文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

我在Android应用中发现硬编码的Facebook和Google API密钥(以及为什么这是个坏主意)

我在Android应用中发现硬编码的Facebook和Google API密钥(以及为什么这是个坏主意)☕ 逆向分析APK很有趣...直到你发现生产环境密钥就这么赤裸裸地躺在代码里。...内容提要在分析一个公开的Android APK时,我直接在应用的strings.xml文件中发现了硬编码的Facebook和Google API凭证。...这些凭证包括Facebook App ID、Facebook Client Token、Google API Key等敏感标识符。...✅ Google API密钥验证尝试使用该密钥调用地理编码API:curl "https://maps.googleapis.com/maps/api/geocode/json?...:通过HTTPS端点动态获取使用NDK混淆并存入Android Keystore对于Google API密钥:按应用包名和SHA-1指纹限制仅开放必要API权限 核心原则:只要存在于APK中的内容,就不算秘密

31710

AndroidStdio1_2

不过,需要手动编辑相关应用模块的构建路径,并添加JAR文件的路径。 • 库模块可以依赖外部JAR库:可以开发一个依赖于外部库(例如Maps外部库)的库模块。...在签名APK时,签名工具会将公钥证书附加到APK。公钥证书充当“指纹”,用于将APK唯一关联到你以及对应的私钥。这有助于Android确保APK的任何更新都是原版更新并来自原始作者。...调试项目时签名 当点击Android Studio工具栏上的“Run 'app'”按钮时,Android Studio将自动使用通过Android SDK工具生成的测试证书签名你的APK。...当在Android Studio中首次运行或调试项目时,IDE将自动在$HOME/.android/debug.keystore中创建调试密钥库和证书,并设置密钥库和密钥密码。...由于测试证书通过构建工具创建并且在设计上不安全,大多数应用商店(包括Google Play商店)都不接受使用调试证书签名要发布的APK。

2.4K20
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Android Google Maps

    在你通过账号信息验证之后就可以创建API秘钥了,创建的API之后需要对应使用应用的包名和SHA1证书指纹,一个API秘钥可以增加多个App进行配置,只有配置之后的App才能通过此API秘钥访问Google...我之前在使用的时候就遇到过一个指纹不对的情况,结果发现你的应用有两个指纹,你可以理解为测试版和正式版,如果你遇到这个情况,那么你换一下试试看。...接着我们打开 AndroidManifest.xml 文件,在 标签中添加如下代码: <meta-data android:name="com.google.android.geo.API_KEY..." android:value="${MAPS_API_KEY}" /> 最后我们在app模块下的android{}闭包中增加一个secrets属性,如果该属性不存在,代码如下所示: secrets...该操作会嵌入编译应用时所用 Google Play 服务的版本,代码如下所示: <meta-data android:name="com.google.android.gms.version"

    2.4K10

    HTTPS代理抓包完全攻略:工具、配置与高级技巧

    在2025年的网络安全领域,HTTPS流量占比已突破92%,但开发者调试接口时仍会遇到"明明请求已发送,却看不到明文内容"的尴尬。本文将用真实案例和实战数据,带您破解HTTPS抓包的核心密码。...Charles:移动端调试利器,其"Throttle"功能可模拟3G网络环境。某游戏公司用其发现客户端在弱网环境下会重复发送敏感数据包。...打开证书管理器 导航至"受信任的根证书颁发机构→证书" 右键导入证书时勾选"将此证书的所有后续策略设置为相同" 实测数据:该方案使证书安装成功率从37%提升至89%,但需注意微软在2025年更新的KB5026361...3.2 微信小程序流量抓取 某零售团队用SniffMaster抓取某小程序API的完整流程: 电脑端启动"移动端抓包"模式 手机扫码连接后开启"暴力抓包" 在小程序内触发网络请求,工具自动过滤api.weixin.qq.com...掌握HTTPS抓包技术,既是开发者的调试利器,也是守护网络安全的必修课。

