現在、バックエンド サーバーからデータを要求する Android 用のアプリを作成しています。もちろん、自分のサーバーで受信したリクエストが本当に自分のアプリからのものなのか、それとも誰かが別のサーバーから HTTP リクエストを送信しただけなのかなどを知りたいです。そのトピックに関する Tim Bray の記事を読みましたが、このアプローチが実際にどれほど安全かを知りたいです。 . この記事では、ルート化されたデバイスがセキュリティを侵害する可能性があると述べていますが、私は次のシナリオについて考えていました。
- 悪意のある人物が私のアプリを取得し、完全に逆コンパイルして、私が使用していることを検出します
GoogleAuthUtils - 彼女/彼はそれをハッキングするために私のアプリを変更し、それを彼女/彼のデバイスに展開します (同じパッケージ名を使用するなど)。
偽のアプリの署名が異なること (悪意のある人物が私の秘密鍵を持っていないため) と、Play ストアからダウンロードできないこと (同じパッケージ名のアプリを 2 つ公開できないため) はわかっています。
デバイスがルート化されていない場合: この偽のアプリはGoogleAuthUtils.getToken()、本物のアプリと同じ (または何らかの) 結果を得ていますか?
ルート化されたデバイスでハッカーが応答に適用できる可能性のある変更は何ですか?