web-dev-qa-db-ja.com

安全な方法Android Market public key

Androidのセキュリティマニュアル は、市場の公開鍵を文字列として保持するのは安全ではなく、何らかの方法で非表示/エンコードする必要があると述べています。私はAndroidを初めて使用します。

4
Kishore

これは不可解に聞こえるかもしれませんが、彼らが話している脅威モデルを理解すれば、それはすべて理にかなっています。あなたがリンクしているウェブページは、人々があなたのアプリをハッキングしてアプリ内課金を迂回することを防ぐことについて話している。

例:ユーザーがAndroid電話にアプリをインストールすることにより、人々がプレイできる楽しいゲームを構築したとします。アプリ内課金を使用して、ゲームを作るクールなアイテムを人々が購入できるようにしますもっと楽しく:「ソードオブトゥルース」などです。もちろん、ハッカーは常に.apkのコピーを作成し、コードを変更してコードを変更することで、ソードオブトゥルースを入手できます。あなたはそれに対してあなたにお金を払ってください。あなたはそれについてあまり幸せではないかもしれません。

まあ、Androidセキュリティマニュアルには、そのようなハッキングを困難にし、収益源を保護するために何ができるかが記載されています。理解しておくべき重要なことは、強力な防御がないということです。この状況では、専任でやる気のある攻撃者が常に勝利します。あなたが望むことができる最も多くのことは、スピードバンプを導入して、誰かがあなたのゲームをハッキングするのを少し難しくすることです。 、したがって、合理的に可能であるだけでなく、あなたの収入の流れを保護します。あなたがリンクしたウェブページがあなたを助けることを試みているものです。

Androidウェブページは実際にこれをかなりよく説明しています。あなたはそれから選択的に引用しましたが、近くの文章を読み続けるなら、良い説明があります:「公開]キー自体は秘密情報ではありませんが、ハッカーや悪意のあるユーザーが簡単に公開キーを別のキーに置き換えることを望まないでしょう。」彼らがあなたがそれを気にかける理由を説明しなかったのは事実です。私の説明はこれをより明確にしました。

また、ウェブページの最上部には、「実際には、デバイスではなくリモートサーバーで署名検証を実行する必要があります。検証プロセスをサーバーに実装すると、攻撃者が検証プロセスを逆に破ることが難しくなります。 .apkファイルをエンジニアリングします。」一般に、これは、ゲームをリバースエンジニアリングして変更するハッキングから確実に防御できる唯一の方法です。

ハッカーによるオンラインゲームでの不正行為の防止に関する一般的なトピックの詳細については、次の記事を強くお勧めします(読みやすく、洞察に富んでおり、現在でも関連性があり、あらゆる点で素晴らしいです)。

8
D.W.