TOTP.
Файлы всегда твои, можно их бэкапить, копировать. Контроль над безопасностью. Полный оффлайн.
Для некоторых своих родственников, которым тяжело держать 2 БД для этого - вариант держать одну БД с паролями и TOTP. Это лучше, чем решения без простых и удобных бэкапов. Человеческий фактор у пожилых людей очень высок и надо учитывать эти риски.
Ушёл с ms аутентификатора на Proton.
Самый большой плюс для меня был в том, что он умеет синхронизироваться между ios и Android устройствами.
Проблема в том, что MS Authenticator предоставляет не только TOTP, но и какой-то собственный долбанутый протокол, который вроде бы ни в одном другом клиенте не воспроизвели. При этом чтобы включить TOTP на MS-аккаунте, нужно пройти первичную настройку 2FA, которая осуществляется через MS-протокол и никак иначе. Кроме того, TOTP может быть вообще заблокирован корпоративными политиками, оставлен только MS.
TOTP может быть вообще заблокирован корпоративными политиками, оставлен только MS.
Тогда и телефон отдельный дадут.
Могут дать, а могут разрешить и личным пользоваться. И я предпочту именно личный, чтобы не плодить зоопарк девайсов и не таскаться всюду с целой пачкой землекопательного оборудования. И опять же, даже если нет никаких политик, первая настройка — через MS-аутентификацию. Если на смартфоне приложение не ставится, то как её выполнять? Покупать лишний смартфон специально для однократного запуска этого MS-поделия? Или переустанавливать систему на стоковую, чтобы потом рутовать всё снова?
Самое смешное, что коды для OTP не восстанавливаются из "облачного бекапа" и нельзя перенести аккаунты на новое устройство (как у Apple и Google).
Занятно что опенсорс поделка из ф-дроида работает стабильнее и предсказуемее, чем софт от конторы с миллиардными бюджетами)
Третий этап с очисткой данных вообще ни в какие ворота. Приложение для аутентификации не должно иметь прав mdm-профиля на удаление чего-либо
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Microsoft Authenticator перестанет работать на рутированных устройствах