Как отследить запросы приложения android
Как отслеживать HTTP (get, post и т. д.) запросы, которые мое приложение делает в android
в моем собственном приложении я использую различные сторонние SDK, которые делают сетевые вызовы (HTTP-запросы) в той или иной форме. Без редактирования этого кода можно ли писать код отдельно в приложении для перехвата всех запросов GET и POST, которые делает мое приложение?
Я хочу записать эти HTTP-вызовы в моем приложении
Я знаю об использовании Саша и Charles proxy tools но это вне приложения, но это не сработает, потому что я не могу записать эти HTTP-вызовы в моем приложении.
есть ли способ сделать это?
EDIT: я использую Google Analytics SDK и Facebook SDK в своем коде. Я хочу отслеживать все сетевые вызовы, которые эти SDK делают из моего приложения
6 ответов
на некорневом телефоне вы можете использовать прокси-сервер Android OS и перенаправлять трафик. Но некоторые приложения не уважают его. Устанавливает прямые связи. Некоторые настройки могут быть сделаны. Используйте Drony с режимом VPN для перенаправления всего трафика на SandroProxy. Вот видео как захватить затем трафик с SandroProxy SandroProxy с Chrome devtools SandroProxy также может захватывать pcapfiles. Может также сделать ssl mitm на потоке pcap. от поддержки SandroProxy
Charles proxy-хороший способ.
другие включают, если приложение использует одноэлементный сетевой класс (который он идеально должен), сделайте одну функцию для get и одну для post. Вызывать эти функции из классов и журналов.d вывод данных на консоль. Вы можете отслеживать ответ на запрос или время.
Если вы специально ищете приложение, чтобы иметь возможность записывать HTTP-вызовы. Android Snooper библиотека может быть решением, которое вы ищете.
вы рассматривали Stetho?
вы можете контролировать и изменять все входящие и исходящие запросы, среди прочего.
Он добавляет новое приложение, которое отправляет уведомления каждый раз, когда сетевой запрос, и вы можете увидеть подробные сведения по запросу.
Он позволяет использовать инструменты Chrome dev для мониторинга ваших запросов, созданных из приложения android. (среди других интересных функций)
иначе я не думаю, что это возможно сделать то, что вы хотите сделать. Но вы можете отслеживать общие сетевые вещи, такие как:
Трекинг мобильных приложений 2020: какую систему выбрать
Go Mobile разбирается, как устроен трекинг мобильных приложений в 2020 году. Поговорили с представителями трекеров и рассказали всё, что знаем сами, в нашем новом материале.
В 2018 году мы уже писали о трекинге мобильных приложений, основных игроках рынка, их функциональности, преимуществах и недостатках. За два года многое поменялось — типичная digital-история. Актуализируем информацию о трекинговых системах в 2020 году.
Те, кто не хочет читать, могут сразу переходить в нашу большую таблицу со сравнением мобильных трекеров.
Трекинг в мобильных приложениях — процесс атрибуции трафика и сбора данных о нем для дальнейшей обработки, аналитики и оптимизации рекламных кампаний.
Атрибуция, в свою очередь, — это соотнесение действий пользователей (трафика и конверсий) с источниками переходов на сайт/в приложение.
Трекинговые системы дают наиболее точную статистику по продвижению приложений. Для отслеживания действий пользователей до и после установки приложения они используют три механизма:
С помощью мобильных трекеров маркетологи могут:
Важно разделять трекинг и аналитику: это не одно и то же. В зону ответственности трекинговых систем входят:
Грубо говоря, задача трекеров — отслеживание и обработка входящего трафика. Они определяют, откуда пришел пользователь и сколько денег он принес рекламодателям.
Системы аналитики же отслеживают и систематизируют действия всех пользователей приложения. В их функции входят:
Итого получаем: система трекинга нужна, чтобы оценить эффективность привлечения пользователей в продукт, а система аналитики — эффективность самого продукта.
Сейчас деление между трекерами и системами аналитики весьма условно, часть решений совмещают в себе эти функции. В материале мы рассматриваем эти продукты с точки зрения отслеживания рекламных кампаний. Для верности своей же классификации будем называть их системами трекинга.
На российском рынке в 2020 году активно используются следующие трекинговые системы — Adjust, AppMetrica, AppsFlyer, Branch и myTracker.
