公司创建项目并接收发件人ID.公司创建一个应用程序,烘焙其发件人ID并将应用程序放在商店中.
攻击者对应用程序进行反向工程,并提取发件人ID和用于接收GCM注册ID的服务器接口.
攻击者创建自己的应用程序,烘焙公司的发件人ID和服务器注册界面,将应用程序放入商店.就GCM而言,攻击应用程序基本上冒充公司的真实应用程序:它注册接收来自公司发件人ID的邮件,然后将其GCM注册ID发送到公司的服务器,就像"真正的"应用程序一样.
现在,公司希望向其应用的所有实例广播一些信息.也许这是一个提醒,而不是更新可用.有没有办法区分"攻击应用程序"(注册就像真正的应用程序)与公司应用程序的"真实"版本?