... o in modo interattivo per chiedere la password / o avere qualche certificato è inevitabile?
Contesto
La mia app Android vuole effettuare transazioni sicure tramite la mia API del servizio Web. Tuttavia, non voglio disturbare il mio utente chiedendo / registrando le password, né chiedendo di installare i certificati.
Quindi ecco una soluzione proposta, ma ho seri dubbi su di essa non può essere falsificata.
Soluzione proposta
- La connessione tra la mia app Android e l'API del mio server è vincolata a HTTPS
- Prima che l'app comunichi per la prima volta con il server, interroga l'ID di installazione dell'app. Tutte le chiamate API successive avranno questo ID univoco come primo parametro.
Question (s)
È possibile che qualsiasi terza parte (criminale, hacker) conosca questo id di installazione, ad esempio installando un'altra app dannosa sullo stesso dispositivo, in modo da poter inviare richieste false al mio server utilizzando qualsiasi strumento personalizzato, ad esempio un desktop app?