#TikTok

Λογισμικό, λειτουργικά συστήματα, προγραμματισμός, hardware, δίκτυα, Internet
Άβαταρ μέλους
Yochanan
Δημοσιεύσεις: 7931
Εγγραφή: 31 Μαρ 2018, 13:44
Phorum.gr user: Yochanan

Re: #TikTok

Μη αναγνωσμένη δημοσίευση από Yochanan » 29 Ιουν 2020, 09:43

#OURANIA88
O chestnut-tree, great-rooted blossomer,
Are you the leaf, the blossom or the bole?
O body swayed to music, O brightening glance,
How can we know the dancer from the dance?

Άβαταρ μέλους
Μαυροβασίλης
Δημοσιεύσεις: 6229
Εγγραφή: 31 Μαρ 2018, 19:45

Re: #TikTok

Μη αναγνωσμένη δημοσίευση από Μαυροβασίλης » 29 Ιουν 2020, 09:50

εννοείται, πώς θα κατακτήσει τον κόσμο ο Πρόεδρος Σι χωρίς τα ντατα του Κεβ απ' το Κροηντον και της Ουρανίας88
Χάρε, μην ψάχνεις να με βρεις στα πέρατα του κόσμου
μα σαν περάσω τα εκατό θαν έρθω αμοναχός μου

a8s
Δημοσιεύσεις: 14
Εγγραφή: 26 Ιουν 2020, 20:04
Τοποθεσία: /dev/null

Re: #TikTok

Μη αναγνωσμένη δημοσίευση από a8s » 29 Ιουν 2020, 10:33

Συγγνώμη, αλλά όλα αυτά τα δεδομένα τα συλλέγουν third party libraries στα περισσότερα apps και για να είμαι ακριβέστερος, το google/firebase analytics, καθώς και το firebase crashlytics libraries. Συμμετέχω στο development ενός app το οποίο είναι κομμάτι ενός προϊόντος/συσκευής και συλλέγουμε δεδομένα για το navigation εντός του app (δηλαδή σε ποιες οθόνες πηγαίνει ο χρήστης κατά την περιήγησή του εντός της εφαρμογής), για να μπορούμε να έχουμε μια εικόνα για το user experience, αλλά και για να ξέρουμε που σκαλώνουν οι χρήστες. Για προφανείς λόγους, το crashlytics library μας δίνει μια εικόνα για το τι πήγε στραβά και σε ποιο σημείο. Ε, ενώ χρειαζόμαστε μόνο αυτήν την πληροφορία, το analytics και το crashlytics μας δίνει τις περισσότερες πληροφορίες που αναφέρονται παραπάνω, από την ηλικία των χρηστών μέχρι και το πάροχό τους.

Τώρα, αυτό που αναφέρει παραπάνω οτι κοιτάζει τι εφαρμογές είναι εγκατεστημένες, είναι ένα κομμάτι του ελέγχου για το αν το κινητό είναι rooted (για τα android τουλάχιστον, δεν ασχολούμαι με iOS development). Για την ακρίβεια, ψάχνουν να βρουν αν είναι εγκατεστημένο το magisk. Και το pokemon go το έκανε και πολλές άλλες εφαρμογές το κάνουν. Τώρα, γιατί να μην θέλεις να τρέχει η εφαρμογή σου σε rooted ή jailbroken κινητό; Γιατί π.χ. δεν θέλεις να κάνεις expose τα API keys και urls που χρησιμοποιείς, ή τα pinned certificates.

Βέβαια, για να μην κρυβόμαστε πίσω από το δάχτυλό μας, προφανώς το TikTok συλλέγει δεδομένα για advertisement γιατί αυτό είναι το business model της εταιρίας, δηλαδή με κάποιο τρόπο πρέπει να βγάλει λεφτά. Δεν καταλαβαίνω όμως γιατί όταν το κάνουν κινέζικες εταιρίες είναι αβαβά, αλλά όταν το κάνουν αμερικάνικες είναι οκ.

