2

HTTPS 経由でサーバー アプリケーションと通信する Android アプリを作成しています。サーバー側では、Android アプリの完全性を完全に確認する必要があります。これは、サーバー アプリが、書き直したアプリではなく、私が開発した Android アプリと通信していることを確認する必要があることを意味します (たとえば、元のアプリを逆コンパイルした後、またはデバイスをルート化した後)。

それを保証する可能性はありますか?apkファイルの署名に可能性はありますか?

どんなヒントでも大歓迎です。

よろしく、ピーター

4

3 に答える 3

6

既知の問題に対処しようとしています:

  1. オープン デバイス (携帯電話、デスクトップ コンピューター) 上のアプリケーションを信頼することはできません。それを信頼するためには、改ざん防止が必要です。このようなデバイスの例は、SmartCard です。モバイルデバイスは確かにそうではありません。

  2. ユーザーが見ることが想定されていないデバイスにデータを送信しないでください。これは、すべてのビジネス ロジックをサーバー上で実行する必要があることを意味します。

  3. サーバーへのすべての要求は、ユーザーの資格情報 (ユーザー名/パスワード) で認証され、安全なプロトコル (HTTPS/SSL) 経由で行われる必要があります。

于 2011-01-30T17:44:43.620 に答える
5

とんでもない。ユーザーの手にあるものは何でも、もはやあなたのものではありません。どういうわけか検証のためにAPKをサーバーに転送できたとしても、ハッキングされたプログラムが元のコピーをサーバーに送信することを妨げるものは何もありません。

于 2011-01-30T11:58:32.327 に答える
1

ソフトウェアが実行されていることを検証するには、クライアント デバイスがリモート構成証明サービスを提供できる必要があります。これは、TPMの世界に山ほどある頭字語の 1 つです。IBM のIMAを含む TPM サービスの提供に取り組んでいる人がいることがわかりました。

詳細はこちら: http://www.vogue-project.de/cms/upload/vogueSoftware/Manual.pdf ( Google クイックビュー)。

もちろん、これはTPMをエミュレートしているため、Android カーネルにパッチを適用する必要があります。しかし、さまざまなメーカーの 1 つが、TPM ハードウェアを組み込んだモデルを喜んで作成してくれるでしょうか?

于 2011-01-30T12:22:21.397 に答える