Проводил пентест Android приложения одной криптабиржы крупной.
Я пишу статический SAST сканер для мобилок под Android.
После скана приложения, сканер подсветил мне что приложение использует md5 хеш у одного из классов.
Как и все принципе посмотрели бы, ну и такие - окей просто добавлю finding об этом.

Однако мой сканер он статический, и он не проверяет условие
Ну это тот самый момент когда нужно проверять условие.

Я обнаружил следующее.

/* compiled from: PasswordUtils.java */
/* loaded from: classes39.dex */

Jadx пишет PasswordUtils.java это был.

Cмотрим на код, понимаем что криптобиржа использует md5 для поролей

Проанализировав цепочку, цепочка на втором скрине. Мы получаем следующее.

Md5 пароля используется в спот трейдинге, margin trading, и при выводе средств

Так это еще не все
Если вы не поняли _cryptoexchange_ это hardcoded соль.

2026 год, используем md5 для поролей даже если мы в топ-10 криптобирж входим.

Ахуенно!

Коротко о bugcrowd триажерах. И о сегодняшнем случае. Человек поставил мне duplicate, на репорт хрен пойми чего 24 марта, программа официально была создана 31 марта. + триажер понизил какого то хрена issue до P4 хотя там P2. Че за пиздеж галимый? Интересная история начинается! (репорт был отправлен мной ровно 31 марта когда программа стартовала)