    1.3K20

    八、从华为HMS Core集成过程看密码学知识

    因为需要后台校验一些配置信息,还包括指纹、包名、App ID等。如果校验不通过是无法调用这些API的。   ...集成步骤 1.在AppGallery Connect(华为开发者服务的后台)创建项目及应用   会让你输入包名,每个包名对应一个应用,在这个应用下会有相应的配置,不同的应用会有不同的配置,所以这里才让你输入包名...3.选择签名的私钥查看证书并导出指纹。   ...(window需要这么操作,mac直接运行指令即可) 4.在AppGallery Connect(华为开发者服务的后台)添加指纹   然后把SHA256填写到华为开发者服务的后台配置页面,方便hms...) 在build.gradle文件的android闭包中添加签名配置信息。

    1.1K10

    深度了解Android 7.0 ,你准备好了吗?

    ● 自定义视图:两个新的 API ,在通知中使用自定义视图时可以充分利用系统装饰元素,如通知标题和操作。 ?...对于开发者,Android N 还添加了一个新的 API,从而可以定义自己的“快速设置”图块,使用户可以轻松访问应用中的关键控件和操作。 ?...Android N 在android.icu软件包下显示 Android 框架中的 ICU4J API 子集,供应用开发者使用。...十五 VR 支持 (面向Android的 Google VR SDK) Android N 添加了新的VR 模式的平台支持和优化,以使开发者能为用户打造高质量移动 VR体验。...● 除密钥认证外,Android N 还推出了指纹绑定密钥,在指纹注册时不会撤销。 另外新增特性还有直接启动、打印服务增强、持续性能 API、作用域目录访问、键盘快捷键辅助工具等。

    2K30

    IMSDK华为离线推送快速集成

    image.png image.png 3、im控制台一些简单配置 如下图,将华为开发者控制台上,申请到的离线推送账号信息,填到IM控制台,会生成一个buzid证书。...5、搞定 要运行起来,必需使用release包,签名文件的sha256指纹证书,要与华为控制台配置的sha256证书一致。如果不一致,代码中运行到注册华为离线推送时,会报6003错误。...时设置【点击通知后】的操作为【打开应用】或【打开应用内指定界面】,当点击通知栏的消息时,客户端可以在相应的 Activity 中获取自定义内容,可以参考 OfflineMessageDispatcher.java...3、华为离线推送,必需要release包,签名文件的sha256指纹证书,要添加到华为控制台。...4、指纹证书不对,运行到申请token时,会报错6003 5、imsdk在5.0以上的版本,退后台调用doBackground接口,im后台会推送在线消给app内imsdk,推离线消息给厂商,厂商再推离线消息给手机系统

    2.5K40

    IMSDK华为离线推送快速集成

    3、im控制台一些简单配置 如下图,将华为开发者控制台上,申请到的离线推送账号信息,填到IM控制台,会生成一个buzid证书。...5、搞定 要运行起来,必需使用release包,签名文件的sha256指纹证书,要与华为控制台配置的sha256证书一致。如果不一致,代码中运行到注册华为离线推送时,会报6003错误。...时设置【点击通知后】的操作为【打开应用】或【打开应用内指定界面】,当点击通知栏的消息时,客户端可以在相应的 Activity 中获取自定义内容,可以参考 OfflineMessageDispatcher.java...3、华为离线推送,必需要release包,签名文件的sha256指纹证书,要添加到华为控制台。...4、指纹证书不对,运行到申请token时,会报错6003 5、imsdk在5.0以上的版本,退后台调用doBackground接口,im后台会推送在线消给app内imsdk,推离线消息给厂商,厂商再推离线消息给手机系统

    4.6K40

    Android指纹识别,提升APP用户体验,从这里开始!

