il manuale di sicurezza di Android afferma che non è sicuro mantenere la chiave pubblica di mercato proprio come stringa e dovrebbe essere nascosto / codificato in qualche modo. Sono nuovo di Android Qualcuno può fornirmi, per esempio, come può essere fatto? Non lo so, ma sarebbe un'attività abbastanza comune relativa non ad Android, ma anche ad altre app.
Può sembrare misterioso, ma una volta compreso il modello di minaccia di cui stanno parlando, tutto ha un senso. La pagina web a cui ti colleghi sta impedendo alle persone di hackerare la tua app per bypassare la fatturazione in-app.
Esempio: Supponiamo che tu abbia creato un gioco divertente che le persone possono giocare installando la tua app sui loro telefoni Android. Utilizzi la fatturazione in-app per consentire alle persone di acquistare oggetti interessanti che rendono il gioco più divertente: "The Sword of Truth", o qualcosa del genere. Ovviamente, un hacker potrebbe sempre provare a creare una copia di .apk e modificarla per modificare il codice in modo da ottenere The Sword of Truth, senza doverti pagare per questo. Potresti non essere molto contento di questo. Cosa puoi fare per proteggerti da quella minaccia?
Bene, il manuale di sicurezza di Android dice cosa puoi fare per rendere questo tipo di hacking più difficile e quindi proteggere il tuo flusso di entrate. La cosa importante da capire è: non c'è una strong difesa. In questa situazione, un attaccante dedicato e motivato vincerà sempre. Il massimo che puoi sperare è introdurre un speedbump, per rendere leggermente più difficile per qualcuno hackerare il tuo gioco. La speranza è che questo sia sufficiente per ridurre (ma non eliminare) l'hacking, e quindi proteggere il tuo flusso di entrate oltre che ragionevolmente possibile. Questo è ciò che la pagina web a cui ti sei collegato sta cercando di aiutarti a fare.
La pagina web Android a cui ti sei collegato in realtà spiega abbastanza bene. Ne hai citato in modo selettivo, ma se continui a leggere le frasi vicine, c'è una buona spiegazione: dice "La chiave [pubblica] di per sé non è informazione segreta, ma non vuoi renderla più facile per un hacker o utente malintenzionato per sostituire la chiave pubblica con un'altra chiave. " È vero che non hanno spiegato perché potresti preoccupartene; spero che la mia spiegazione lo abbia reso più chiaro.
Inoltre, nella parte superiore, la pagina Web dice: "Se possibile, dovresti eseguire la verifica della firma su un server remoto e non su un dispositivo. L'implementazione del processo di verifica su un server rende difficile agli hacker interrompere la verifica processo invertendo il tuo file .apk. " In generale, questo è l'unico modo in cui puoi difendere in modo affidabile da hack che eseguono il reverse-engineer e modificano il tuo gioco.
Per ulteriori informazioni sul tema generale della prevenzione degli imbroglioni dagli imbrogli nei giochi online, consiglio vivamente il seguente articolo (è leggibile, perspicace, ancora attuale oggi e semplicemente fantastico):
Leggi altre domande sui tag java mobile android key-management appsec