jph*_*jph 11 security android android-c2dm google-cloud-messaging
公司创建项目并接收发件人ID.公司创建一个应用程序,烘焙其发件人ID并将应用程序放在商店中.
攻击者对应用程序进行反向工程,并提取发件人ID和用于接收GCM注册ID的服务器接口.
攻击者创建自己的应用程序,烘焙公司的发件人ID和服务器注册界面,将应用程序放入商店.就GCM而言,攻击应用程序基本上冒充公司的真实应用程序:它注册接收来自公司发件人ID的邮件,然后将其GCM注册ID发送到公司的服务器,就像"真正的"应用程序一样.
现在,公司希望向其应用的所有实例广播一些信息.也许这是一个提醒,而不是更新可用.有没有办法区分"攻击应用程序"(注册就像真正的应用程序)与公司应用程序的"真实"版本?
C2DM 也可能存在同样的问题,您可以嗅探发件人电子邮件地址,而不是 GCM 的项目 ID。
C2DM 或 GCM 永远不应该用于发送敏感的用户信息(即帐户名、私人信息等),它主要用于通知,真正的应用程序可以使用它来执行进一步的操作。
我看不出通知对“假/黑客”应用程序有多大用处,他们将如何处理“您有新消息”通知?