Sho*_*uri 15 java android push-notification google-cloud-messaging
场景:假设通过对.apk文件进行逆向工程,攻击者获得SENDER ID应用程序中使用的推送注册服务.攻击者开发了一个类似的假应用程序,该应用程序具有相同/不同的程序包名称,并且已上载到与Google Play不同的应用商店.
我的问题:他/她可以在应用程序中使用相同的SENDER ID吗?对于安装该假应用程序的用户,这有什么影响?
相关问题: 谷歌云消息安全问题似乎有点类似.Android GCM的答案:更多应用程序问题的相同发件人ID提供有价值的信息.阅读接受的答案结论似乎是绝对可能的,这就是为什么建议不要在推送消息中包含敏感数据.
但这似乎不是问题的解决方案.我无法理解上述安全失效的影响.
Era*_*ran 16
发件人ID(也称为Google API项目ID)与唯一的应用程序包名称无关.事实上,多个应用程序可以使用相同的发件人ID注册到GCM,这将允许使用相同的API密钥向所有这些应用程序发送GCM消息.当然,每个应用程序都有不同的注册ID(即使在同一设备上).
如果有人知道您的发件人ID,他们可以使用该发件人ID注册到GCM,但如果不知道API密钥,他们将无法向假应用程序或真实应用程序发送GCM消息.当他们注册GCM时,GCM会收到他们的假应用程序的包ID.因此,如果您向真实应用的注册ID发送消息,则无法访问虚假应用.为了让假应用程序从您的服务器获取消息,它需要将自己的注册ID发送到您的服务器并欺骗您的服务器以使其相信它是真正的应用程序.在我们的服务器应用程序中,您必须提到我们的API密钥 如果您想发送所需的任何通知.
| 归档时间: |
|
| 查看次数: |
6220 次 |
| 最近记录: |