我开始阅读有关在我的Android应用中实现应用内结算的文章,文档说
保护您的Google Play公钥
要保护您的公钥免受恶意用户和黑客的攻击,请不要这样做 将它作为文字字符串嵌入任何代码中。相反,构建 字符串在运行时从片段或使用位操作(例如, 与其他一些字符串的XOR)来隐藏实际的密钥。关键本身就是 不是秘密信息,但你不想让它变得容易 黑客或恶意用户用另一个密钥替换公钥。
如果其他人知道公钥,他能用它做什么是多么危险?
答案 0 :(得分:0)
根据该报告,Android应用程序包含数千个泄露的秘密身份验证密钥,恶意用户可以使用这些密钥通过Amazon Web Services对服务器资源进行未经授权的访问,并破坏Facebook上的用户帐户。
参考:
https://www.quora.com/How-worried-should-Android-users-be-about-the-secret-keys-found-in-Google-Play
答案 1 :(得分:0)
如果您的公钥在应用程序中是硬编码且未经过模糊处理的,则攻击者可能可以使用自己的公钥替换它,并使任何客户端验证都能返回true。
如果攻击者用他知道私钥的公钥替换您的公钥,他可以在不联系服务器的情况下生成购买收据,您的应用程序会认为它们是真实的。