В сравнительную таблицу мы также вынесли решения от Kochava и Firebase.
AppMetrica — трекер мобильных приложений компании «Яндекс», который долгое время был единственным бесплатным продуктом на рынке. За что стал особенно любим всеми разработчиками, для которых остро стоит вопросы цены.
Второе (и не самое очевидное) преимущество: это полностью российский продукт. Использование зарубежного ПО запрещено во многих крупных компаниях, поэтому для них система Яндекса — единственная возможность использовать трекинговую систему.
Ответ на логичный вопрос «зачем Яндексу абсолютно бесплатная сложная технология?» прописан в условиях использования продукта — компания собирает и использует данные, которые обрабатывает трекер.
В AppMetrica не реализована часть важных дополнительных функций, например, трекинг удалений приложения и показов объявлений, отображение затрат на площадках, cross-device отслеживание пользователей.
Зато трекер умеет «узнавать» российских пользователей, благодаря включенности в экосистему Яндекса и передавать данные о соцдем характеристиках аудитории.
Сколько стоит? Бесплатно
Для кого? Для тех, кто:
Отсутствует интеграция с Facebook, Instagram и Twitter. Сервис предоставляет обходную возможность отслеживать установки, пришедшие из Facebook, с помощью трекинговых ссылок с deeplink. Но это решение не является полноценным и не гарантирует точного трекинга.
Важные последние обновления
myTracker — еще один российский бесплатный трекер. Приложения Mail.Ru Group давно работали с собственным трекером компании 1link. На его базе в 2017 году компания запустила технологию для остальных игроков рынка. Трекер быстро стал конкурентом AppMetrica для тех рекламодателей, которых интересуют бесплатные и российские продукты. В отличие от сервиса Яндекса, у myTracker есть дополнительные платные опции.
Его иногда подключают как дополнительное к основному трекеру решение, например, для обогащения данными, доступными экосистеме Mail.Ru Group.
Трекер тоже не работает для отслеживания трафика с Facebook & Instagram. Представители честно говорят: подключайте для этих целей платный трекер. Хорошая новость в том, что myTracker умеет интегрировать данные из отчетов, например, AppsFlyer.
Трекер пока не реализовал возможность создавать доступы для партнеров по закупке трафика. Это значит, что агентства и другие подрядчики будут в лучшем случае получать выгрузку некоторых данных в Excel.
Сколько стоит? Бесплатно, но есть дополнительные платные опции.
Для кого? Для тех, кто:
Важные последние обновления
Сервис был одним из первых решений мобильного трекинга, и спустя 10 лет стал «Сбербанком» в мире трекинга. Одновременно с ним запускались Kochava и MAT, первый оказался популярен в основном в США, второй — куплен другой компанией (но об этом позже). По данным App Annie, AppsFlyer обслуживает почти 51 тысячу приложений, это в 2,2 раза больше, чем Branch, и в 2,4 больше, чем Adjust — следующие лидеры рейтинга трекеров. Родина компании — Израиль, клиенты — со всего мира.
AppsFlyer работает со всеми источниками трафика и предоставляет удобный дэшборд. Сервис особенно любим агентствами за удобный агентский кабинет. Бесплатный тариф предполагает очень небольшой объём атрибуцируемого трафика. Все остальное, естественно, уже платно. На сайте платформы обозначены 3 базовых тарифа, но на самом деле все цены согласовываются в почте в индивидуальном порядке. В зависимости от объемов отслеживаемого трафика, можно договориться о серьезных скидках.
Помимо атрибуции, AF предоставляет множество дополнительных возможностей: функционал для построения аудиторий, кастомный антифрод, API-доступ и т.д. Все из них платные.
С недавнего времени платформа реализовала возможность веб-атрибуции. Код AF можно также добавить на сайт и собирать данные по разным платформам в едином дашборде.
Минусы у лидирующего трекера найти все-таки можно. У сервиса существует дневной лимит на количество запросов к API. Это может быть критично для рекламодателей, которые хотят смотреть почасовую статистику. Крупные рекламодатели используют другие способы выгрузки за дополнительную плату — например, выгрузку напрямую на серверы Amazon.
Сколько стоит? AppsFlyer предлагает 3 варианта сотрудничества:
На деле расценки обсуждаются индивидуально с каждым потенциальным клиентом.
