Aplikacja Wykop na androida trzyma hasło OTWARTYM TEKSTEM
Aplikacja Wykop na androida trzyma hasło OTWARTYM TEKSTEM w pliku /data/data/pl.wykop.droid/shered_prefs/wykopDroidPrefs.xml Panowie żenada....
m.....m z- #
- #
- #
- #
- 308
Aplikacja Wykop na androida trzyma hasło OTWARTYM TEKSTEM w pliku /data/data/pl.wykop.droid/shered_prefs/wykopDroidPrefs.xml Panowie żenada....
m.....m z
Komentarze (308)
najlepsze
Oczywiste jest, że w typowej sytuacji nie jest możliwe zapisanie hasła tak, aby aplikacja mogła się nim logować, a ktoś z dostępem do niego - nie. Jeśli ktoś wykradnie nasz plik, to na pewno będzie w stanie korzystać z naszego konta. Jednak:
1.
To teraz zajrzyj do zaciemnianego kodu przykładowego Google Maps i powtórz to samo stwierdzenie ;-)
Poza tym klucz nie musi się znajdować w kodzie, nie musi być stały dla każdego użytkownika. Może być np. generowany losowo przy pierwszym starcie aplikacji i przekazywany serwerowi. Oczywiście jeśli otrzyma się pełny dostęp do urządzenia, to i tak będzie możliwe wyśledzenie, co i jak oraz wykradnięcie klucza, ale będzie to wymagało nieporównywalnie więcej poświęconego
Tak. Więc na grzebaniu w cudzych aplikacjach oraz łamaniu zabezpieczeń się co nieco znam ;-) Kiedyś na XDA ktoś zapytał, jak się dostać do stanu gry Angry Birds Rio, gdyż zastosowali właśnie szyfrowanie AES stałym kluczem zawartym w kodzie aplikacji. Dałem radę wyekstraktować ten klucz oraz algorytm szyftowania, choć zajęło mi to bite 2 dni :-)
Komentarz usunięty przez moderatora
Komentarz usunięty przez moderatora
Komentarz usunięty przez moderatora
Tak wszędzie węszę spiski.
Tutaj mamy telefon użytkownika, w dodatku plik znajduje się poza ogólnie dostępnym rejonem (trzeba zrootować). Trzymanie hasła w ten sposób jest jak najbardziej odpowiednim rozwiązaniem.
Bawienie się w jakieś
Oczywiście, że SĄ inne opcje. Aplikacja wykopu to nie przeglądarka internetowa tylko ich autorska apka więc wystarczy aby serwer po udanej autoryzacji generował hasło aplikacji i ono byłoby trzymane zamiast tego właściwego. Zaleta jest taka, że hasło użytkownika może pasować też do innych serwisów np poczty i kiedy zostanie wykradzione można narobić komuś burdelu. Poza tym uniemożliwi to zmianę hasła do konta jeżeli