    首先说兼容性,指纹识别的 API 是 Google 在 Android 6.0 开放出来的。...然后说下安全性,由于已添加的指纹是存储在手机上的,Google API 验证指纹后仅仅返回 true 或者 false,我们是很难无条件相信这个识别结果的。...如果指纹识别的应用场景非交易非支付,仅仅是类似于 “启动 APP 进行指纹验证” 这样的情况的话,Google API 提供的指纹识别就够用了。...目前来看,虹膜和面部等生物识别 Api 尚未开放,仅支持指纹识别,不过在指纹识别上进行了统一,比如要求使用统一的指纹识别 UI ,不允许开发者自定义了。...: (1) Android 9.0 不允许开发者自定义指纹识别框,但系统提供的指纹识别框的灵活性堪忧。

    3.7K30

    深度了解Android 7.0 ,你准备好了吗?

    ● 自定义视图:两个新的 API ,在通知中使用自定义视图时可以充分利用系统装饰元素,如通知标题和操作。...对于开发者,Android N 还添加了一个新的 API,从而可以定义自己的“快速设置”图块,使用户可以轻松访问应用中的关键控件和操作。...Android N 在android.icu软件包下显示 Android 框架中的 ICU4J API 子集,供应用开发者使用。...十五、VR 支持(面向Android的 Google VR SDK) Android N 添加了新的VR 模式的平台支持和优化,以使开发者能为用户打造高质量移动 VR体验。...● 除密钥认证外,Android N 还推出了指纹绑定密钥,在指纹注册时不会撤销。 另外新增特性还有直接启动、打印服务增强、持续性能 API、作用域目录访问、键盘快捷键辅助工具等。

    3.6K10

    从诺基亚 X6 聊人脸解锁:安全基础是TEE

    实际上我们之所以说 Android 4.0 时代的人脸解锁在安全性方面还很原始,有一则依据是直到 2013 年下半年 Android 4.3 果冻豆的推出,谷歌才在 API 文档中首次提及硬件级别的证书存储...,极为敏感的身份凭证,比如密钥这种东西就会更安全。谷歌也是那时才第一次在开发者文档中提到了 TrustZone,“即便是操作系统内核也无法访问(存储在其中的)密钥资料”。...其实我们把这里的“证书”译作“身份凭证”可能更便于理解,人脸或指纹解锁中的人脸和指纹数据,就是一种身份凭证(即便可能和实质上的 credential 还是不一样,或成为独立的子系统),它们放在哪个位置显然是很重要的...这个 API 支持生成和访问 App 私钥,为非系统 App 安全存储密钥提供了便利,开发者不需要再自己取实施密钥保护措施。...那个时候只有系统可以访问存储的密钥和凭证,第三方 App 是不可以的...证书存储管理是没有公共 API 的...”

    2.3K40

    Google Map

    这些API通过互联网调用来自Google服务器的服务,因此它们需要有网络连接才能工作。此外,在使用这些Android Maps API服务开发应用程序之前,需要同意Google的服务条款。...而在Android中要开发基于地图的应用,使用的类是MapView,如果要讲Google Map数据显示到MapView上,必须注册Google Map服务,并获得一个Maps API Keys。...Android系统要求所有应用程序都必须使用​证书​进行签名。证书里面包含一个唯一的key,它用于标识应用程序的作者,其实就是MD5。在开发和调试的过程当中可以使用Debug版本的证书。...图10.1.5 创建AVD 10.3 地图定位 完成上述一系列步骤之后,我们就可以正式开始google地图应用程序的开发了, 在com.google.android.maps包里面定义了一系列用于在Google...Google Maps 是通过在地图上添加层,然后再在这个图层上面添加标记来实现此功能的。Android提供了多个类来实现在地图上添加层。

    3.1K10

    IMSDK华为离线推送快速调试

    3、im控制台一些简单配置 如下图,将华为开发者控制台上,申请到的离线推送账号信息,填到IM控制台,会生成一个buzid证书。...5、搞定 要运行起来,必需使用release包,签名文件的sha256指纹证书,要与华为控制台配置的sha256证书一致。如果不一致,代码中运行到注册华为离线推送时,会报6003错误。...时设置【点击通知后】的操作为【打开应用】或【打开应用内指定界面】,当点击通知栏的消息时,客户端可以在相应的 Activity 中获取自定义内容,可以参考 OfflineMessageDispatcher.java...3、华为离线推送,必需要release包,签名文件的sha256指纹证书,要添加到华为控制台。...4、指纹证书不对,运行到申请token时,会报错6003 5、手机硬件的token是固定的,如果您的app事先已经集成了极光推送等其他pushsdk,已经申请到了token,可以直接把token交给imsdk