Для кого? Для тех, кто:
Важные последние обновления
Adjust — главный конкурент AppsFlyer на российском и европейском рынках. Трекер работает на весь мир, хэд-офис находится в Германии.
Ключевые плюсы те же, что и у AF: трекинг любых каналов, возможности глубокой аналитики, встроенная антифрод-система. Все за деньги, только дешевле. Финализировать индивидуальные условия оплаты можно в почте.
Важное преимущество продукта — кастомизированные дашборды. На главный экран можно вынести только необходимые параметры и избавиться от регулярного скачивания множества excel-файлов.
Еще отличие, которое стоит выделить, — специализация на трекинге in-app purchases и s2s ивентах. Второе благодаря исторической специализации на сегменте e-commerce.
Главный минус Adjust приходится на область работы с партнерами: агентский кабинет предоставляет гораздо меньше возможностей, чем основной.
У Adjust нет бесплатного тарифа, но есть демо-режим, в котором можно протестировать часть функционала. Зато уже в базовом режиме доступны многие опции, за которые в AppsFlyer придется доплачивать отдельно.
Сколько стоит? Трекер Adjust разработал для клиентов три пакета работы (Basic, Business, Custom), стоимость услуг рассчитывается индивидуально.
Для кого? Для тех, кто:
Важные последние обновления
Branch изначально задумывался как сервис для работы с deeplinks — именно они первыми на рынке выпустили стабильно работающие отложенные диплинки. Позже Branch выкупили систему трекинга TUNE (бывший MAT) и начали осуществлять полноценный трекинг.
На своем сайте компания рассказывает, что является лидером мобильного трекинга для приложений, входящих в мировой топ-200.
Главное отличие Branch от остальных платформ, описанных в этой статье, — ставка на мультиканальный трекинг не только app, но и web. Еще при запуске представители продукта говорили, что вместо стандартных механизмов атрибуции будут использовать persona graph. Этот инструмент умеет определять пользователя вне зависимости от устройства, которое он использует. Что помогает не считать (и не платить) несколько раз за одного пользователя. Особую актуальность такой метод трекинга представляет после объявления Apple об изменении политики в отношении IDFA.
Минус трекера в том, как он работает на практике. Менеджеры жалуются на долгие выгрузки и плохую связь с сервером.
Сколько стоит? Трекинг бесплатный, остальные опции платные.
Для кого? Для тех, кто:
Платформа работает не идеально. Будьте готовы к тому, что кабинет может подвисать, а выгрузки делаться несколько часов.
Важные последние обновления
Для наглядности отразим особенности и функции трекеров в таблицах.
Чем больше функций доступно в трекинговой системе, тем удобнее и быстрее можно оценить эффективность продвижения, отследить ошибки и недочеты, оптимизировать кампанию.
Часть функций мы отнесли к базовым — обязательным для реализации. Очевидным образом они реализованы почти всеми трекерами. Коротко объясним каждую из них.
S2S Events — межсерверные события (server-to-server). Обычно это те события, которые происходят вне сервера приложения.
Custom events — любое событие, не попадающее в перечень стандартных событий трекера, настраивается отдельно. Логика наличия и срабатывания данного события продумывается на стороне разработчиков приложения.
Organic Events — трекинг органических (= пришедших не по рекламным объявлениям) действий пользователей.
Deeplink — ссылка, ведущая на конкретную страницу внутри приложения. Инструмент критически важен при продвижении…
1. Определенных функций приложения — например, вы банк и решили рассказать своим клиентам о том, что в вашем же приложении они могут купить страховку.
2. Определенных товаров. Помните горькое разочарование, когда кликаете на рекламу кроссовок и попадаете на главный экран маркетплейса, вместо странички конкретного товара?
Отложенный deeplink — снова ссылка на конкретную страницу или раздел приложения, причем страница/раздел открывается после скачивания и открытия самого приложения (и других обязательных действий в нем).
Smartlink — умная ссылка, которая перенаправляет пользователя на сайт или в приложение в зависимости от устройства.
Отчет по когортам/сегментам — отчет об активности пользователей, объединенных в сегменты по времени установки (=когорты) или другим признакам.
Отчетность по API — частный случай экспорта raw data. Возможность забирать данные из трекера себе на сервер программно, без необходимости делать выгрузки руками.
В таблице ниже мы отразили другие базовые опции, которые реализованы у рассматриваемых трекеров в разной степени.
Агентский доступ — он же «партнерский». Позволяет показывать партнерам по закупке трафика ограниченное количество данных. Таким образом, партнер видит всю аналитику по своим источникам в режиме реального времени, может делать выгрузки и другие операции с данными. В отсутствии кабинета рекламодателю приходится каждый раз делать excel-выгрузки и отправлять их партнерам.
Отслеживание показов. Наиболее распространенным видом касания пользователем рекламы считается клик. После активного взаимодействия с рекламой юзера кидает в магазин приложений, попутно проводя через трекер. В этот момент фиксируется, что данный канал затронул данного пользователя.
Второй способ касания — показ. Если пользователь не совершал активных действий, а всего лишь увидел рекламу и затем установил приложение, установка будет атрибуцироваться рекламному источнику.
Pre-installs tracking — Трекинг предустановок. Предустановленные приложения — те, что по умолчанию установлены на новых смартфонах.
Экспорт исходных данных — выгрузка «сырых» данных (raw data) позволяет получить максимальную детализацию по всем событиям и когортам. Обычно выгружается в excel или сходном формате. Нужна, чтобы производить дополнительные операции с данными за пределами дашборда трекера.
К дополнительным функциям трекинговых систем чаще всего относятся:
Аудиторные сегменты — возможность передавать сегменты пользователей (зашифрованные данные о группе пользователей) в рекламные сети, что позволяет делать персонализированные рекламные кампании.
Кастомные дэшборды — конструктор, который позволять создавать кастомизированные отчеты прямо в интерфейсе системы.
Кастомные отчеты — возможность выбирать необходимые показатели для отчетности и адаптировать отчеты под нужды вашего маркетингового подхода.
LTV predictions — прогнозы LTV с in-app покупок, подписок и рекламной монетизации на 30, 90 и 180 дней (в разрезе кампании, источника, устройства и др.).
Данные об удалении приложения — часто являются косвенным признаком качества привлекаемого трафика. Такая функция дает возможность создавать отдельную аудиторию удаливших приложение пользователей, исключать ее из user acquisition кампаний и делать на нее ретаргетинг.
Мультиканальная атрибуция — возможность увидеть присутствие одного юзера на всех каналах, а не только атрибуцировать его площадке, с которой был совершен последний клик.
Кросс-девайс трекинг — возможность определить и дальше отслеживать одного юзера, заходящего с нескольких девайсов: смартфона, планшета и браузеров на десктопе.
Antifraud — система, фильтрующая подозрительный трафик. Наличие антифрода помогает не только расходовать бюджет на целевую аудиторию, но и в принципе получать более объективные данные о компании и ее эффективности. Собственные решения трекеров избавляют рекламодателей от необходимости подключать еще и дополнительную антифрод-систему.
Затраты на рекламу — получение и отображение затрат на рекламу от площадок: сколько потрачено на привлечение юзеров на каждом канале.
Доход от рекламы — трекинг и отображение в отчетах доходов от рекламы в приложениях (admob, mopub, FAN и т.п.)
Доход от подписок и iAP — трекинг и отображение в отчетах доходов от подписок и in-app покупок (iAP).
Соцдем на русскоязычную аудиторию — дополнительные данные от трекера о соцдем характеристиках пользователей. Работает за счет big data, накопленной экосистемами, предоставляющими также и рекламный инвентарь.
Больше данных, а также обзор двух дополнительных трекеров, вы найдете в нашей большой таблице со сравнением мобильных трекеров.
Мониторинг запросов приложений на Android
Доброго времени суток, уважаемые пикабутяне.
Сразу хочу перейти к теме.
Начитался постов на скрытом включении камеры инстаграмом, на сборе данных различными приложениями.
Стало как-то стрёмно от этого.
Существует ли тулза для отслеживания действий приложения с устройством на Андроиде и моментальным оповещением об этом?
Root, не root, без разницы.
ps гугл не помог.
Android
492 поста 6.3K подписчика
Правила сообщества
Бан за неадекватное поведение, спам, рекламу
ТСу советую покурить 4ПДА
есть, называется психолог, он лечит от мании преследования)))
Мошенничество с пенсией
Деньги в долг. С любой кредитной историей
Нет, это не рекламный пост. Скорее предостережение. Последние лет пять часто наблюдаю подобные объявления. Дураку очевидно, что это развод, но мне была интересна сама методика. Ну как интересна, увидел, подумал надо загуглить. И все забывал. Пока ко мне не пришли граждане в погонах. Рассказываю.
