LizzieSimpson18 авг 2022 в 09:21

Приложение UTair перестанет работать с 19 августа

1 мин

ТранспортМонетизация мобильных приложений * IT-компании

Комментарии 12

Alexus819 18 авг 2022 в 09:27

NashStore, или как там это поделие называется, не поможет "отцу русской демократии" (с) ?

fk0 18 авг 2022 в 09:42

Самое страшное, что андроид не проверяет подпись APK при установке и уже существуют масса альтернативных "магазинов приложений" занимающихся переупаковкой APK. Когда в авторское приложение добавляется непонятно чего ещё. Хорошо, если только показ рекламы.

Вообще в этом смысле самые страшные дыры в безопасности на мой взгляд: google apk, python pip, и microsoft nuget. Везде могут подложить свинью и это запросто остаётся незамеченным. Если сравнивать с пакетами в линуксе, то они подписываются (по крайней мере apt) авторским ключём и "переупаковать" пакет со своей самодельной подписью так просто не выйдет.

НЛО прилетело и опубликовало эту надпись здесь

nebularia 18 авг 2022 в 10:53

Что значит не проверяет? Он всё проверяет и записывает. Но с чем её нужно сверять при первой установке? Центров сертификации тут нет, в CN можно написать что угодно.

При обновлении уже есть с чем сравнивать, и "патченая версия" не пройдёт.

amlproject 18 авг 2022 в 15:18

А как сама система, локально существующая на моём девайсе, может что-то и как-то "проверить"?

Вот взял я готовый .apk из гуглоплея, выкинул, по обыкновению, модули рекламы, удалил все зависимости от гугла, отмодил всё, до чего руки дотянутся, вляпал свою подпись от балды (она должна быть, хоть какая-то) - установил приложение и живу в радости, пользуясь всеми возможностями приложения..

Кто и на что может сагриться?

fk0 22 авг 2022 в 11:30

Теперь сделай то же самое с *.apt файлом -- не получится. Так и может. Если сделано. А если не сделано, то и не может.

Варианта два: либо через онлайн запрос к некой базе публичных ключей, либо через цепочку сертификатов, вплоть до корневого, который уже есть в телефоне.

nebularia 23 авг 2022 в 11:21

Что такое .apt файл? Может .deb? Если так, то отлично получится через dpkg, например. Аналог запуска установщика APK вручную. Только тут подпись вообще нигде не будет проверяться.

Подпись проверяет только apt, который к локальным файлам отношения не имеет и не используется для их установки. Проверка эта нужна, чтобы убедиться что в репозиторий или через MITM не подсунули чего левого.

Никакой магической проверки тут нет, которая бы сработала при ручной установке.

SaNNy32 18 авг 2022 в 11:49

Для AppStore не поможет

amlproject 18 авг 2022 в 13:19

Разве .ipa установочные файлы - не заменят аппстор??

abaleilo 19 авг 2022 в 05:37

Нужен джейлбрейк, а его для актуальных версий iOS нет. Сейчас последняя версия iOS 15.6, имеется джейлбрейк вплоть до 14 версии, также анонсирован и скоро обещают для 15.0-15.1 и когда-то в будущем для 15.2-15.4. На этом пока всё.

fk0 18 авг 2022 в 09:35

Ну и отлично. 99% таких приложений внутри имеют спрятанный браузер и являются лишь мобильным сайтом. Более того, практически любой тот же функционал (кроме подслушивания и подсматривания) можно реализовать в браузере. В том числе и оффлайн-работу (показать билет, если нет сети). Впрочем пользователям лучше научиться скачивать билеты в виде файлов в почту. А то и телефон потерять можно.

amlproject 18 авг 2022 в 10:08

А просто выложить .apk файл, на своём сайте, для юзеров андроида - это так сложно?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий