Forwarded from Android Guards
Казалось бы, еще одна статья про биометрическую аутентификацию в Android... Но нет. В этой даются полезные пояснения по новым классам аутентификации, которые появились в Android 11.
#4developers #biometric
https://proandroiddev.com/biometrics-in-android-50424de8d0e
#4developers #biometric
https://proandroiddev.com/biometrics-in-android-50424de8d0e
Medium
Biometrics in Android
Setting up biometric authentication, and using biometrics + cryptography to encrypt and decrypt data.
Flutter и биометрия, как сделать лучше?
Всем привет!
Не так давно я рассказывал вебинар и доклад на OFFZone про безопасность мобилок и упоминал там про Flutter.
Упоминал я его в негативном ключе, так как очень часто при реализации аутентификации допускаются стандартные ошибки.
В первую очередь это касается биометрии и подсчета неправильных попыток для ввода пин кода:
1. Отсутствие реакции на изменение биометрических данных (когда меняем/добавляем отпечаток/FaceId, по новому можно зайти в приложение)
2. Бесконечный перебор пинкода (из-за того, что счетчик это переменная внутри Flutter, которая хранится в памяти)
3. Использование Event-bound подхода, когда есть возможность на скомпрометированном устройстве подменить ответ системы и всегда возвращать true на запрос о совпадении биометрии.
Для перебора пинкода все понятно, нужно просто вынести счетчик куда-то в постоянное хранилище, а не держать его в памяти, чтобы он не обнулялся с каждым перезапуском приложения.
До недавнего времени по двум другим проблемам я не знал решения, так как практически все Flutter-приложения с биометрией имели подобную проблему.
Но, сегодня мне подсказали один замечательный плагин, который позволяет отслеживать изменение биометрии на устройстве и очень круто!
Я теперь всем его буду рекомендовать) То есть, это библиотечка для Flutter, которая позволяет приложению отслеживать и реагировать на изменение биометрических данных на устройстве. И при их изменении можно будет попросить пользователя снова пройти аутентификацию по паролю(например) и в случае успеха перерегистрировать биометрию! Класс!
Однако, по проблеме обхода есть еще вопросы.. Может кто-то знает хорошую библиотеку для Flutter, которая бы делала биометрию корректно и безопасно?)
Поделитесь, пожалуйста)
#flutter #biometric #bypass
Всем привет!
Не так давно я рассказывал вебинар и доклад на OFFZone про безопасность мобилок и упоминал там про Flutter.
Упоминал я его в негативном ключе, так как очень часто при реализации аутентификации допускаются стандартные ошибки.
В первую очередь это касается биометрии и подсчета неправильных попыток для ввода пин кода:
1. Отсутствие реакции на изменение биометрических данных (когда меняем/добавляем отпечаток/FaceId, по новому можно зайти в приложение)
2. Бесконечный перебор пинкода (из-за того, что счетчик это переменная внутри Flutter, которая хранится в памяти)
3. Использование Event-bound подхода, когда есть возможность на скомпрометированном устройстве подменить ответ системы и всегда возвращать true на запрос о совпадении биометрии.
Для перебора пинкода все понятно, нужно просто вынести счетчик куда-то в постоянное хранилище, а не держать его в памяти, чтобы он не обнулялся с каждым перезапуском приложения.
До недавнего времени по двум другим проблемам я не знал решения, так как практически все Flutter-приложения с биометрией имели подобную проблему.
Но, сегодня мне подсказали один замечательный плагин, который позволяет отслеживать изменение биометрии на устройстве и очень круто!
Я теперь всем его буду рекомендовать) То есть, это библиотечка для Flutter, которая позволяет приложению отслеживать и реагировать на изменение биометрических данных на устройстве. И при их изменении можно будет попросить пользователя снова пройти аутентификацию по паролю(например) и в случае успеха перерегистрировать биометрию! Класс!
Однако, по проблеме обхода есть еще вопросы.. Может кто-то знает хорошую библиотеку для Flutter, которая бы делала биометрию корректно и безопасно?)
Поделитесь, пожалуйста)
#flutter #biometric #bypass
Dart packages
did_change_authlocal | Flutter package
The package check did change authlocal