是否可以远程托管Android应用程序中使用的资源,使其只能由我的应用程序使用？

Question

基本上我想要实现的是托管一个CSV文件,我的应用程序将检索并使用该文件作为填充某些表的数据源.CSV将使用最新数据进行更新,我设想应用程序每隔一段时间就会获得最新版本,以确保其中的数据是最新的.

我的问题在于是否可以确保此远程CSV资源仅供我的应用程序使用？

据推测,如果我只是在计划URL上获取CSV的位置,这可能会被嗅探并被其他人使用.我不知道如何限制对它的访问,因为用户几乎可以从任何连接使用该应用程序.

如果我对文件使用某种加密,如果有人反编译了java apk文件,解密密钥是否会被暴露？

有没有其他方法可以确保我的csv数据源仅供我的应用程序使用？

谢谢

(我使用CSV是因为数据不是很复杂,并且不保证数据库,我在使用数据库时已经阅读了一些关于此问题的App-> webservice->数据库方法)

Answer 1

你问的问题应该是:我有多难让黑客入住？如果您通过Playstore分发您的应用程序,请查看此问题,即使它标记为主题,答案和链接也很有价值.

我认为,你的应用程序不是免费的(因为.csv看起来很有价值),所以要深入了解许可验证库和这篇博文,特别是.部件技术:将许可证验证卸载到可信服务器和技术:使您的应用程序防篡改.

简而言之,据我所知,您的方式如下:

1. 使用您的RSA公钥将您的apk上传到Google.
2. 在您的应用程序中实现LVL请求(没有加密,并且没有应用程序包中的私钥!**
3. 通过安全的SSL连接发布将lvl响应转发到您的服务器
4. 在您的可信任服务器上,使用您的RSA私钥,您应该检查博客帖子中提到的内容,尤其是 将请求的用户ID放入数据库并计算来自单个UID的请求,如果它远高于平均值,则可以假定此用户标识是用于无效请求的用户标识.
5. 如果支票出现问题,请不要回复
6. 如果一切顺利,请回复你的csv.只有在Android客户端上保存你的数据,如果你想让用户在没有连接的情况下使用csv,否则任何有根设备或破解的apk都可以获得访问并重新分配csv - 更好:只推送csv的请求部分(例如行)用户

看到这个问题并查找重放攻击以及如何防止它,不要让任何人重播提供csv或其中部分内容的调用(例如每个UID的序列号).

尽可能地混淆你的代码,使工作更加困难,就像@VinceFR已经提到的那样.

还有一些攻击,比如这两个:

• root设备并检查存储的csv,而不是重新分配 - 这就是为什么你不想将csv存储在客户端上的原因
• 逆向工程你的应用程序,记录他们得到的希望完整的csv并使用它,可能删除LVL代码免费使用你的应用程序 - 这就是为什么你仍然需要混淆和只发送请求的部分

甚至校验和,使用PackageManager,apk签名等pp将不会100%做到这一点.

但实际上,在客户端首次下载csv(或任何其他数据)之前,您的数据将被保存.它甚至可以保存,只要您可以信任您的用户(例如,对于内部应用程序或其他东西的信任用户有限,那么您应该更喜欢使用androids vpn选项来访问该文件).在那之后,这只是一个时间和精力来解决你的应用程序并获得有价值的csv的问题 - 问题是,如果任何人都花时间进入它是值得的.

另一个链接提供了Justin Case提供的关于LVL的更多信息和链接.

对所有这些链接都有一个很好的阅读并记住:让它变得难以置信使其变得无价值无法阻止那些从成功中获取价值的破解者 - 我的意思是,破解某种"防破解"软件是对某些人来说,即使没有得到报酬,也更有价值.

PS:在另一个问题上看到这个答案,对于一个"防破解"的软件 - 但即使是一个网站,它的数据也可以不断复制,如果值得的话.

Answer 2

除了这里的所有其他答案之外,Android开发者博客上还有一篇名为"从Android应用程序验证后端呼叫"的帖子,您也应该对此感兴趣,以防万一您尚未遇到它.