    2.6K90

    百度地图开发1

    最近自己想研究下地图,本来想研究google Map,但是申请API key比较坑爹,于是从百度地图入手,其实他们的用法都差不多,本篇文章就带领大家在自己的Android项目中加入百度地图的功能,接下来我会写一系列关于百度地图的文章...Key type 选择“for mobile”,安全码是Android签名证书的证书指纹 (SHA1)值 + “;” + 你的应用程序包名,所以当你配置好了API key 你不能随意更换应用程序的包名,...如果更换了包名我们需要重新配置API key,接下来我们来介绍怎么获取数字签名 我们知道我们开发的Android程序是需要给他签名的,如果没有签名是不允许被安装到手机或者模拟器的,那么你会有疑问,我平常开发的应用确实没签名...debug.keystore来生成Android签名证书的证书指纹 (SHA1)值,可以在eclipse中直接查看:winows -> preferance -> android -> build。...红色框框里面的东西就是我们需要的Android签名证书的证书指纹 (SHA1)值,然后我们复制出来,输入到API key的安全码输入框里面,再用分号隔开加上你的应用程序包名,如  02:5C:80:25

    2.3K70

    基于会话代理的现代钓鱼攻击机制与纵深防御体系研究

    2025年9月,微软宣布成功瓦解名为“Raccoon0365”的全球钓鱼即服务(PhaaS)平台,该平台自2024年7月以来已窃取来自94国约5,000组高价值凭证,重点针对医疗、教育及云开发者社区。...3.2 TLS指纹伪装攻击者使用curl-impersonate或playwright-stealth等工具模拟Chrome 125的TLS Client Hello指纹,使流量在JA3/JA3S层面与正常用户无异...企业可部署浏览器扩展,在检测到重复SSO提示链时弹出警示。5 实验验证搭建测试环境:Azure AD租户 + Microsoft 365 E5许可证 + Sentinel SIEM。...结果:未启用Private Link时,代理成功获取会话;启用Private Link后,代理因无法解析内网FQDN失败;启用连续验证后,非常规IP登录被阻断;授权监控规则在30秒内告警新应用注册事件。...本文通过逆向分析其代理中继机制,指出单纯依赖URL过滤或证书检查已不足以应对。所提出的纵深防御体系,强调从身份、设备、网络、应用四层协同控制,尤其重视会话生命周期的安全治理。

    25210

    Android P专区免费开放 -- 同样的Android,不同的体验

    Android机器里,刘海屏目前还是极为罕见的Google为了方便开发者调试,在Android P Preview镜像中,特别提供了Cutout的支持,具体打开方式可以参考Google提供的特性说明文档...功能优化提升一览 一、神经网络API 1.1 在前不久发布的Android 8.1 (API level 27)上,Google首次在Android平台上推出了神经网络API,这意味着我们的Android...二、改进表单自动填充 Android 8.0(API等级26)中引入了自动填充框架,这使得在应用中填写表单变得更加容易。...三、安全增强 Android P引入了许多新的安全功能,包括统一的指纹验证对话框和敏感交易的高确信度的用户确认。应用程序内的指纹认证UI也将会更加一致。...统一的指纹验证对话框 如果第三方APP想要使用指纹,Android系统框架为应用提供了指纹认证对话框,该功能可以提供统一的外观和使用体验,用户使用起来更放心。

    4.7K30

    2015谷歌IO大会综述:Android M、Android Studio、云端测试工具

    Play达到500亿次下载安装 Google Cardboard在全球获得100万用户 无人汽车达100万英里(160万公里) Android M 目前,Android M此次仅仅是亮相,且为预览版,...Fingerprint Support(指纹支持):为统一规范和标准,增加了指纹识别API,以清理这一杂乱的市场,不仅可实现设备指纹解锁、支付等,而且开发者们可通过API把指纹识别功能接入到自己的App...技术细节:Google Photos结合了谷歌的识别技术(或深度学习),能自动识别照片中的人或不同事件,可以自动为用户添加便签,而无需手动。...此外,这款测试平台,为跨平台系统,同时支持Android和iOS的应用测试。 谷歌也试图改善开发者的收入情况,他们现在可以自己创建其Google Play应用商店上的主页。...Google Maps:主要是提升离线地图的体验,将支持完全离线的搜索、点评和详细信息查询,以及完全的离线语音导航功能。另外,离线模式还支持语音控制,说“Let‘s Go”就直接开始进行导航。

    1.9K80

    Android P专区免费开放 -- 同样的Android,不同的体验

    Android机器里,刘海屏目前还是极为罕见的Google为了方便开发者调试,在Android P Preview镜像中,特别提供了Cutout的支持,具体打开方式可以参考Google提供的特性说明文档...功能优化提升一览 一、神经网络API 1.1 在前不久发布的Android 8.1 (API level 27)上,Google首次在Android平台上推出了神经网络API,这意味着我们的Android...二、改进表单自动填充 Android 8.0(API等级26)中引入了自动填充框架,这使得在应用中填写表单变得更加容易。...三、安全增强 Android P引入了许多新的安全功能,包括统一的指纹验证对话框和敏感交易的高确信度的用户确认。应用程序内的指纹认证UI也将会更加一致。...统一的指纹验证对话框 如果第三方APP想要使用指纹,Android系统框架为应用提供了指纹认证对话框,该功能可以提供统一的外观和使用体验,用户使用起来更放心。

    1.5K10

    钓鱼即服务(PhaaS)的演化与法律-技术协同治理路径研究——以Google诉Lighthouse案为例

    此类平台通常提供图形化控制面板、预置品牌模板库、自动化的域名注册与SSL证书部署、反沙箱与反浏览器指纹检测模块,甚至支持多语言与多时区投放策略,极大降低了攻击门槛并提升了成功率。...2025年初,Google向美国联邦法院提交紧急禁令申请,要求关闭代号为“Lighthouse”的PhaaS运营实体。...3.4 攻击效果评估据Google统计,在2024年Q3至2025年Q1期间,Lighthouse生成的钓鱼页面共触发超过87万次访问,其中约12%的用户提交了凭证。...Google安全团队报告称,在类似行动后72小时内,相关钓鱼流量下降92%。然而,法律手段存在明显局限:司法管辖冲突:若被告位于无引渡条约或执法合作薄弱的国家,法院判决难以执行。...其最大价值在于生成高质量、可验证的IOC(如域名、IP、SSL证书指纹、JavaScript哈希),为技术防御提供输入。

    19210

    开源即时通讯IM框架MobileIMSDK的Uniapp端开发快速入门

    建议用途:应用层可通过回调中的指纹特征码找到原消息并可以UI上将其标记为“发送失败”以便即时告之用户。参数1:{Array}:由框架的QoS算法判定出来的未送达消息列表。...建议用途:应用层可通过回调中的指纹特征码找到原消息并可以UI上将其标记为“发送成功”以便即时告之用户。...参数1:{String}:已被收到的消息的指纹特征码(唯一ID),应用层可据此ID找到原先已发的消息并可在UI是将其标记为”已送达“或”已读“以便提升用户体验。...App基座”:图片8.2选择要运行的Android真机如下图所示,在弹出菜单中选择已通过USB连接的Android手机并点击“运行”:图片8.3在Android真机上的运行效果图片九、Demo运行方法...,在弹出菜单中点击“运行到iOS App基座”:图片10.2配置开发者证书签名等如下图所示,在弹出菜单中点击“使用Apple证书签名”(以便配置好真机需要的开发者证书等信息):图片10.3选择要运行的iOS

    96720
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券