我应该遵循哪些步骤来减少在Android应用程序中非法激活和使用应用内功能的可能性?
可能无法击败它,但是,至少应该有一些基本步骤来过滤掉孩子......
答案 0 :(得分:2)
如果您不在服务器上进行验证,那么犯罪分子甚至不会打扰您的应用程序。他们会将所有请求重新路由到他们的服务器并向您提供伪造的收据,然后他们可以自行验证。我确定我的内容被盗了,但我也知道我的服务器验证已经停止了许多尝试(来自日志)。要记住的一件事是,您需要对应用程序和服务器之间的通信进行某种身份验证。
我还认为混淆代码以减慢人们的速度是有一定价值的,但这比防止IAP盗窃更能阻止代码被盗。
答案 1 :(得分:0)
您可能希望至少尝试模糊您的公钥,以便攻击者无法简单地反编译您的应用并查找静态字符串。
Android开发者网站对此有一些想法:
保护您的Google Play公钥
要保护您的公钥免受恶意用户和黑客的攻击,请不要这样做 将它作为文字字符串嵌入任何代码中。相反,构建 字符串在运行时从片段或使用位操作(例如, 与其他一些字符串的XOR)来隐藏实际的密钥。关键本身就是 不是秘密信息,但你不想让它变得容易 黑客或恶意用户用另一个密钥替换公钥。
http://developer.android.com/google/play/billing/billing_best_practices.html