我的问题在于是否可以确保此远程CSV资源仅供我的应用程序使用?
据推测,如果我只是在计划URL上获取CSV的位置,这可能会被嗅探并被其他人使用.我不知道如何限制对它的访问,因为用户几乎可以从任何连接使用该应用程序.
如果我对文件使用某种加密,如果有人反编译了java apk文件,解密密钥是否会被暴露?
有没有其他方法可以确保我的csv数据源仅供我的应用程序使用?
谢谢
(我使用CSV是因为数据不是很复杂,并且不保证数据库,我在使用数据库时已经阅读了一些关于此问题的App-> webservice->数据库方法)
解决方法
我认为,您的应用程序不是免费的(因为.csv看起来很有价值),因此请深入了解许可验证库和this blogpost,尤其是.部件技术:将许可证验证卸载到可信服务器和技术:使您的应用程序防篡改.
简而言之,据我所知,您的方式如下:
>使用您的RSA公钥将您的apk上传到谷歌.
>在应用程序中实现LVL请求(没有加密,并且没有应用程序包中的私钥!**
>通过安全的SSL连接发布lvl响应到您的服务器
>在您的可信任服务器上,使用您的RSA私钥,您应该检查博客文章中提到的内容,尤其是将请求的用户ID放入数据库并计算来自单个UID的请求,如果它远高于平均值,则可以假定此用户标识是用于无效请求的用户标识.
>如果支票出现问题,请不要回复
>如果一切顺利,请回复你的csv.只有在Android客户端上保存你的数据,如果你想让用户在没有连接的情况下使用csv,否则任何有根设备或破解的apk都可以获得访问并重新分配csv – 更好:只推送csv的请求部分(例如行)用户
请参阅this question并查找重播攻击以及如何防止它,不要让任何人重播提供csv或其中部分内容的呼叫(例如,每个UID的序列号).
尽可能地混淆你的代码,使工作更加困难,就像@VinceFR已经提到的那样.
还有一些攻击,比如这两个:
> root设备并检查存储的csv,而不是重新分发 – 这就是为什么你不想在客户端上存储你的csv
>对您的应用进行逆向工程,记录他们获得的希望完整的csv并使用它,可能会删除LVL代码以免费使用您的应用程序 – 这就是为什么您仍然需要进行模糊处理并仅发送所请求的部件
甚至校验和,使用PackageManager,apk签名等pp将不会100%.
但实际上,在客户端首次下载csv(或任何其他数据)之前,您的数据将被保存.它甚至可以保存,只要您可以信任您的用户(例如,对于内部应用程序或其他东西的信任用户有限,那么您应该更喜欢使用androids vpn选项来访问该文件).在那之后,这只是一个时间和精力来解决你的应用程序并获得有价值的csv的问题 – 问题是,如果任何人都花时间进入它是值得的.
另外link providing more information and links on LVL by Justin Case.
对所有这些链接都有一个很好的阅读并记住:让它变得难以置信使其变得无价值无法阻止那些从成功中获取价值的破解者 – 我的意思是,破解某种“防破解”软件是对某些人来说,即使没有得到报酬,也更有价值.
PS:请参阅this answer on another问题,获取“防破解”软件 – 但即使是网站,它的数据也可以不断重复,如果值得的话.