基本上我想要实现的是托管一个CSV文件,我的应用程序将检索并使用该文件作为填充某些表的数据源。 CSV将使用最新数据进行更新,我预计应用程序每隔一段时间就会获得最新版本,以确保其中的数据是最新的。
我的问题在于是否可以确保此远程CSV资源仅供我的应用程序使用?
据推测,如果我只是在计划URL上获取了CSV的位置,这可能会被嗅探并被其他人使用。我不知道如何限制对它的访问,因为用户几乎可以从任何连接中使用该应用程序。
如果我对文件使用某种加密方式,如果有人反编译java apk文件,解密密钥是否可能会暴露?
还有其他方法可以确保我的csv数据源仅供我的应用使用吗?
由于
(我使用的是CSV,因为数据并不复杂,并且不保证数据库,我已经阅读了一些关于App-> webservice->数据库方法的内容使用数据库时的这个问题)
答案 0 :(得分:13)
你问的问题应该是:我有多难让黑客入住?如果您通过Playstore分发您的应用程序,请查看this question,即使它标记为主题,答案和链接也很有价值。
我认为,您的应用程序不是免费的(因为.csv似乎很有价值),因此请深入了解许可验证库和this blogpost,尤其是。部分技术:将许可证验证卸载到受信任的服务器和技术:使您的应用程序防篡改。
简而言之,据我所知,您的方式如下:
请参阅this question并查找重播攻击以及如何防止它,不要让任何人重播提供csv或其中部分内容的呼叫(例如,每个UID的序列号)。
尽可能地混淆你的代码,使工作更加困难,就像@VinceFR已经提到的那样。
还有一些攻击,比如这两个:
甚至校验和,使用PackageManager,apk签名等pp将不会100%执行。
但实际上,在客户端首次下载csv(或任何其他数据)之前,您的数据将被保存。它甚至可以保存,只要您可以信任您的用户(例如,对于内部应用程序或某些内容的信任用户有限,那么您应该更喜欢使用androids vpn选项来访问该文件)。在那之后,这只是一个时间和精力来解决你的应用程序和获得有价值的csv的问题 - 问题是,如果任何人都花时间进入它是值得的。
额外的link providing more information and links on LVL by Justin Case。
对所有这些链接都有一个很好的阅读并记住:让它变得难以让它变得无价值无法阻止那些从成功中获取价值的破解者 - 我的意思是,破解某种“防裂” “对于某些人来说,软件更有价值,即使没有得到报酬或其他东西。
PS:请参阅this answer on another问题,了解“防破解”软件 - 但即使是网站,如果值得,也可以不断复制数据。
答案 1 :(得分:5)
除了这里的所有其他答案之外,Android开发者博客上还有一篇标题为"Verifying Back-End Calls from Android Apps"的帖子,您也应该对此感兴趣,以防万一您尚未遇到过。
答案 2 :(得分:3)
不,这是不可能的。
如您所料,您的应用程序始终可以进行逆向工程,以揭示如何获取资源。
答案 3 :(得分:2)
如果您使用自制加密(基于众所周知的加密类型),其他应用可以读取您的CSV文件,但您的应用将是唯一能够理解它的应用。
要增加加密代码的逆向工程复杂性,您可以创建一个混合Java和C(使用JNI)的加密器,当然,不要忘记使用proguard或另一个混淆器。
答案 4 :(得分:1)
如上所述,如果您的应用可以访问数据,那么第三方也可以通过一些努力来获取数据。
然而,低技术解决方案可能只是将http referer设置为您的应用并在您的服务器上检查。
它只会阻止懒惰的未经授权的用户,但对于某些用例,返回/努力比可能足够好。