И вот тогда то Иванова пошла в полицию. Полицейские возбудились и рьяно допросили Сидорова. Поговаривают, что с советским шампанским. Но Сидорову это не помогло вспомнить.
К чему я все это. Будьте бдительны и предупредите родных, что бесплатный сыр бывает только в мышеловке.
Как отслеживать запросы HTTP (получение, публикация и т. Д.), Которые мое приложение выполняет в android
В моем собственном приложении я использую различные сторонние SDK, которые в той или иной форме выполняют сетевые вызовы (HTTP-запросы). Могу ли я написать код отдельно в приложении, не редактируя этот код, для перехвата всех запросов GET и POST, которые делает мое приложение?
Я хочу записывать эти HTTP-вызовы в своем приложении
Мне известно об использовании Fiddler и прокси-инструменты Charles, но это выходит за рамки app, но это не сработает, потому что я не могу записывать эти HTTP-вызовы в своем приложении.
РЕДАКТИРОВАТЬ: Я использую в своем коде SDK Google Analytics и Facebook SDK. Я хочу отслеживать все сетевые вызовы, которые эти SDK делают из моего приложения
7 ответов
На телефоне без рута вы можете использовать прокси для ОС Android и перенаправлять трафик. Но некоторые приложения этого не уважают. Устанавливает прямые связи. Некоторые настройки могут быть выполнены. Используйте Drony с режимом VPN для перенаправления всего трафика на SandroProxy. Вот видео, как захватить трафик с помощью SandroProxy. SandroProxy с инструментами разработчика Chrome SandroProxy также может захватывать файлы pcap. Также можно сделать ssl mitm в потоке pcap. из поддержки SandroProxy
Чтобы перехватить HTTPS-трафик из вашего приложения, вам просто нужно либо а) доверять «пользовательским» сертификатам в конфигурации сетевой безопасности вашего приложения (см. https: //stackoverflow.com/a/38770284/68051) или б) использовать эмулятор или корневое устройство (в этом случае HTTP Toolkit может ввести «системный» сертификат, которому ваше приложение будет доверять автоматически).
Иначе я не думаю, что можно делать то, что ты хочешь делать. Но вы можете отслеживать общие сетевые вещи, например:
Всю статистику трафика см. Здесь:
https://developer.android.com/reference/android/net/TrafficStats. html (просто укажите идентификатор пользователя вашего приложения)
Он добавляет новое приложение, которое отправляет уведомления каждый раз, когда делается сетевой запрос, и вы можете видеть детали запроса.
Он позволяет использовать инструменты разработчика Chrome для отслеживания запросов, созданных из приложения Android. (среди других интересных функций)
Помимо прочего, вы можете отслеживать и изменять все входящие и исходящие запросы.
Если вы специально ищете, чтобы ваше приложение могло записывать HTTP-вызовы. Библиотека Android Snooper может быть тем решением, которое вы ищете.
Другие включают, если приложение использует одноэлементный сетевой класс (что в идеале должно), сделать одну функцию для получения и одну для публикации. Вызовите эти функции из своих классов и используйте log.d для вывода данных на консоль. Вы можете отслеживать ответ на запрос или затраченное время.
как посмотреть какие http(s) запросы и куда делает android-приложение?
есть приложение на андроиде, нужно посмотреть куда и какие http(s) запросы оно делает.
а как же работают всякие фаерволы? или для андроида не существует фаероволлов?
фаер волл видит только IP адрес?
http://isecpartners.github.io/Introspy-Android/
вот эта штука может? (я не спец, просто набрал поиск в гугле)
А я правильно понимаю что MITM не прокатит, если разработчики сделали certificate pinning?
не лезет внутрь http запроса и на основании урла решает пускать или не пускать пакет.
сможешь расшифровать свой фейспалм?
P.S. Я наверное криво сформулировал. НЕ лезет внутрь http запроса и НЕ решает ничего на основании урла.
есть приложение на андроиде, нужно посмотреть куда и какие http(s) запросы оно делает.
