Adb වලින් apk sideload, clipboard, screen record, file system access කරන්න පුළුවන් නෙ risk එකක් නෑ කියලද කියන්නේ?
Latest ads
-
Pure VPN - Up to 27 Months- vgp
- Updated:
-
Gemini AI PRO 18 months Offer- Hawaka
- Updated:
-
koko account
- DasunEranga
- Updated:
dialog apps developer option disable bypass?
- Thread starter rukshrulz
- Start date
sirawata.. owa lankawe wada bari developers la ge securityExactly
in other hand, remember,
if (isDebugEnabled) {
}
In the runtime this whole thing is one jmp statement away to reverse the logic
ඇප් එක secure කරන්න ඕන ඔය වගේ ගූ බය වෙලා කරන දේවල් වලින් නෙමයි. ඇප් එක secure නං ඇප් එක ඔපන් සෝස් කරත් secure වෙන්න ඕන
මම දන්න විදියට නන් ප්රොසෙසර් එකේ වැලියු එහෙම රීඩ් කරන්නත් පුලුවන්
බෑන්කින් ඇප් එක ප්ලේ ස්ටෝ එකෙන් ගත්තා නං
APK Sideload එකෙන් ප්රශ්නයක් වෙන්න විදියක් නැහැ
Clipboard Access කරන්න ADB අදාල නැහැනේ කොහොමත් වෙන ඇප් වලින් ඇක්සස් කරන්න පුලුවන් නේ
Filesystem ඇක්සස් කරාට සයින් කරලා ගූගල් ප්ලේ එකෙන් දාපු ඇප්වල ඩේට ටික ඇක්සස් කරන්න බැහැ, ඩිස්ක් එකට හරි වෙන කොහෙට හරි හදන ෆයිල් නං ADB අදාල නැහැ කොහොමත් වෙන ඇප් වලටත් එක්ස්පෝස් වෙලානේ තියෙන්නෙ
ස්ක්රින් රෙකෝඩින් වල රිස්ක් එකක් තියනවා
වයර්ලස් ඩිබගින් එනේබල් කරත් ඩිබග් කරන ඩිවයිස් එක ගානෙ allow කරන්න එහෙම ඕනනේ, එහෙම නැතුව වයර්ලස් ඩිබග් කරපු එකෙක්ගෙ ඩිවයිස් එකට අපිට රැන්ඩම්ලි කනෙක්ට් වෙලා උගේ ස්ක්රින් එක රෙකෝඩේ කරලා රෙකෝඩින් එක අරගන්න බැහැනේ
ඒ කරත් ලෝකල් නෙට්වර්ක් එකේ ඉන්නත් ඕන
ප්රොසෙසරේ වැලියු රීඩ් කරනවා කියන්නෙ මොකද්ද
රෙජිස්ටර් වල වැඩියු රීඩ් කරනවා කියන එකද
මෙමරි එකේ ඇඩ්රස් වලට ඩිරෙක්ට්ලි ලියන්න පුලුවන් නං priviledge escaltion එකක් කරන්න පුලුවන් ඒත් ඒව කරන්න බැහැ
cpu registers වලට ADB එකෙන් ඩිරෙක්ට්ලි ඇක්සස් කරන්න බැහැ හැබැයි අපි මොනවා හරි ඇප් එකක් ඩිබග් කරනවා නං ඒ ඩිබග් කරන ඇප් එකේ ඕන දෙයක් රීඩ් කරන්න පුලුවන් ඒක ප්ලේ ස්ටෝ එකෙන් ගනිපු ඇප් වලට කරන්න බැහැ
------ Post added on Aug 29, 2023 at 2:24 PM
Malicious app එකක් sideload කරලා root access අරන් system core එකට රිංගන්න බෑ කියලා සහතික වෙන්න පුළුවන් ද
First time විතරක් usb to tcp කරාම ඇති. ඒත් ඇයි attacher කෙනෙක් precedure follow කරන්නේ?
Basically remote access allowable system එකක security එක ගැන කොහොමද app developer සහතික වෙන්නෙ?
