by Anonymous » 07 Apr 2025, 01:13
Ich entwickle eine Android -App (eine VPN -App) und versuche, Benutzer daran zu hindern, die APK zu ändern oder neu zu packen. Hier ist, was ich bisher ausprobiert habe: < /p>
[*]
Signature SHA1 -Überprüfung < /strong>
Ich habe die Signatur implementiert, die SHA1 -Überprüfung in meiner App implementiert habe, wenn jemand die App geändert hat, kann sich die Signatur ändern und ich könnte sie erkennen. Ich habe jedoch entdeckt, dass Tools wie Signature -Verifizierung dies leicht umgehen können. Sie pflücken die App, um die Signaturprüfung zu überspringen und sogar den ursprünglichen SHA1 -Hash aus dem unmodifizierten APK zurückzugeben. /> < /ol>
Grundsätzlich kann alles, was ich auf der Seite Client -Seite < /strong> versuche, gepatcht werden. Ich möchte die Verifizierung serverseitig verschieben, um sicherzustellen, dass meine Server nur mit unmodifizierten, echten Versionen der App sprechen. VPN -App, und ich muss jedes Mal, wenn die App öffnet, die Integrität
überprüfen (um meine Server zu schützen)
Die Integritäts -API hat eine
10.000 Anfrage/Tageslimit . Serverseitiger Mechanismus zum zuverlässigen Erkennen, ob die Client-App geändert wird oder nicht-ohne auf die Google Play Integrity-API zu stützen? Sicherheit ist für meinen Anwendungsfall von entscheidender Bedeutung.
Ich entwickle eine Android -App (eine VPN -App) und versuche, Benutzer daran zu hindern, die APK zu ändern oder neu zu packen. Hier ist, was ich bisher ausprobiert habe: < /p>
[*] [b] Signature SHA1 -Überprüfung < /strong>
Ich habe die Signatur implementiert, die SHA1 -Überprüfung in meiner App implementiert habe, wenn jemand die App geändert hat, kann sich die Signatur ändern und ich könnte sie erkennen. Ich habe jedoch entdeckt, dass Tools wie Signature -Verifizierung dies leicht umgehen können. Sie pflücken die App, um die Signaturprüfung zu überspringen und sogar den ursprünglichen SHA1 -Hash aus dem unmodifizierten APK zurückzugeben. /> < /ol>
Grundsätzlich kann alles, was ich auf der Seite Client -Seite < /strong> versuche, gepatcht werden. [url=viewtopic.php?t=14917]Ich möchte[/url] die Verifizierung serverseitig [/b] verschieben, um sicherzustellen, dass meine Server nur mit unmodifizierten, echten Versionen der App sprechen. VPN -App, und ich muss jedes Mal, wenn die App öffnet, die Integrität [b] [/b] überprüfen (um meine Server zu schützen)
Die Integritäts -API hat eine [b] 10.000 Anfrage/Tageslimit [/b]. Serverseitiger Mechanismus zum zuverlässigen Erkennen, ob die Client-App geändert wird oder nicht-ohne auf die Google Play Integrity-API zu stützen? Sicherheit ist für meinen Anwendungsfall von entscheidender Bedeutung.
Mobile version