Безопасность: LVL против покупок в приложениях

Question

Мое первое платное приложение для Android было беспощадно расколото в течение 1 дня, что заставило меня понять, насколько жалкая латвийская безопасность.

Мое приложение будет монетизироваться при покупке контента в приложении, который кажется более безопасным, чем LVL, потому что покупки в приложении заключены с закрытым ключом, который может быть проверен моим сервером содержимого. Мое приложение может быть взломано и легко перераспределено, но мой сервер содержимого не может. (Я не знаю, что абсолютно безопасно, но этот подход выглядит лучше, чем LVL).

Мне кажется, единственный способ взломать в приложение покупки заключается в следующем:

1. Hack содержание моего сервера
2. Crack мой секретный ключ

ли в приложение покупки более безопасным чем LVL или я наивна? Легко ли взломать секретный ключ?

Заранее спасибо ...

Answer 1

Это действительно сложнее взломать, поскольку LVL уже известна и методика, как взломать (даже автоматизированные) уже широко распространено. Тем не менее, покупки в приложениях технически не более безопасны, если материал не загружен с вашего сервера, что необходимо для работы с заблокированными функциями (например, код.) Причина в том, что все, что может сделать ваше приложение, люди могут проверить, и люди могут это делать сами, даже в измененных версиях вашего кода. Например, вы можете проверить с сервером через SSL, что владелец совершил покупку, но вредоносный злоумышленник всегда может удалить этот код и просто заставить приложение действовать так, как если бы сервер сделал это. Если секретный ключ загружен вашим приложением, злоумышленник может найти способ выдавать себя за ваше приложение и загружать его и т. Д.

В действительности нет программного обеспечения «uncrackable». Только услуги могут быть относительно безопасными от пиратства. Поэтому, если вы хотите избежать пиратства, вы должны написать программное обеспечение, в котором вместо этого используется продукт.