මේක කරන්න පුලුවන් නං ගූගල් එකේ bug bounty එකට දාල ඩොලර් ලක්ශයක් විතර ගන්න. non root ඩිවයිස් එකක ඇප් එකකින් root ඇක්සස් ගන්න පුලුවන් නං ඒකට ADB අදාල නැහැ අපි ඇප් එකක් හදලා එක් ප්ලේස්ටෝ දාල ඒකෙනුත් root ඇක්සස් ගන්න පුලුවන් වෙන්න ඕන. සමහරවිට dark web එකේ මේ වගේ exploit එකක් USD 1M වලට විතර සෙල් කරගන්න පුලුවන් වෙයි (මේ වැඩේ iOS වල කරන්න පුලුවන් නං එස්ටිමේටඩ් වැලියු එක 1B වගේ කියලා කියන්නෙ, ඇත්තටම ඔය iOS ජේල් බ්රේක් කරනවා කියලා කරන්නෙ මේ වගේ තමයි මේ වැඩේ කරගන්න exploit කරන බග් එක තමයි වටින්නෙ )Malicious app එකක් sideload කරලා root access අරන් system core එකට රිංගන්න බෑ කියලා සහතික වෙන්න පුළුවන් ද
ADB එකට ඇක්සස් තියේ නං අවුල තියෙන්නෙ ඩිවලොපර් insecure විදියට store කරලා තියන ඩේට ඇක්සස් කරන්න පුලුවන් බැකප් එහෙම අරගෙන
ඒව නවත්තන්න ඕන ADB එනේබල් කරපු ඩිවයිස් වල ඇප් එක ඩිසේබල් වෙන්න කෝඩ් කරලා නෙමයි
දැං ඔය බෑන්කින් ඇප් මෙහෙම වෙනවද. ඇප් එකට ලොග් වෙලා ඒ ගමන්ම ගිහින් ඩිවලොපර් මෝඩ් එනේබල් කරොත් කලින් සෙශන් එක ටයිම්අවුට් වෙන්න කලින්, ඌ logout කරලා දානවද. දැන් සමහර ඇන්ඩ්රොයිඩ් වල ඇප් දෙකක් එක සැරේ රන් වෙන නිස බෑන්කින් ඇප් එක බැග්රවුන්ඩ් යන්නෙ නැතිව සෙටින්ග්ස් ඇප් එකත් ඕපන් කරලා ඩිවලොපර් මෝඩ් එනේබල් කරන්න පුලුවන් එතකොට මොකද වෙන්නෙ
Android වල හරියට secure storage එකක් නැහැ, ඒක නිසා සෙශන් ඩේට එහෙම insecure විදියට හැඬල් කරනවා නං ADB රිස්ක් එකක් නෙමයි. උදාහරනයක් විදියට සෙන්සිටිවු සෙශන් ඩේටා shared pref වල වගේ සේවු කරං ඉන්න වගේ බුලක් කෙලියම ඒව වහන්න වෙන්නෙ ADB ඩිසේබල් කරලා තමයි
අඩුම තරමෙ EncryptedSharedPreferences වල සෙන්සිටිවු ඩේටා සේවු කරනවා නං ADB එනේබල් කරාට බය වෙන්න දෙයක් නැහැ
ඔන්න ඕව නිසා තමයි මම කියන්නෙ සෙකියුරිටි ඔහොම නෙමයි හැඬල් කරන්න ඕන කියලා
ඔන්න ඔතනදි තමයි ඇත්තටම iOS secure කියන එක එන්නෙ. ඒකෙ තියනවා OS එකෙන්ම හැඬල් කරන keychain/secure envlave, ඇටෑකර් කෙනෙක්ට CPU එකට ඇක්සස් හම්බුනත් secure data වලට ඇක්සස් නැහැ
In a nutshell, මේ ඇප් වල App developer ගෙ incompetency එක වහන්න ADB එනේබල් කරාම ඇප් එකේ ඩිසේබල් කරලා තියෙන්නෙ
Last edited:
methana developer ge incompetency 1k nemei machan mage experience 1 anuwa thiyenne.
podi podi apps wala nathi unata medium to large scale companies app 1k release karanna kalin security audit 1k karanawa. In sri lanka tech-certs, pwc, etc... anna e audit 1k thamai oya concerns enne. anna e audit report 1th ekka thamai oya developments karanne. simply audit test 1 pass nathnan app 1 go live wen na. oka nikanma apply karath wadak na. eg. root detection 1 api rootbeer library 1n vitharak detect karoth u report 1k dala ewanawa root detection 1 bypassble meka fail kiyala (magisk hide with many support modules). anna e wage unge level 1ta protection 1k apply wennath ona.
"දැං ඔය බෑන්කින් ඇප් මෙහෙම වෙනවද. ඇප් එකට ලොග් වෙලා ඒ ගමන්ම ගිහින් ඩිවලොපර් මෝඩ් එනේබල් කරොත් කලින් සෙශන් එක ටයිම්අවුට් වෙන්න කලින්, ඌ logout කරලා දානවද. දැන් සමහර ඇන්ඩ්රොයිඩ් වල ඇප් දෙකක් එක සැරේ රන් වෙන නිස බෑන්කින් ඇප් එක බැග්රවුන්ඩ් යන්නෙ නැතිව සෙටින්ග්ස් ඇප් එකත් ඕපන් කරලා ඩිවලොපර් මෝඩ් එනේබල් කරන්න පුලුවන් එතකොට මොකද වෙන්නෙ"
me wage prashna apith ahanawa security auditors lagen. ethakota un dena answer 1 thamai, me mohothe me welawata un use karana techniques walata compatible nan app 1 pass. habai onama welawaka attack 1k enna puluwan and e risk 1 accept level 1kata adu karana 1 thamai unge job 1. oya wage ona tharan points have apita kiyanna. but unge standards walata api app 1 comply karanna ona.