Παραπάνω ο κύριος, δεν μας είπε σε ποια urls στέλνονται τα analytics κι ας έκανε reverse engineering. Στέλνονται όντως σε κάποιο κινέζικο url, ή πάνε στην google και γίνεται φασαρία χωρίς λόγο;

Άβαταρ μέλους
klg
Δημοσιεύσεις: 476
Εγγραφή: 15 Οκτ 2018, 12:14
Phorum.gr user: klg

Re: #TikTok

Μη αναγνωσμένη δημοσίευση από klg » 29 Ιουν 2020, 11:03

a8s έγραψε:
29 Ιουν 2020, 10:33
Τώρα, αυτό που αναφέρει παραπάνω οτι κοιτάζει τι εφαρμογές είναι εγκατεστημένες, είναι ένα κομμάτι του ελέγχου για το αν το κινητό είναι rooted (για τα android τουλάχιστον, δεν ασχολούμαι με iOS development). Για την ακρίβεια, ψάχνουν να βρουν αν είναι εγκατεστημένο το magisk. Και το pokemon go το έκανε και πολλές άλλες εφαρμογές το κάνουν. Τώρα, γιατί να μην θέλεις να τρέχει η εφαρμογή σου σε rooted ή jailbroken κινητό; Γιατί π.χ. δεν θέλεις να κάνεις expose τα API keys και urls που χρησιμοποιείς, ή τα pinned certificates.
Ναι εντάξει, δεν έχετε κανέναν σοβαρό λόγο να ελέγχετε αν το κινητό είναι rooted, πέρα ίσως από legalities απο αφορούν τη χρήση του app store σαν developers. (Υποθέτω)

Αυτά για τα api keys, urls και pinned certificates είναι παπαριές, με απλή στατική ανάλυση του binary θα βρεθούν, οπότε υποθέτω δεν είναι θα εφησυχαστεί κάποιος στο 'δεν τρέχω σε rooted device' και θα το πάει σε ένα πιο περίπλοκο obfuscation/encryption scheme, κάτι που καθιστά moot το σκηνικό του να μην τρέχω σε rooted device για να προστατεύσω τα secrets μου. Ούτε το rationale το ότι το device είναι unsafe λόγω root access του χρήστη βγάζει νόημα. Ο χρήστης το έκανε root, αυτό ήθελε, οπότε ξέρει τι κάνει. Ένα malware που θα κάνει leverage ένα LPE δεν θα σου ρουτάρει τη συσκευή με τον ίδιο τρόπο anyway, οπότε δεν σου προσφέρει κάποια ιδιαίτερη ασφάλεια.

a8s
Δημοσιεύσεις: 14
Εγγραφή: 26 Ιουν 2020, 20:04
Τοποθεσία: /dev/null

Re: #TikTok

Μη αναγνωσμένη δημοσίευση από a8s » 29 Ιουν 2020, 11:41

klg έγραψε:
29 Ιουν 2020, 11:03

Αυτά για τα api keys, urls και pinned certificates είναι παπαριές, με απλή στατική ανάλυση του binary θα βρεθούν, οπότε υποθέτω δεν είναι θα εφησυχαστεί κάποιος στο 'δεν τρέχω σε rooted device' και θα το πάει σε ένα πιο περίπλοκο obfuscation/encryption scheme, κάτι που καθιστά moot το σκηνικό του να μην τρέχω σε rooted device για να προστατεύσω τα secrets μου. Ούτε το rationale το ότι το device είναι unsafe λόγω root access του χρήστη βγάζει νόημα. Ο χρήστης το έκανε root, αυτό ήθελε, οπότε ξέρει τι κάνει. Ένα malware που θα κάνει leverage ένα LPE δεν θα σου ρουτάρει τη συσκευή με τον ίδιο τρόπο anyway, οπότε δεν σου προσφέρει κάποια ιδιαίτερη ασφάλεια.
Δεν θα διαφωνήσω καθόλου στα παραπάνω. Αν θέλει κάποιος για τον οποιοδήποτε λόγο να κάνει compromise το app σου και είναι αρκετά μερακλής, θα τα καταφέρει με τον έναν ή τον άλλο τρόπο. Εξάλλου, δεν υπάρχει 100% trustworthy τρόπος να εγγυηθείς οτι μπορείς να κάνεις detect οτι ένα device είναι rooted ή όχι.

Επειδή φαίνεται να γνωρίζεις, υποθέτω γνωρίζεις οτι αν ένα app πρέπει να τρέχει σε rooted devices ή όχι, δεν είναι απόφαση που την παίρνουν οι developers. Απλά κάποιος μανατζαραίος προσπαθεί να κάνει το κομμάτι του στους από πάνω του :D

[offtopic]
Η τελευταία λέξη της μόδας, είναι να κρύβεις sensitive data μέσα σε native libraries, γιατί πολύ απλά τα QA teams και οι security consultants που κάνουν security tests δεν μπαίνουν στον κόπο να ψάξουν στα libraries για τέτοια δεδομένα. Το μαθαίνετε εδώ, εκμεταλλευτείτε το :D
[/offtopic]

Άβαταρ μέλους
klg
Δημοσιεύσεις: 476
Εγγραφή: 15 Οκτ 2018, 12:14
Phorum.gr user: klg

