Come posso evitare lo spoofing del GPS? (prevenire un Pokemon-go hack)? [duplicare]

2

Voglio impedire lo spoofing GPS in un dispositivo mobile e desidero studiare altri modi per migliorare l'autenticità di questi dati.

PokemonGo è già in difficoltà con questo in tutto il mondo.

Ecco alcuni modi per migliorare la situazione:

  • Per i telefoni con un bootstrap firmato dal produttore, firma i dati di localizzazione dell'hardware GPS. Ciò limiterebbe l'uso di emulatori e alcuni dispositivi jailbroken / rooted

  • Correla i dati GPS con un ping IP su un server affidabile. Cerca le coordinate IP di quell'IP in vari GeoDatabase

  • Per giochi ad alto volume, come Pokemon, raccogli ulteriori verifiche come SSID, indirizzi BTLe. I peer nella stessa posizione dovrebbero avere una sovrapposizione di dati.

Per preservare la privacy, penso che i produttori di hardware (iOS / Android) potrebbero modificare le API esistenti per aggiungere un livello di confidenza ai dati GPS restituiti.

Qualcuna di queste idee ha senso? Esiste un modo migliore?

    
posta random65537 06.08.2016 - 18:39
fonte

2 risposte

2

Fondamentalmente, ti stai fidando del sistema operativo per non fornirti dati errati. Se il sistema operativo viene modificato per fornire dati errati, può anche fornire una cattiva autenticazione.

Se il dispositivo GPS dovesse produrre dati firmati, tutto ciò che ti dice è che un dispositivo che conosce la chiave privata ha prodotto quei dati - non lo autentica come dispositivo. Ciò che fa lo autentica in quanto il vero affare è una catena di certificati, a partire da una delle radici attendibili sul sistema operativo. Oh, aspetta, non ci fidiamo del sistema operativo.

Se il tuo attaccante ha utilizzato un dispositivo fisico per emulare i segnali GPS, anche il ricevitore GPS non può dire la differenza, quindi anche la firma non aiuta.

Si riduce davvero a te che corri su un dispositivo non affidabile e dovresti fare inferenze su ciò che è e non è affidabile (e cosa le API ti permettono di vedere!).

Inoltre, non so cosa stavi cercando di eseguire il ping di un server conosciuto e poi cercarlo in un geo-database ... Tutto ciò che ti dice è che sanno dove sono ...

    
risposta data 06.08.2016 - 18:52
fonte
0

Mentre è possibile per lo sviluppatore di app e Google proteggere il software da questo quanto più possibile, c'è un problema con l'accesso root del dispositivo e il firmware personalizzato (che è personalizzato Android senza root).

Quindi, l'applicazione potrebbe essere alla ricerca di indizi indipendentemente dal fatto che il dispositivo non sia rootato e che dovrebbe essere abbastanza buono per questo momento.

Un'altra cosa è che non ci saranno molti utenti di firmware personalizzato (penso di sì), ma molti con uno rooted. Il dispositivo di root è molto più semplice della sostituzione dell'intero firmware.

Per quanto riguarda il controllo per il dispositivo rooted è al momento facile come fare "su" per root ma questo può essere prevenuto. Ma penso che il servizio in background di Google Play potrebbe controllare anche la modifica dei file di sistema. Ciò implicherebbe un altro meccanismo che si baserebbe sul DRM nel dispositivo, quindi fintanto che non è con il bootloader "sbloccato", allora dovrebbe essere in grado di dire in modo affidabile qualunque cosa sia radicata o meno dal momento che sul dispositivo è presente una catena affidabile di software. / p>

Potrebbe arrivare al punto che i giochi saranno giocabili solo su dispositivi bloccati senza accesso root con componenti verificabili e che non sarebbe affatto una sorpresa per me.

Per quanto riguarda iOS, se il dispositivo è jailbroken, i giochi potrebbero non essere consentiti. Finché il software del telefono potrebbe essere modificato o i pacchetti non autorizzati possono essere installati è tutto.

    
risposta data 06.08.2016 - 18:55
fonte

Leggi altre domande sui tag