Проверьте, есть ли HTTP-запрос из моего приложения для Android.

Question

Я извлекаю данные с внешнего сервера для использования с моим приложением для Android. Я хотел бы, чтобы эти данные были доступны только с моим приложением. Я использую стандартное http-соединение для получения данных с сервера apache/php в формате json. Я также отправляю некоторые параметры на сервер для получения соответствующих данных. Теперь, что я планирую сделать, это:

1. Отправить на Params
2. отправить что-то вроде md5 ("someSecretPhrase" + Params).
3. Проверьте правильность секретной фразы на стороне сервера.

Теперь вопрос заключается в безопасном подходе к обратному проектированию? На данный момент я не могу придумать никакой другой возможности получить эти данные. Но если кто-то сможет декомпилировать мой apk, он также сможет получить эту «someSecretPhrase» (довольно сложно сделать на стороне сервера), а затем получить доступ к серверу, не так ли? Это реальная угроза? Есть ли еще одна возможность аутентификации моего приложения сервером?

Я смотрел, например, на форумах. Identify whether HTTP requests from Android App or not? and then respond appropriately, но они не объясняют проблему декомпиляции.

Answer 1

Одно из основных правил безопасности: вы не доверяете данным клиента. Когда-либо.

Вы должны рассмотреть ваше приложение декомпилированы, все «секретные» ключи известны атакующего и т.д.

Вы можете, однако, препятствуют попыткам злоумышленника, чтобы подделать свои запросы. Отправка (и проверка) контрольной суммы вашего запроса является одним из методов (ваша идея MD5(secret_key + params)).

Вы также можете переключиться на двоичный зашифрованный протокол. Но для этого требуется БОЛЬШЕ большая работа и совершенно другая архитектура сервера.

Answer 2

К сожалению, если кто-то декомпилирует ваш apk, тогда он может легко увидеть ваши строки.

EDIT: Я не думаю, что есть лучший способ сделать это .. возможно только опубликовать свое приложение на рынке андроид с андроидами защитой от копирования Включено ...

Answer 3

Попросите приложение выполнить рукопожатие с сервером, поэтому алгоритм - это не просто строка, а целый процесс. Использование Сеанс/базы данных для отслеживания вашего рукопожатия

Answer 4

Вы можете скрыть ваши ссылки, установленные все URL-адреса ссылок и paramete имен в strings.xml, например: http://wwww.yourdomain.com/yourpage.any USER_NAME! и получить URL, например на:

String serverUrl = Resources.getsystem().getstring(R.strings.name_your_link_id); String parameterKey = Resources.getsystem().getstring(R.strings.name_your_parameter_id); Uri url = Uri.parse(serverUrl+"?"+parameterKey+"=" + yorusername);

и сделать любой запрос http HttpURLConnection con = (HttpURLConnection) url.openConnection();

когда-либо один попытаться декомпилировано приложением он будет показывать только ID, как длинное целое в R.java файл получить код такого этого String serverUrl = Resources.getsystem().getstring(12346546564); String parameterKey = Resources.getsystem().getstring(123321321132);

Answer 5

Android требует, чтобы один должен sign своих приложения (право подписи или самоподписывающееся) прежде чем он сможет быть установлен. Мы можем использовать это, чтобы проверить, поступают ли запросы от вашего приложения или нет.

1. Подпишите свое приложение с вашим сертификатом.
2. Find подпись сертификатов и сохранение их на вашем серверном сервере.
3. Для каждого запроса ожидайте, что эта подпись будет отправлена ​​приложением.
4. проверять подпись, отправленную приложением на уровне сервера, и принимать только в том случае, если они совпадают.

Даже в том случае, когда кто-то зажимает ваше приложение, он должен подписать его еще раз, прежде чем он сможет быть установлен, что изменит подпись приложений, и наш механизм проверки просто отклонит все такие запросы.

Этот ответ основан на блоге this. Используйте https для приложения < -> серверная связь.