Re: #TikTok

Μη αναγνωσμένη δημοσίευση από klg » 29 Ιουν 2020, 11:48

a8s έγραψε:
29 Ιουν 2020, 11:41
klg έγραψε:
29 Ιουν 2020, 11:03

Αυτά για τα api keys, urls και pinned certificates είναι παπαριές, με απλή στατική ανάλυση του binary θα βρεθούν, οπότε υποθέτω δεν είναι θα εφησυχαστεί κάποιος στο 'δεν τρέχω σε rooted device' και θα το πάει σε ένα πιο περίπλοκο obfuscation/encryption scheme, κάτι που καθιστά moot το σκηνικό του να μην τρέχω σε rooted device για να προστατεύσω τα secrets μου. Ούτε το rationale το ότι το device είναι unsafe λόγω root access του χρήστη βγάζει νόημα. Ο χρήστης το έκανε root, αυτό ήθελε, οπότε ξέρει τι κάνει. Ένα malware που θα κάνει leverage ένα LPE δεν θα σου ρουτάρει τη συσκευή με τον ίδιο τρόπο anyway, οπότε δεν σου προσφέρει κάποια ιδιαίτερη ασφάλεια.
Δεν θα διαφωνήσω καθόλου στα παραπάνω. Αν θέλει κάποιος για τον οποιοδήποτε λόγο να κάνει compromise το app σου και είναι αρκετά μερακλής, θα τα καταφέρει με τον έναν ή τον άλλο τρόπο. Εξάλλου, δεν υπάρχει 100% trustworthy τρόπος να εγγυηθείς οτι μπορείς να κάνεις detect οτι ένα device είναι rooted ή όχι.

Επειδή φαίνεται να γνωρίζεις, υποθέτω γνωρίζεις οτι αν ένα app πρέπει να τρέχει σε rooted devices ή όχι, δεν είναι απόφαση που την παίρνουν οι developers. Απλά κάποιος μανατζαραίος προσπαθεί να κάνει το κομμάτι του στους από πάνω του :D

[offtopic]
Η τελευταία λέξη της μόδας, είναι να κρύβεις sensitive data μέσα σε native libraries, γιατί πολύ απλά τα QA teams και οι security consultants που κάνουν security tests δεν μπαίνουν στον κόπο να ψάξουν στα libraries για τέτοια δεδομένα. Το μαθαίνετε εδώ, εκμεταλλευτείτε το :D
[/offtopic]
Εντάξει ναι, δεν έκανα κριτική σε έσενα, το έγραψα γενικά σαν point με αφορμή το post σου. Αντιλαμβάνομαι ότι κάποιος clueless "manager" θα πρότεινε αυτή την ηλιθιότητα.

Άβαταρ μέλους
sys3x
Δημοσιεύσεις: 16469
Εγγραφή: 31 Μαρ 2018, 21:40
Τοποθεσία: m lagou

Re: #TikTok

Μη αναγνωσμένη δημοσίευση από sys3x » 29 Ιουν 2020, 12:23

klg έγραψε:
29 Ιουν 2020, 11:48
a8s έγραψε:
29 Ιουν 2020, 11:41
klg έγραψε:
29 Ιουν 2020, 11:03

Αυτά για τα api keys, urls και pinned certificates είναι παπαριές, με απλή στατική ανάλυση του binary θα βρεθούν, οπότε υποθέτω δεν είναι θα εφησυχαστεί κάποιος στο 'δεν τρέχω σε rooted device' και θα το πάει σε ένα πιο περίπλοκο obfuscation/encryption scheme, κάτι που καθιστά moot το σκηνικό του να μην τρέχω σε rooted device για να προστατεύσω τα secrets μου. Ούτε το rationale το ότι το device είναι unsafe λόγω root access του χρήστη βγάζει νόημα. Ο χρήστης το έκανε root, αυτό ήθελε, οπότε ξέρει τι κάνει. Ένα malware που θα κάνει leverage ένα LPE δεν θα σου ρουτάρει τη συσκευή με τον ίδιο τρόπο anyway, οπότε δεν σου προσφέρει κάποια ιδιαίτερη ασφάλεια.
Δεν θα διαφωνήσω καθόλου στα παραπάνω. Αν θέλει κάποιος για τον οποιοδήποτε λόγο να κάνει compromise το app σου και είναι αρκετά μερακλής, θα τα καταφέρει με τον έναν ή τον άλλο τρόπο. Εξάλλου, δεν υπάρχει 100% trustworthy τρόπος να εγγυηθείς οτι μπορείς να κάνεις detect οτι ένα device είναι rooted ή όχι.