Если исходного кода нет, как посмотреть? Запросы ведь шифруются при использовании https.
Как в такой ситуации внедрить свой сертификат в хранилище андроида?
я тоже пока не очень понял что они предлагают.
видимо установить эмулятор андроида BlueStack и сделать так чтоб весь трафик из эмулятора шёл через наш прокси, который будет переподписывать HTTPS своим сертификатом, который надо будет установить в корень хранилища bluestack. Ну а наш прокси уже будет просто весь трафик писать на диск в файл.
я прав?
С эмулятором не считается. В приложениях часто запрещена установка на рутованные устройства и на эмуляторы. То есть apk-то вы стянете с нормального Android-устройства, но установить его на эмулятор не сможете.
Но это не значит, что решение задачи в случае эмулятора найдено, по крайней мере я не понял пока, что имеется в виду.
зачем эмулятор-то? просто wi-fi роутер + комп
видимо установить эмулятор андроида BlueStack
Эмулятор не нужен. Достаточно в настройках wifi-соединения указать в качестве прокси свою программу. Которая и будет выполнять перехват https-соединений и подписывать ответы своими сгенеренными сертификатами.
Вы уже пробовали так делать? Получилось?
Значит то приложение, с которым получилось, не имело должного уровня защиты от перехвата траффика. См. предыдущее сообщение.
В приложениях часто запрещена установка на рутованные устройства и на эмуляторы.
Простого способа нет, по крайней мере мне не известен. Используется сочетание нескольких проверок (наличие определенных файлов по определенным путям и проч. нет сейчас ссылок под рукой. В общем, это отдельная интересная тема. Можно погуглить.
Достаточно в настройках wifi-соединения указать в качестве прокси свою программу.
> скинь скриншот плз. не могу понять где эта тычка находится в 4м андроиде.
Так находится?
1.Connect to WIFI network (e.g. ‘Alex’)
2.Settings->WIFI
3.Long tap on connected network’s name (e.g. on ‘Alex’)
4.Modify network config-> Show advanced options
5.Set proxy settings
Вы уже пробовали так делать? Получилось?
Теперь идея стала вроде бы понятнее. Спасибо, что разъяснили! Дело в том, что мобильные приложения (особенно имеющие отношение к финансовой сфере) часто имеют свои собственные сертификаты, которым их сервер только и доверяет.
Обход SSL Pinning
SSL Pinning можно обойти/отключить, если на мобильном устройстве присутствует jailbreak или root-доступ. Как правило, это нужно только исследователям для анализа сетевого трафика. Для отключения на Android есть программа Android SSL Bypass, для iOS – программы iOS SSL Kill Switch и TrustMe.
По идее, эти же подходы могут использовать и вредоносные программы.
SSL Pinning можно обойти/отключить, если на мобильном устройстве присутствует jailbreak или root-доступ. Как правило, это нужно только исследователям для анализа сетевого трафика. Для отключения на Android есть программа Android SSL Bypass, для iOS – программы iOS SSL Kill Switch и TrustMe.
По идее, эти же подходы могут использовать и вредоносные программы.
Никогда не разбирался в дампе памяти андройдного приложения, но разве вытащить оттуда клиентский сертификат это не дело 10 минут?
Проверка на рутованность конечно должна делаться для мобильных приложений, которые отвечают нормальным требованиям безопасности
Поэтому и предложил декомпилировать апк, чтобы посмотреть Java-код с запросами, если он не был обфусцирован.
я вообще впервые слышу чтоб какое то приложение не работало на рутованном устройстве
Ну я делал mitm на наше же мобильное приложение. Без пининга серверных сертификатов и проверки клиенсткого.
Так точно. Например Good. В инете полно инструкций как его обмануть что как будто нету рута. А новые версии выходят и эти инструкции не работают больше.
Ну про корпоративные системы допустим мы сейчас не говорим. Вполне возможно, что там оно может даже и оправдано, когда у производителя закупается партия залоченых устройств, и приложение устанавливается только на них.
Но мы же сейчас по-умолчанию говорим про массового пользователя и публичные приложения и сервисы.
Так что полагаться на безопасность незашифрованной базы данных на мобиле, даже если вы каким-то образом определили, что ROM стоит нетронутый от производителя и нерутованный, всё-равно глупо. Всегда же есть custom-recovery или вообще fastboot из которого можно получить доступ ко всему содержимому sd-кард смартфона. Это, конечно, когда речь идёт о ситуации, когда владелец смартфона хочет как-то вмешаться в работу вашей программы.
