该应用具有基本身份验证(使用Google帐户)和firebase数据库。在身份验证之后,允许用户通过我已导入我的应用程序的Java SDK for PayPal REST API将用户数据从paypal导入firebase数据库。如果有人在带有假SSL证书,dns服务器和paypal服务器的root环境中运行虚假数据,应用程序是否可以强制将假数据导入firebase数据库?
答案 0 :(得分:0)
来自另一个answer:
关于在root电话上运行应用程序的安全风险。一个非常简单的例子是,如果应用程序在手机中通常无法访问的区域(在非根电话上)缓存经过身份验证的会话cookie(或密码),则可以在有根电话上访问它。 (松开根电话很容易导致密码被盗或偷盗)
一个不那么简单的例子是攻击者试图在root手机上运行应用程序并使用Android手机上的IP表将流量重定向到代理(对于通常无法代理的应用程序)。
为了防范这些威胁,应用程序采用根保护机制,导致应用程序无法在root电话上运行或以受限制的方式在root电话上运行。
有些计数器应用程序试图隐藏root功能以绕过根检测防御机制。他们有时会工作。
但是一个非常熟练的攻击者可以达到修改apk源代码的程度,并使用应用程序的修改版本来满足他的目的。
因此,应用程序的最佳方式是不依赖客户端来保护敏感数据或接收数据的完整性(源代码或假设应用程序无法在root用户手机上运行)
此外; Google本身不允许在root设备上使用Google Pay,谷歌开发人员讨论了原因here。知道Google如何通过名为safetyNet的内容检测设备是否已植根也可能会很有趣。