Επειδή φαίνεται να γνωρίζεις, υποθέτω γνωρίζεις οτι αν ένα app πρέπει να τρέχει σε rooted devices ή όχι, δεν είναι απόφαση που την παίρνουν οι developers. Απλά κάποιος μανατζαραίος προσπαθεί να κάνει το κομμάτι του στους από πάνω του :D

[offtopic]
Η τελευταία λέξη της μόδας, είναι να κρύβεις sensitive data μέσα σε native libraries, γιατί πολύ απλά τα QA teams και οι security consultants που κάνουν security tests δεν μπαίνουν στον κόπο να ψάξουν στα libraries για τέτοια δεδομένα. Το μαθαίνετε εδώ, εκμεταλλευτείτε το :D
[/offtopic]
Εντάξει ναι, δεν έκανα κριτική σε έσενα, το έγραψα γενικά σαν point με αφορμή το post σου. Αντιλαμβάνομαι ότι κάποιος clueless "manager" θα πρότεινε αυτή την ηλιθιότητα.
Έχεις μαλακώσει υπερβολικά πολύ εσύ τελευταία.
:P
SpoilerShow
:wave:
Don't sweat on petty things.
Don't pet your sweat.

.

Άβαταρ μέλους
klg
Δημοσιεύσεις: 476
Εγγραφή: 15 Οκτ 2018, 12:14
Phorum.gr user: klg

Re: #TikTok

Μη αναγνωσμένη δημοσίευση από klg » 29 Ιουν 2020, 14:05

sys3x έγραψε:
29 Ιουν 2020, 12:23
klg έγραψε:
29 Ιουν 2020, 11:48
a8s έγραψε:
29 Ιουν 2020, 11:41


Δεν θα διαφωνήσω καθόλου στα παραπάνω. Αν θέλει κάποιος για τον οποιοδήποτε λόγο να κάνει compromise το app σου και είναι αρκετά μερακλής, θα τα καταφέρει με τον έναν ή τον άλλο τρόπο. Εξάλλου, δεν υπάρχει 100% trustworthy τρόπος να εγγυηθείς οτι μπορείς να κάνεις detect οτι ένα device είναι rooted ή όχι.

Επειδή φαίνεται να γνωρίζεις, υποθέτω γνωρίζεις οτι αν ένα app πρέπει να τρέχει σε rooted devices ή όχι, δεν είναι απόφαση που την παίρνουν οι developers. Απλά κάποιος μανατζαραίος προσπαθεί να κάνει το κομμάτι του στους από πάνω του :D

[offtopic]
Η τελευταία λέξη της μόδας, είναι να κρύβεις sensitive data μέσα σε native libraries, γιατί πολύ απλά τα QA teams και οι security consultants που κάνουν security tests δεν μπαίνουν στον κόπο να ψάξουν στα libraries για τέτοια δεδομένα. Το μαθαίνετε εδώ, εκμεταλλευτείτε το :D
[/offtopic]
Εντάξει ναι, δεν έκανα κριτική σε έσενα, το έγραψα γενικά σαν point με αφορμή το post σου. Αντιλαμβάνομαι ότι κάποιος clueless "manager" θα πρότεινε αυτή την ηλιθιότητα.
Έχεις μαλακώσει υπερβολικά πολύ εσύ τελευταία.
:P
SpoilerShow
:wave:
Εντάξει ρε μαλάκα αφού συμφώνησε μαζί μου τι να του πω δηλαδή; Δεν είμαι _τόσο_ sociopath.

Imperium
Δημοσιεύσεις: 381
Εγγραφή: 23 Απρ 2020, 12:47
Phorum.gr user: κάποιος, κάποτε

Re: #TikTok

Μη αναγνωσμένη δημοσίευση από Imperium » 29 Ιουν 2020, 22:23

Μαυροβασίλης έγραψε:
29 Ιουν 2020, 09:50
εννοείται, πώς θα κατακτήσει τον κόσμο ο Πρόεδρος Σι χωρίς τα ντατα του Κεβ απ' το Κροηντον και της Ουρανίας88
Η αρχική μου αντίδραση θα ήταν πανόμοια με την δική σου, αλλά μετα σκέφτηκα οτι με τα ντατα του Κεβ και της Ουρανιας χτίστηκε το ΓκουΓκλ και το ΦουΜπου και προβληματίστηκα.


Επίσης αναρωτιέμαι αν ξαφνικά τίθεται θέμα ενος εύκολα προσβάσιμου μποτνετ για τον Χι. Ιντερεστινγκ...
Δώσε θάρρος στο χωριάτη να σ' ανέβει στο κρεβάτι

Απάντηση

Επιστροφή στο “Πληροφορική”

Phorum.com.gr : Αποποίηση Ευθυνών