Wie verhindern Sie APK -Modding ohne Google Integrity API? ⇐ Android

[Anonymous]

Ich entwickle eine Android -App (eine VPN -App) und versuche, Benutzer daran zu hindern, die APK zu ändern oder neu zu packen. Hier ist, was ich bisher ausprobiert habe: < /p>

[*] Signature SHA1 -Überprüfung < /strong>

Ich habe die Signatur implementiert, die SHA1 -Überprüfung in meiner App implementiert habe, wenn jemand die App geändert hat, kann sich die Signatur ändern und ich könnte sie erkennen. Ich habe jedoch entdeckt, dass Tools wie Signature -Verifizierung dies leicht umgehen können. Sie pflücken die App, um die Signaturprüfung zu überspringen und sogar den ursprünglichen SHA1 -Hash aus dem unmodifizierten APK zurückzugeben. /> < /ol>
Grundsätzlich kann alles, was ich auf der Seite Client -Seite < /strong> versuche, gepatcht werden. Ich möchte die Verifizierung serverseitig verschieben, um sicherzustellen, dass meine Server nur mit unmodifizierten, echten Versionen der App sprechen. VPN -App, und ich muss jedes Mal, wenn die App öffnet, die Integrität überprüfen (um meine Server zu schützen)
Die Integritäts -API hat eine 10.000 Anfrage/Tageslimit . Serverseitiger Mechanismus zum zuverlässigen Erkennen, ob die Client-App geändert wird oder nicht-ohne auf die Google Play Integrity-API zu stützen? Sicherheit ist für meinen Anwendungsfall von entscheidender Bedeutung.