Plugin that help suggest and auto fix security for Android Developer


Nows a day, the phone become much more important. Since it store so many sensitive information e.g. contacts, credit cards, private photo, e-mail, location and payment. It's not gonna be good if the other know how we live or pay or even pay some goods using our credit card.

Developer need to develop the app that secure enough for any users. However, its not easy to build the secure app because the technology always updated. New vulnerable has been discovered every day. Furthermore, developer have limited time to develop an app. 

I found a nice solution its the plugin for Android Studio. DevKnox is a plugin that scan the code and give suggestion for security vulnerable and mostly provides auto-fix. As I have tried this plugin. Its suggestion is great and it come with good explanation on each vulnerable. We can also use code-inspector that come with Android Studio(Analyze/Inspect code) it usually gives fewer security vulnerable suggestion.


Show how DevKnox suggest and provide auto-fix.

For example I use common Random function which can be predictable with modern computer. So the DevKnox suggest to use secureRandom instead. When I press the suggestion it auto import secureRandom and replace secureRandom with the common one in just one click
The screenshot show how DevKnox suggest and provide auto-fix.

DevKnox also work on layout xml file. For example, they suggest on the Button that my implement is vulnerable to Tapjacking Attack so they suggest to add android:filterTouchesWhenObscured="true" to help prevent the known attack.
 The screenshot show how DevKnox suggest and provide auto-fix.

All you need just sign up here and add Repository URL : http://repo.devknox.io in to the plugin repo in Android Studio then you can search for devKnox and install it. There are some similar plugins e.g. QAPlug, FindBugs.

Note: The plugin is lagging 2-4 sec. when apply its suggestion this is annoying. I have e-mailed to them and they noted as an issue. I hope they will fix lagging soon.

List of DevKnox Detection

Developer can ask DevKnox to do full scan the whole project
by use action command devknox scan (Control+Shift+A then type devknox scan)

Feel free to post question or suggestion. :)

For more infomation please visit
https://devknox.io/documentation#prerequisites

ซับไทย

ทุกวันนี้มือถือมีความสำคัญมากขึ้นมากๆ เพราะมันเก็บข้อมูลส่วนตัวไม่เยอะมากทั้ง ข้อมูลบัตรเครดิต, การจ่ายเงิน, อีเมล และที่อยู่ มันคงไม่ดีแน่ถ้าคนอื่นจะมารู้การใช้จ่ายหรือใช้บัตรเครดิตเราไปซื้อของแปลกๆ

นักพัฒนาแอพต้องสร้างแอพให้ปลอดภัยเพียงพอสำหรับทุกคน แต่มันไม่ง่ายเลยที่จำทำเพราะเทคโนโลยีเกิดใหม่ทุกวัน และมีการเจอช่องโหว่และบั้กทุกวันด้วยเช่นกัน ที่ตัวแปรสำคัญที่สุดคือนักพัฒนามีเวลาจำกัดในการพัฒนาแต่ละแอพ

ผมได้ไปเจอ ปลั้กอิน DevKnox มันเจ๋งดีมันจะสแกนโค้ดเรารวมทั้งไฟล์เลย์เอาท์เพื่อหาว่ามีช่องโหว่ตรงไหนและมันจะเสี่ยงให้ถูกโจมตีได้ยังไงและที่สำคัญคือมันแนะนำวิธีแก้และแก้ให้เราอัตโนมัติเลย เราอาจใช้ Code inspector ที่มากับ Android Studio ตรวจได้เหมือนกันแต่ด้าน security จะไม่ละเอียดเท่า DevKnox(Analyze/Inspect code) เท่าที่ลองใช้มันก็แนะนำได้ดีตามรูปข้างบน แนะนำให้ใช้ secureRandom แทน Random และให้มีการ filter Buntton เพิ่มเติม ถ้าอยากลองใช้ก็สมัครสมาชิกได้ที่ นี่ และต้องเพิ่ม http://repo.devknox.io  เข้าไปใน Plugin Repo of Android Studio. ถ้าสงสัยหรืออยากแนะนำอะไรก็โพสได้เลยนะครับ

อ่านเพิ่มได้ที่ https://devknox.io/documentation#prerequisites

Popular posts from this blog

เทคนิค ชนะ เกมเศรษฐี 14 ตารวด!!! ( Let's get Rich )

Using Google Chrome Inspect Element to Analyze the website

Easy way to download whole youtube play list and convert them to mp3