Если же речь о каких-то посторонних запущенных на телефоне программах, которые могут вмешиваться в его работу, то как правильно было уже замечено, то рут можно и отключить для программ, ну и если что-то в данный момент использует рут, то на присутствует дополнительная иконка и напоминание. Так что продвинутый пользователь, который имеет рут на телефоне всегда может обратить на это внимание и отреагировать.
В общем, действительно, когда вы запрещаете работу приложения на рутованой системе, вы в первую очередь создаёте проблемы продвинутым пользователям. По мне так, нужно немного иначе подходить к решению исходной задачи.
Бывают еще корпоративные мобильные приложения с высокими требованиями к безопасности. Устройства нередко закупаются оптом под само приложение. Запрет на рут в них оправдан.
Так что полагаться на безопасность незашифрованной базы данных на мобиле, даже если вы каким-то образом определили, что ROM стоит нетронутый от производителя и нерутованный, всё-равно глупо. Всегда же есть custom-recovery или вообще fastboot из которого можно получить доступ ко всему содержимому sd-кард смартфона. Это, конечно, когда речь идёт о ситуации, когда владелец смартфона хочет как-то вмешаться в работу вашей программы.
Так точно. Например Good. В инете полно инструкций как его обмануть что как будто нету рута. А новые версии выходят и эти инструкции не работают больше.
Товарищи, форумчане, вам бы только показать себя умными, а в теме часто не очень разбираетесь. Думаю, нам нужно быть смиреннее, чтобы стать лучше.
Можно шифровать все устройство на этот случай. Но оно должно быть нерутовано.
Шифрование базы данных приложения и шифрование устройства — это разные вещи.
Шифрование базы данных обеспечивает абсолютную защиту данных даже на рутованных устройствах, поэтому даже запрещено в нек. странах. Но для больших баз данных слишком тяжеловесно и тормозит GUI как ни извернись.
Шифрование Андроид-устройства — это фишка операционной системы Андроид (в iOS тоже есть одна из составных частей системы безопасности этой операционной системы. Работает только на нерутованных устройствах, ибо рут ломает всю прекрасную систему безопасности, изобретённую Гуглом. В Гугл, если не путаю, часто об этом напоминают пользователям, предостерегая их от рута.
Что за бред. Чем одно шифрование отличается от другого?
Шифрование Андроид-устройства — это фишка операционной системы Андроид (в iOS тоже есть одна из составных частей системы безопасности этой операционной системы. Работает только на нерутованных устройствах, ибо рут ломает всю прекрасную систему безопасности, изобретённую Гуглом.
А от человека, который занимается реверсингом мобильных приложений доверие будет?)
у тебя поисковые запросы на все самые популярные орфографические ошибки на форуме? минута прошла и ты уже тут как тут.
а на сколько часто встречаются «нормальные программы»?
Если автор готов назвать приложение, которое он хочет исследовать, я готов ему дать логи сниффера и даже помочь с патчем.
просто через них сдампить сеансовые ключ
Если автор готов назвать приложение, которое он хочет исследовать, я готов ему дать логи сниффера и даже помочь с патчем.
приложение для заказа симок штоле?
А какая инфа интересует?
Все http(s) запросы которые оно делает
Вот тут уже jailbreak/root + frida.
Стопим это дело с помощью Ctrl+C и смотрим в каталог __handlers__:
Нам все это ковырять не так интересно, зайдем только в __YTSHTTPRequestOperationManager_-XXX.js на примере __YTSHTTPRequestOperationManager_-362b3703.js:
JavaScript и никакой магии! Помогаем фриде расковырять весь этот шлак (уже другой файл, нам нужен метод rac_METHOD, но если посмотреть на лог, можно убедиться в том, что только селектор rac_METHOD:url:parameters:resultClass:resultKeyPath:headers:requestSerializer:timeout: делает всю работу, остальное это перегруженные селекторы, чтобы отключить часть параметров):
Теперь доделаем парсер (vim __handlers__/__YTSHTTPRequestOperationManager_0f09720e.js):
И стало совсем хорошо (параметры, позволяющие меня деанонимизировать затерты):