පිස්සෙක් වගේ කියවා කියවා ඉඳපන්. උබ හැම thread එකේම ඔහොමනේ.nodanna dewalata boru kiyanna epa hutto..
eeye anaphylactic shock kiyana eka danne nathuwa beth expired kiwwa..
ada CBSL nathi rule ekak thiyanawalu..
CBSL regulation එකක් තියනවා හරියට හොයලා බලලා කතා කරපන්.
------ Post added on Aug 29, 2023 at 4:40 PM
පුළුවන්. But play store එකෙන් user ගෙ දැනුවත්වීමක් නැතුව app install කරන්න බැහැ සහ ඔයවගේ malicious apps play store දාන්න බැහැ adb හැර non root device එකකට අර ඔයා කලින් කිව්වා වගේ යූසගෙ කන්සන්ට් එක ගන්නෙ නැතුව ඇප් සයිඩ්ලෝඩ් කරන්න බැහැ
ඔයා කියන පොයින්ට් එකක් තියෙනවා තමයි ඒත් ඔතන කරන්නේ potential risk එකක් මගහරින එක
ඔව් risky. ඒත් ඔන්ටයිම් ඔය ඔක්කොම කරන එක රෙයා සිටුවේෂන් එකක් නේද කලින් affected වෙච්ච system එකක සමහර විට debug settings ගැන users ට මතක නැති වෙන්න පුලුවන්.
True.
Root කර නම් ඕක කොහොම ත් bypass කරන්න පුළුවන්. එක නෙවේ හේතුව ඕකුන් ඔය නවත්තන්න හදන්නේ USB debugging hari WiFi debugging හරි ඔන් කරලා තියෙන. Developer options වල තියෙන අනිත් options වලින් එහෙම මං දන්නා තරමින් කිසිම හානියක් කරන්න බෑ ඔය 2 ඇර.
Debugging check කරන්න වෙනම implementation එකක් දීලා තියෙනවා. මුන් එක නැතුව නිකන් ම චෙක් කරන්නේ developer options on ද කියලා. වෙන රටවල security app ගොඩක් වෙලාවට ඕක හරියට implement කරලා තියෙනවා.
අනික developer options ඕනේ වෙන්නේ development වලට විතරක් කියන්නේ කවුද? Experiment features තියෙනවා users ලට check කරන්න පුළුවන්. Bluetooth වල සෑහෙන settings ගානක් තියෙනවා ඔය menu එකේ.
ලංකවේ කරලා තියෙන්නේ බං root කරන්න ඕනේ නම් developer options on කරන්නම ඕනෙ නෙ. ඉතින් ඒ First step එකම ban කරලා තියෙන්නේ. ඕක cyber security වල හැටියටත් හරි prevention කරන්න ඕනේ first step එකෙන් detect කරලා. උබ කිව්වා වගෙ අනිත් test වලින් ඕක regulate කරන්න යනවාට වඩා CBSL එක කරලා තියන දේ හරි කියලා මට නම් හිතෙන්නේ cyber security වල හැටියට.
ඒක තමයි බන් කියන්නෙ
නිකන් බොරුවට ඔඩිට් එක පාස් වෙන්න ඔහොම කරලා වැඩක් නැහැ.
තියනවා නං ඩොක් එකක් තියෙන්න ඕන, අනෙක් සේරම ඩිවලොප්මන්ට් රිලේටඩ් ඩොකියුමන්ට් CBSL සයිට් එකේ තියනවා මේක විතරක් නැති වෙන්න විදියක් නැහැ
අනික එහෙනං කොහොමද සමහර බැංකු වල ඇප් වලට මේක නැත්තෙ වැඩිය කියන්නෙ BOC ඇප් එකෙත් මෙහෙම වැලිඩේශන් එකක් නැහැ
හෙන ගොං ලොජික් එකක් නේ
developer mode එනේබල් කරලා root කරලා developer mode disable කරන්න පුලුවන්
root කරන එක නං රිස්ක් එක root ඩිටෙක්ට් කරන එක හරි, root කරන්න යන පාරෙ තියන හැම එකම block කරන්නෙ මොන මගුලටද, simply බයේ කරන දේවල්
Document එකක් තිබ්බ මම ඒක save කරගත්තේ නැහැ. ඕක සමහර banking, wallet apps වල නැත්තේ ඕක mandatory නැති regulation එකක් නිසා. ඕක ගැන තිබ්බ documentation වල තිබ්බෙත් එහෙම. දැන් ගොඩක් කල් ඕක ඇවිත්.
pc games වල එහෙම steam එකෙන් permanent account ban කරනව games එක්කම online games play කරද්දී මොනව හරි memory access කරන්න පුළුවන් application run කරොත් .
USB debugging විතරක් off කරන්න කියන්නේ නැතුව මුන් developer options off කරන්න කියන එක නම් අව්ල්
USB debugging විතරක් off කරන්න කියන්නේ නැතුව මුන් developer options off කරන්න කියන එක නම් අව්ල්
Last edited:
