Mobilenations - die smartphone-community

Die deutschsprachige Community für bada, Android, WindowsPhone, Smartphones und Tablets
https://www.mobilenations.de/

AES128 und Dateien mit Endung *.dcf

https://www.mobilenations.de/viewtopic.php?t=1817

Page 1 of 1

AES128 und Dateien mit Endung *.dcf

Posted: Mon 14. Nov 2011, 12:17
by adfree
Fluch oder Segen... :?

Mir ist gestern bei der KJ1 aufgefallen. Das verschärfte Sicherheitsmaßnahmen aktiviert wurden. Was Sachen aus dem Store betrifft.

So landen einige Dateien nur noch mit *.dcf auf dem Handy:

Code: Select all

Encryption-Method:AES128CTR
0 Ahnung ob bada 1.x das auch könnte.

Mir ist das vorher nicht aufgefallen... kann sein das das ein Grund mit ist, weswegen bada 2.0 noch nicht fertig ist.
Wenn jetzt lustig an der Security geschraubt wird.

MfG

Re: AES128 und Dateien mit Endung *.dcf

Posted: Mon 14. Nov 2011, 13:27
by sCion
Bei bada 1.x sind z.B. bei Widgets die JavaScript-Files ebenfalls .dcf files ;) Also denke ich, dass ist nichts neues.

Wichtig ist, dass man im Seller Office "DRM" aktiviert und die anderen "Sicherheits-Methoden" dort :) Sonst werden die Dateien nicht verschlüsselt und können ausgelesen werden.

Re: AES128 und Dateien mit Endung *.dcf

Posted: Mon 14. Nov 2011, 16:24
by adfree
Okay, danke, mein Fehler.

Da ich Widgets 0 nutze, ist mir das auch 0 aufgefallen. :oops:

MfG

Re: AES128 und Dateien mit Endung *.dcf

Posted: Thu 17. Nov 2011, 04:15
by adfree
Mir ist grad mal aufgefallen.
Das das etwas hohl scheint... :?:

Wenn ich ne App über Kies installiere einmal auf 1.2 und einmal auf 2.0...

Dann ist das unter 1.2 Klartext wie bisher... also kommt die Verschlüsselung nicht vom Samsung Server, sondern passiert auf dem Handy...

Davon mal abgesehen sind die AES Keys auch auslesbar...

MfG

Re: AES128 und Dateien mit Endung *.dcf

Posted: Tue 22. Nov 2011, 11:36
by adfree
Hmmmmmmm...

Komisch... Also unter bada 2.0 ist es nicht so einfach... die OAP abzufangen...
Aber unter 1.x...
Die werden dann auch noch hochtrabend mit SAMSUNGAPPSDRM bissel verschlüsselt im Tempfile abgeliefert...
Dann liebevoll in das uns bekannte ZIP Format... ungesichert. :lol:

Die Pfadangaben auf dem Server gibts auch noch im Klartext... selbst mit dem aktuellen Update von Samsung Apps...

Beispiel Icon...
http://img.samsungapps.com/product/2010 ... 55_155.png" onclick="window.open(this.href);return false;

Den Link zur *.oap gibts auch. Allerdings natürlich erstmal etwas gesicherter...
Frage mich trotzdem, wieso man den unverschlüsselt auf dem Handy haben muß...

Wie erwähnt. Die *.oap ist normal... erst beim Install packt bada 2.0 den DRM Hammer raus. Und papst *.dcf dranne...

An bada 2.0 Apps komm ich grad nicht ran. Weil zu doof welche zu finden... :mrgreen:
Denke mal wird auch so sein... nix anderes...
Außer ""API Protection""... großes Kino was Samsung da für den App Schutz tut.

Sieht fast so aus, als obs immer nur Mini Security Updates gibt... nur bei Notfall, wenn schon Sicherheitslücke gefunden... Aber das die mal 2 Schritte weiter denken...

Dazu gehört eigentlich kein Klartext verwenden... naja, was solls.

MfG

Re: AES128 und Dateien mit Endung *.dcf

Posted: Tue 22. Nov 2011, 12:06
by RYacht
Hm, als Laie frage ich mich, ob eure öffentliche Diskussion über die Lücken ok ist? Weiß es nicht. Was meint ihr?

Ray

Re: AES128 und Dateien mit Endung *.dcf

Posted: Tue 22. Nov 2011, 12:27
by adfree
Wieso nicht.

Nehme mal an. Du kannst es eh nicht umsetzen... oder probierst es halt nicht.

Technisch könnte es den ein oder anderen Entwickler vielleicht doch interessieren. Damit Samsung mal was richtig macht...

Kann ja nicht normal sein. Das der einzige Schutz ist, wenn Deine Firmware nicht die richtige API drinne stehn hat und Du nicht downloaden kannst...

Und sonst Datenschutz und Kopierschutz voll fürn A. ist.

Wie gesagt. Viele bada 1.2 Apps funktionieren tadellos auf 1.x...

Nehme mal an. Das die neuen 2.0 Apps auch nicht ausschließlich 2.0 Apis haben und somit locker abwärtskompatibel sind...

Samsung haben mit sowas nicht erst gestern angefangen, oder seit bada...
Die machen das mit BREW über 10 Jahre...

Denke das die damit theoretisch also nicht überfordert sein dürften.

MfG

Re: AES128 und Dateien mit Endung *.dcf

Posted: Fri 23. Dec 2011, 02:39
by adfree

Code: Select all

<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<Application>
    <Entry>s3e</Entry>
    <Name>The Sims 3</Name>
    <Vendor/>
    <Description/>
    <Icons>
        <MainMenu>Application.png<Type1>Application.png</Type1>
            <Type2/>
        </MainMenu>
        <Setting/>
        <Ticker/>
        <QuickPanel/>
        <LaunchImage>Splash.png</LaunchImage>
    </Icons>
    <AutoScaling>
        <Enabled>true</Enabled>
        <BaseResolution>NormalSize</BaseResolution>
    </AutoScaling>
</Application>
:idea:

Code: Select all

<?xml version='1.0' ?>
<Manifest>
    <Id>n4166zq8ri</Id>
    <Secret>3E2540C4265C0A6476DFA5FCC309272D</Secret>
  <AppVersion>1.0.0</AppVersion>
  <ManifestVersion>1.2</ManifestVersion>
  <AppType>C++App</AppType>
    <Privileges>
        <Privilege>
            <Name>COMMERCE_STORE</Name>
        </Privilege>
        <Privilege>
            <Name>CONTENT_TRANSFER</Name>
        </Privilege>
        <Privilege>
            <Name>LOCAL_CONTENT</Name>
        </Privilege>
        <Privilege>
            <Name>LANDMARK</Name>
        </Privilege>
        <Privilege>
            <Name>LOCATION</Name>
        </Privilege>
        <Privilege>
            <Name>LOCATION_SERVICE</Name>
        </Privilege>
        <Privilege>
            <Name>REMOTE_LANDMARK</Name>
        </Privilege>
        <Privilege>
            <Name>CAMERA</Name>
        </Privilege>
        <Privilege>
            <Name>DRM_CONTENT</Name>
        </Privilege>
        <Privilege>
            <Name>IMAGE</Name>
        </Privilege>
        <Privilege>
            <Name>RECORDING</Name>
        </Privilege>
        <Privilege>
            <Name>MESSAGING</Name>
        </Privilege>
        <Privilege>
            <Name>BLUETOOTH</Name>
        </Privilege>
        <Privilege>
            <Name>COOKIE</Name>
        </Privilege>
        <Privilege>
            <Name>HTTP</Name>
        </Privilege>
        <Privilege>
            <Name>NET</Name>
        </Privilege>
        <Privilege>
            <Name>NET_ACCOUNT</Name>
        </Privilege>
        <Privilege>
            <Name>NET_STATISTICS</Name>
        </Privilege>
        <Privilege>
            <Name>SOCKET</Name>
        </Privilege>
        <Privilege>
            <Name>WIFI</Name>
        </Privilege>
        <Privilege>
            <Name>WIFI_MANAGER</Name>
        </Privilege>
        <Privilege>
            <Name>ADDRESSBOOK</Name>
        </Privilege>
        <Privilege>
            <Name>BUDDY_SERVICE</Name>
        </Privilege>
        <Privilege>
            <Name>CALENDARBOOK</Name>
        </Privilege>
        <Privilege>
            <Name>MESSAGING_SERVICE</Name>
        </Privilege>
        <Privilege>
            <Name>PRIVACY_SERVICE</Name>
        </Privilege>
        <Privilege>
            <Name>PROFILE_SERVICE</Name>
        </Privilege>
        <Privilege>
            <Name>SNS_SERVICE</Name>
        </Privilege>
        <Privilege>
            <Name>SYSTEM_SERVICE</Name>
        </Privilege>
        <Privilege>
            <Name>TELEPHONY</Name>
        </Privilege>
        <Privilege>
            <Name>WEB_PRIVACY</Name>
        </Privilege>
        <Privilege>
            <Name>WEB_SERVICE</Name>
        </Privilege>
    </Privileges>
    <DeviceProfile>
        <APIVersion>2.0</APIVersion>
    </DeviceProfile>
</Manifest>
:engel:

MfG
All times are UTC
Page 1 of 1

Powered by phpBB® Forum Software © phpBB Limited